Sichere Speicherung mit NIST – Secure Storage with NIST

Unter den Sicherheitsmaßnahmen hat die Sicherheit des Speichermanagements oberste Priorität. Da die meisten Speicher über Management-Hosts konfiguriert und verwaltet werden, ist die Angriffsfläche groß. Angreifer können Schwachstellen im Betriebssystem ausnutzen, wenn es der Speicherinfrastruktur an Cyber-Resilienz mangelt.

Sie können die Speicherverwaltung für alles Mögliche nutzen, von der Beschädigung von Daten bis hin zur Manipulation von Protokoll- und Audit-Dateien. Wenn Protokoll- und Auditdaten böswillig verändert werden, kann ein Angreifer seine Präsenz innerhalb der Infrastruktur effektiv verbergen. Dies erklärt, warum ein Angreifer lange Zeit unentdeckt in der Infrastruktur eines Unternehmens operieren kann. Daher ist eine in die Speicherplattform integrierte Cyber-Erkennung unerlässlich, um Angreifer zu identifizieren und die notwendigen Maßnahmen zur Wiederherstellung der Sicherheit der Infrastruktur einzuleiten.

Die IT-Sicherheitsverantwortlichen müssen rechenzentrumsweite Richtlinien definieren und umsetzen, die Netzwerke, Computer und insbesondere die Unternehmensspeicher umfassen. Das Rahmenwerk des US-amerikanischen National Institute of Standards and Technology (NIST) entstand aus der Notwendigkeit, Cyber-Risiken effektiver zu managen. Es hat sich über die Grenzen der USA hinaus als verlässlicher Leitfaden für IT-Manager und ihre Teams erwiesen. Er erleichtert die Integration der Datenspeicherung in die allgemeine Cyber-Sicherheitsstrategie des Unternehmens und bietet einen soliden Fahrplan für die Implementierung geeigneter Kontrollen.

Die NIST SP 800-209 Storage Security Guidelines decken eine Vielzahl kritischer Aspekte ab, darunter Datenschutz, Datensicherung, Datenreduktion, Authentifizierung, Berechtigungsnachweise und vieles mehr. Besonders wichtig ist, dass die Richtlinien auch Malware und Ransomware abdecken. Vor allem letztere stellt nach wie vor eine große Bedrohung dar. Ransomware verschlüsselt gespeicherte Daten und macht sie unbrauchbar. Cyberkriminelle fordern dann ein Lösegeld, um den Zugang zu den Daten wiederherzustellen. Um die Ängste der Unternehmensverantwortlichen zu schüren, veröffentlichen Angreifer gelegentlich Teile sensibler Daten, die sie aus Datenspeichern ohne ausreichende Cyber-Resilienz extrahiert haben.

Laut Bitkom wurde in den zwölf Monaten bis Juli 2023 rund die Hälfte aller Unternehmen in Deutschland (52 Prozent) von Ransomware angegriffen, 23 Prozent mit und 29 Prozent ohne Schaden. In vielen Fällen können die Daten auch nach Zahlung des Lösegelds nicht vollständig wiederhergestellt werden.

Laut dem State of the Phish Report von Proofpoint waren im Jahr 2022 85 Prozent der deutschen Unternehmen von einem Ransomware-Angriff betroffen. 63 Prozent dieser Attacken waren erfolgreich. Weniger als die Hälfte (41 Prozent) der betroffenen Unternehmen konnten nach der ersten Lösegeldzahlung wieder auf ihre Daten zugreifen. Diese Angriffe sind also nicht auf die leichte Schulter zu nehmen.

NIST als Retter in der Not

Das NIST Framework bietet einen umfassenden, herstellerunabhängigen Ansatz für Cybersicherheit, der sich auf eine Kombination aus Best Practices und kosteneffizienten Sicherheitsstandards konzentriert. Es handelt sich um einen breit gefächerten Katalog von Empfehlungen zur Bekämpfung von Cyber-Bedrohungen mit besonderem Schwerpunkt auf Speicherinfrastruktur, Datensicherung und Cyber-Wiederherstellung.

Das NIST Framework besteht aus drei Hauptteilen: dem Kern, den Implementierungsebenen und dem Profil. Die Kernfunktionen umfassen Identifizierung, Erkennung, Schutz, Reaktion und Wiederherstellung. Diese Funktionen zielen auf wichtige Aufgaben der Cyber-Resilienz ab, wie die Erkennung von Malware oder Ransomware und die schnelle Wiederherstellung einer sauberen Kopie der Daten. Dies bedeutet, dass geeignete Prozesse, Richtlinien und technologische Werkzeuge zur Bekämpfung von Cyber-Angriffen eingerichtet werden müssen.

Die Struktur der Implementierungsebenen berücksichtigt das Bedrohungsumfeld, die Risikobewertung und die Compliance-Anforderungen eines Unternehmens. Auf der niedrigsten Stufe sind die Cybersicherheitsstrategien eines Unternehmens nicht formalisiert und das Risikomanagement erfolgt bestenfalls ad hoc. Auf einer höheren Stufe ist ein unternehmensweiter Sicherheitsrahmen vorhanden, der zu einem ausgefeilten Ansatz mit vorausschauenden Indikatoren weiterentwickelt werden kann.

