Air Gap gegen Ransomware - Air Gap against ransomware - Security Storage und Channel Germany

Air Gap, Systemhärtung und Isolation sind entscheidend für die Datensicherheit und den Schutz vor Ransomware, erklärt Patrick Englisch, Regional CTO DACH bei Veritas Technologies.	Air Gap, system hardening and isolation are critical to data security and protection against ransomware, explains Patrick Englisch, Regional CTO DACH at Veritas Technologies.
Maximaler Systemausfall: Am Freitag, den 18. August, wurde Cloud Nordic Opfer eines Ransomware-Angriffs. Der dänische Cloud-Dienstleister musste seinen Kunden mitteilen, dass ihre Daten unwiederbringlich verloren sind. Ein regelrechtes Katastrophenszenario war die Folge. Auf der Website wird der Ernst der Lage unmissverständlich beschrieben: „Den Angreifern ist es gelungen, alle Festplatten der Server sowie die primären und sekundären Backup-Systeme zu verschlüsseln. Damit waren alle Systeme unbrauchbar und der Zugriff auf alle Daten verloren. […] Eine Wiederherstellung war leider nicht möglich, die meisten unserer Kunden haben alle bei uns gespeicherten Daten verloren”. Das Team von Cloud Nordic erklärt weiter: „Der Angriff ereignete sich, nachdem wir unbewusst infizierte Systeme von einem Rechenzentrum in ein anderes verschoben hatten. Unglücklicherweise war das Zielrechenzentrum mit dem internen Netzwerk verbunden, über das alle unsere Server verwaltet werden. Über dieses interne Netzwerk konnten die Angreifer auf die zentralen Management- und Backup-Systeme zugreifen.“ Aus technischer Sicht gibt es Lösungskonzepte und Technologien, die das Backup während eines Ransomware-Angriffs bestmöglich vor Verschlüsselung oder Kompromittierung schützen können. Unsere Erfahrung zeigt aber auch, dass in vielen Fällen keine gehärteten und abgeschirmten Backup-Systeme und oft auch keine im notwendigen Umfang getesteten Wiederherstellungspläne vorhanden sind. In der aktuellen Situation ist der Erfolg dieses Angriffs nicht überraschend. Organisationen auf der ganzen Welt sind mit immer häufigeren, ausgefeilteren und demnach auch professionelleren Angriffen konfrontiert. Cloud Nordic ist bei weitem nicht das einzige Opfer. Isolierte Wiederherstellungsumgebungen mit Hardening, Air-Gap und unveränderlichem Speicher Die Verwendung von Snapshots und ähnlichen Techniken schützt die wiederherzustellenden Daten nicht ausreichend, denn diese bleiben auf derselben Primär-Plattform – auch wenn Snapshots zusätzlich repliziert werden. Zur adäquaten Sicherung ist es unerlässlich, die Daten in einer isolierten Umgebung zu sichern und zu steuern. Hierfür stehen kombinierbare Lösungsbausteine zur Verfügung: In einem ersten Schritt sollte ein besonderes Augenmerk auf die Möglichkeiten der Systemhärtung einer Backup- und Recovery-Lösung gelegt werden. Die Frage, die sich jeder und jede IT-Verantwortliche stellen muss, ist, ob das aktuell eingesetzte Backup- und Recovery-Tool tatsächlich die relevante Systemarchitektur ermöglicht, um die Angriffsvektoren zu dezimieren. Im nächsten Schritt ist abzuwägen, welchen Härtungsgrad das Unternehmen durch das eigene Personal tatsächlich gewährleisten kann und ob nicht der Einsatz von vollintegrierten Lösungen das Risiko für die eigene Organisation deutlich verringert. Durch Air-Gapping steht eine Methode zur Verfügung, bei der die durchgeführten Backups unabhängig vom Produktionsnetzwerk gespeichert werden. Dies sollte mit der Unveränderlichkeit der Daten kombiniert werden, um einen WORM-Speicher (Write Once Read Many) zum Schutz der „Last Line of Defence“ zu erhalten. Im Idealfall etabliert das Unternehmen eine sogenannte Isolated Recovery Environment (IRE), also eine abgeschirmte Umgebung, die nur zu bestimmten Zeiten einen Zugang zum produktionsnahen Backup-System öffnet, um die neuesten Backups zu übertragen, und sich dann wieder selbstständig vom Rest des Netzwerks abschottet. Gleichzeitig sollte eine IRE bestmöglich gehärtet sein und die Funktionalität eines unveränderlichen Backupspeichers nativ integriert haben, sowie die Möglichkeit der direkten und damit zeitoptimierten Wiederherstellung von Backups gewährleisten. Moderne Lösungen bieten gleichzeitig die Möglichkeit, Backups anhand typischer Risikoindikatoren zu bewerten, diese vollautomatisch mit Antivirentechnologie zu scannen und damit eine sichere Wiederherstellung auf Knopfdruck zu ermöglichen. Aufgepasst beim Shared-Responsibility-Modell Der Angriff auf Cloud Nordic erinnert eindringlich daran, wie wichtig es ist, dass Cloud-Kunden das in den Verträgen mit ihren Dienstleistern aufgeführte Prinzip des Shared-Responsibility-Modells genau bewerten. Demnach verpflichten sich die Cloud-Anbieter standardmäßig zur Verfügbarkeit ihrer Dienste, die Kunden tragen jedoch die Verantwortung für die Resilienz ihrer Daten, sowie für die regelmäßige Sicherung und die Wiederherstellungsfähigkeit. Sie sollten daher genau über die Maßnahmen des Anbieters informiert sein, diese professionell bewerten und gegebenenfalls Anpassungen oder Veränderungen des eigenen Datenmanagementkonzeptes, gemäß ihrer IT-Strategie und der Anforderungen der IT-Governance und ihres Risiko-Management-Systems planen und durchführen.	Maximum system outage: on Friday, August 18, Cloud Nordic was the victim of a ransomware attack. The Danish cloud service provider had to inform its customers that their data was irretrievably lost. A real disaster scenario was the result. The website describes the seriousness of the situation in no uncertain terms: „The attackers succeeded in encrypting all of the servers‘ hard drives as well as the primary and secondary backup systems. As a result, all systems were unusable and access to all data was lost. […] Unfortunately, recovery was not possible, most of our customers lost all data stored with us.“ The Cloud Nordic team further explains, „The attack occurred after we unknowingly moved infected systems from one data center to another. Unfortunately, the target data center was connected to the internal network through which all our servers are managed. The attackers were able to access the central management and backup systems via this internal network.“ From a technical perspective, there are solution concepts and technologies that can best protect the backup from encryption or compromise during a ransomware attack. However, our experience also shows that in many cases there are no hardened and shielded backup systems and often no recovery plans tested to the necessary extent. In the current climate, the success of this attack is not surprising. Organizations around the world are facing increasingly frequent, sophisticated, and consequently professional attacks. Cloud Nordic is far from the only victim. Isolated recovery environments with system hardening, air-gap and immutable storage. Using snapshots and similar techniques does not adequately protect the data to be restored, because it remains on the same primary platform – even if snapshots are additionally replicated. For adequate protection, it is essential to back up and control the data in an isolated environment. Combinable solution modules are available for this purpose: As a first step, special attention should be paid to the system hardening capabilities of a backup and recovery solution. The question that each and every IT manager must ask is whether the backup and recovery tool currently in use actually enables the relevant system architecture to decimate the attack vectors. The next step is to weigh up the degree of hardening that the company can actually guarantee through its own personnel and whether the use of fully integrated solutions does not significantly reduce the risk to the company’s own organization. Air-gapping provides a method of storing the backups performed independently of the production network. This should be combined with data immutability to provide a WORM (Write Once Read Many) store to protect the „last line of defense.“ Ideally, the company establishes what is known as an Isolated Recovery Environment (IRE), i.e., a shielded environment that only opens access to the production backup system at certain times to transfer the latest backups, and then seals itself off from the rest of the network again independently. At the same time, an IRE should be hardened as best as possible and have the functionality of an immutable backup store natively integrated, as well as ensuring the possibility of direct and thus time-optimized restoration of backups. At the same time, modern solutions offer the possibility of evaluating backups on the basis of typical risk indicators, scanning them fully automatically with antivirus technology and thus enabling secure recovery at the push of a button. Watch out for the shared responsibility model The attack on Cloud Nordic is a stark reminder of how important it is for cloud customers to carefully evaluate the shared responsibility model principle listed in their contracts with their service providers. According to this, cloud providers commit to the availability of their services by default, but customers bear the responsibility for the resilience of their data, as well as for regular backup and recovery capabilities. They should therefore be precisely informed about the provider’s measures, evaluate them professionally and, if necessary, plan and implement adjustments or changes to their own data management concept, in accordance with their IT strategy and the requirements of IT governance and their risk management system.

Air Gap, Systemhärtung und Isolation sind entscheidend für die Datensicherheit und den Schutz vor Ransomware, erklärt Patrick Englisch, Regional CTO DACH bei Veritas Technologies.

Air Gap, system hardening and isolation are critical to data security and protection against ransomware, explains Patrick Englisch, Regional CTO DACH at Veritas Technologies.

Maximaler Systemausfall: Am Freitag, den 18. August, wurde Cloud Nordic Opfer eines Ransomware-Angriffs. Der dänische Cloud-Dienstleister musste seinen Kunden mitteilen, dass ihre Daten unwiederbringlich verloren sind. Ein regelrechtes Katastrophenszenario war die Folge.

Auf der Website wird der Ernst der Lage unmissverständlich beschrieben: „Den Angreifern ist es gelungen, alle Festplatten der Server sowie die primären und sekundären Backup-Systeme zu verschlüsseln. Damit waren alle Systeme unbrauchbar und der Zugriff auf alle Daten verloren. […] Eine Wiederherstellung war leider nicht möglich, die meisten unserer Kunden haben alle bei uns gespeicherten Daten verloren”.

Das Team von Cloud Nordic erklärt weiter: „Der Angriff ereignete sich, nachdem wir unbewusst infizierte Systeme von einem Rechenzentrum in ein anderes verschoben hatten. Unglücklicherweise war das Zielrechenzentrum mit dem internen Netzwerk verbunden, über das alle unsere Server verwaltet werden. Über dieses interne Netzwerk konnten die Angreifer auf die zentralen Management- und Backup-Systeme zugreifen.“

Aus technischer Sicht gibt es Lösungskonzepte und Technologien, die das Backup während eines Ransomware-Angriffs bestmöglich vor Verschlüsselung oder Kompromittierung schützen können. Unsere Erfahrung zeigt aber auch, dass in vielen Fällen keine gehärteten und abgeschirmten Backup-Systeme und oft auch keine im notwendigen Umfang getesteten Wiederherstellungspläne vorhanden sind.

In der aktuellen Situation ist der Erfolg dieses Angriffs nicht überraschend. Organisationen auf der ganzen Welt sind mit immer häufigeren, ausgefeilteren und demnach auch professionelleren Angriffen konfrontiert. Cloud Nordic ist bei weitem nicht das einzige Opfer.

Isolierte Wiederherstellungsumgebungen mit Hardening, Air-Gap und unveränderlichem Speicher

Die Verwendung von Snapshots und ähnlichen Techniken schützt die wiederherzustellenden Daten nicht ausreichend, denn diese bleiben auf derselben Primär-Plattform – auch wenn Snapshots zusätzlich repliziert werden. Zur adäquaten Sicherung ist es unerlässlich, die Daten in einer isolierten Umgebung zu sichern und zu steuern. Hierfür stehen kombinierbare Lösungsbausteine zur Verfügung:

In einem ersten Schritt sollte ein besonderes Augenmerk auf die Möglichkeiten der Systemhärtung einer Backup- und Recovery-Lösung gelegt werden. Die Frage, die sich jeder und jede IT-Verantwortliche stellen muss, ist, ob das aktuell eingesetzte Backup- und Recovery-Tool tatsächlich die relevante Systemarchitektur ermöglicht, um die Angriffsvektoren zu dezimieren. Im nächsten Schritt ist abzuwägen, welchen Härtungsgrad das Unternehmen durch das eigene Personal tatsächlich gewährleisten kann und ob nicht der Einsatz von vollintegrierten Lösungen das Risiko für die eigene Organisation deutlich verringert.

Durch Air-Gapping steht eine Methode zur Verfügung, bei der die durchgeführten Backups unabhängig vom Produktionsnetzwerk gespeichert werden. Dies sollte mit der Unveränderlichkeit der Daten kombiniert werden, um einen WORM-Speicher (Write Once Read Many) zum Schutz der „Last Line of Defence“ zu erhalten.

Im Idealfall etabliert das Unternehmen eine sogenannte Isolated Recovery Environment (IRE), also eine abgeschirmte Umgebung, die nur zu bestimmten Zeiten einen Zugang zum produktionsnahen Backup-System öffnet, um die neuesten Backups zu übertragen, und sich dann wieder selbstständig vom Rest des Netzwerks abschottet. Gleichzeitig sollte eine IRE bestmöglich gehärtet sein und die Funktionalität eines unveränderlichen Backupspeichers nativ integriert haben, sowie die Möglichkeit der direkten und damit zeitoptimierten Wiederherstellung von Backups gewährleisten. Moderne Lösungen bieten gleichzeitig die Möglichkeit, Backups anhand typischer Risikoindikatoren zu bewerten, diese vollautomatisch mit Antivirentechnologie zu scannen und damit eine sichere Wiederherstellung auf Knopfdruck zu ermöglichen.

Aufgepasst beim Shared-Responsibility-Modell

Der Angriff auf Cloud Nordic erinnert eindringlich daran, wie wichtig es ist, dass Cloud-Kunden das in den Verträgen mit ihren Dienstleistern aufgeführte Prinzip des Shared-Responsibility-Modells genau bewerten. Demnach verpflichten sich die Cloud-Anbieter standardmäßig zur Verfügbarkeit ihrer Dienste, die Kunden tragen jedoch die Verantwortung für die Resilienz ihrer Daten, sowie für die regelmäßige Sicherung und die Wiederherstellungsfähigkeit. Sie sollten daher genau über die Maßnahmen des Anbieters informiert sein, diese professionell bewerten und gegebenenfalls Anpassungen oder Veränderungen des eigenen Datenmanagementkonzeptes, gemäß ihrer IT-Strategie und der Anforderungen der IT-Governance und ihres Risiko-Management-Systems planen und durchführen.

Maximum system outage: on Friday, August 18, Cloud Nordic was the victim of a ransomware attack. The Danish cloud service provider had to inform its customers that their data was irretrievably lost. A real disaster scenario was the result.

The website describes the seriousness of the situation in no uncertain terms: „The attackers succeeded in encrypting all of the servers‘ hard drives as well as the primary and secondary backup systems. As a result, all systems were unusable and access to all data was lost. […] Unfortunately, recovery was not possible, most of our customers lost all data stored with us.“

The Cloud Nordic team further explains, „The attack occurred after we unknowingly moved infected systems from one data center to another. Unfortunately, the target data center was connected to the internal network through which all our servers are managed. The attackers were able to access the central management and backup systems via this internal network.“

From a technical perspective, there are solution concepts and technologies that can best protect the backup from encryption or compromise during a ransomware attack. However, our experience also shows that in many cases there are no hardened and shielded backup systems and often no recovery plans tested to the necessary extent.

In the current climate, the success of this attack is not surprising. Organizations around the world are facing increasingly frequent, sophisticated, and consequently professional attacks. Cloud Nordic is far from the only victim.

Isolated recovery environments with system hardening, air-gap and immutable storage.

Using snapshots and similar techniques does not adequately protect the data to be restored, because it remains on the same primary platform – even if snapshots are additionally replicated. For adequate protection, it is essential to back up and control the data in an isolated environment. Combinable solution modules are available for this purpose:

As a first step, special attention should be paid to the system hardening capabilities of a backup and recovery solution. The question that each and every IT manager must ask is whether the backup and recovery tool currently in use actually enables the relevant system architecture to decimate the attack vectors. The next step is to weigh up the degree of hardening that the company can actually guarantee through its own personnel and whether the use of fully integrated solutions does not significantly reduce the risk to the company’s own organization.

Air-gapping provides a method of storing the backups performed independently of the production network. This should be combined with data immutability to provide a WORM (Write Once Read Many) store to protect the „last line of defense.“

Ideally, the company establishes what is known as an Isolated Recovery Environment (IRE), i.e., a shielded environment that only opens access to the production backup system at certain times to transfer the latest backups, and then seals itself off from the rest of the network again independently. At the same time, an IRE should be hardened as best as possible and have the functionality of an immutable backup store natively integrated, as well as ensuring the possibility of direct and thus time-optimized restoration of backups. At the same time, modern solutions offer the possibility of evaluating backups on the basis of typical risk indicators, scanning them fully automatically with antivirus technology and thus enabling secure recovery at the push of a button.

Watch out for the shared responsibility model

The attack on Cloud Nordic is a stark reminder of how important it is for cloud customers to carefully evaluate the shared responsibility model principle listed in their contracts with their service providers. According to this, cloud providers commit to the availability of their services by default, but customers bear the responsibility for the resilience of their data, as well as for regular backup and recovery capabilities. They should therefore be precisely informed about the provider’s measures, evaluate them professionally and, if necessary, plan and implement adjustments or changes to their own data management concept, in accordance with their IT strategy and the requirements of IT governance and their risk management system.

Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.

Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.

Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Air Gap gegen Ransomware – Air Gap against ransomware

VonJakob Jung

Von Jakob Jung

Ähnliche Beiträge

Kugelsichere Infrastruktur – Bulletproof Infrastructure

Fancy Bear im Reichstag – Fancy Bear in the Reichstag

Ransomware bedroht E-Commerce – Ransomware threatens e-commerce

Schreibe einen Kommentar Antworten abbrechen

Versäumt

Kugelsichere Infrastruktur – Bulletproof Infrastructure

FTAPI zeichnet Partner aus – FTAPI honors partners

Veeam würdigt deutsche Partner – Veeam German ProPartner Awards

Kriterien für Backup Appliances – Backup Appliance Criteria