Schließlich bringt das Profil das Bedrohungsumfeld und die Unternehmensziele mit den Cybersicherheitsanforderungen und -kontrollen in Einklang. Ein klares Verständnis des aktuellen Profils eines Unternehmens ist entscheidend, um die notwendigen Schritte zur Verbesserung der Cyber-Resilienz innerhalb seiner Speicherinfrastruktur zu bestimmen.

NIST-Schlüsselelemente

Die folgende Liste enthält Schlüsselelemente, die Unternehmen so schnell wie möglich in ihre Dateninfrastruktur integrieren sollten. Mit diesen Cyber-Resilienz-Tools können Unternehmen die Auswirkungen eines Cyber-Angriffs wirksam neutralisieren.

– Unveränderliche Snapshots: Es ist unerlässlich, Snapshots von Daten zu erstellen, die absolut unveränderbar sind. Unternehmen sollten eine Funktion anstreben, die sichere, unveränderliche zeitpunktbezogene Kopien liefert. Einfach nur Snapshots zu erstellen oder sich auf Backups zu verlassen, reicht nicht aus. Die Unveränderbarkeit der Snapshots ist von entscheidender Bedeutung.

– Cyber Detection: Die Fähigkeit, kompromittierte Daten zu identifizieren und die Art der Kompromittierung zu verstehen, ist entscheidend. Algorithmen des maschinellen Lernens können dabei helfen, beschädigte Dateien und deren Ursache zu identifizieren. CISOs sollten sich für ein in die Speicherplattform integriertes Cyber-Detection-Tool entscheiden, das in der Lage ist, Datei- und Dateninhalte durch umfassende Analysen zu untersuchen.

– Logical/Remote Air-Gapping: Eine unkomplizierte Methode zur logischen Trennung von unveränderlichen Snapshots vom Netzwerkzugriff ist von entscheidender Bedeutung. Diese Trennung kann vor Ort, an einem zweiten Standort oder in einer Kombination aus beidem erfolgen.

– Separate forensische Umgebung: Die Isolierung ist ein wichtiger Aspekt, der im NIST-Rahmenwerk hervorgehoben wird. Ein separates forensisches Netzwerk, ein vollständig privates und isoliertes Netzwerk, wird als Best Practice angesehen. Es ist erforderlich, um Daten vor der Wiederherstellung der operativen Systeme zu testen und zu validieren.

– Nahezu sofortige Wiederherstellung nach einem Cyber-Angriff: Mit der richtigen Lösung können Unternehmen nach einem Cyberangriff innerhalb von Minuten eine validierte, saubere Kopie der Daten wiederherstellen, unabhängig von der Datengröße.

Bombensichere Storage-Infrastruktur

Wenn die Infrastruktur eines Unternehmens durch die beschriebenen Maßnahmen geschützt ist, muss kein Lösegeld gezahlt werden. Leider erhöht das Ignorieren dieser Best Practices das Sicherheitsrisiko für das Unternehmen und behindert eine schnelle Wiederherstellung, die die Auswirkungen eines Cyber-Angriffs abmildert.

Der Datenschutz innerhalb der Speicherinfrastruktur – Daten im Ruhezustand, während der Übertragung und während der Nutzung – muss umfassend sein. Das NIST-Framework bietet präzise Richtlinien, Sicherheitsempfehlungen und Best Practices, um einen IT-Betrieb mit einer durchgängigen Cyber-Resilienz auszustatten. Mit Hilfe des NIST-Frameworks können Unternehmen ihre Speicherinfrastruktur „bombensicher“ machen.

They can use storage management to do anything from corrupting data to manipulating log and audit files. By maliciously altering log and audit data, an attacker can effectively hide their presence within the infrastructure. This explains why an attacker can operate undetected within an organization’s infrastructure for long periods of time. Therefore, cyber-detection integrated into the storage platform is essential to identify attackers and take the necessary steps to remediate the infrastructure.

IT security managers must define and implement data center-wide policies that cover networks, computers, and especially enterprise storage. The National Institute of Standards and Technology (NIST) framework grew out of the need to manage cyber risk more effectively. It has proven to be a reliable guide for IT managers and their teams beyond the borders of the United States. It facilitates the integration of data storage into an organization’s overall cybersecurity strategy and provides a solid roadmap for implementing appropriate controls.

The NIST SP 800-209 Storage Security Guidelines cover a variety of critical aspects, including data protection, data backup, data reduction, authentication, credentialing, and more. Importantly, the guidelines also address malware and ransomware. The latter in particular continues to be a major threat. Ransomware encrypts stored data, rendering it unusable. Cybercriminals then demand a ransom to restore access to the data. To fuel the fears of business leaders, attackers occasionally release portions of sensitive data they have extracted from data storage devices that lack sufficient cyber resilience.

According to Bitkom, around half of all companies in Germany (52%) were attacked by ransomware in the twelve months to July 2023, 23% with damage and 29% without damage. In many cases, the data cannot be fully recovered even after the ransom is paid. According to Proofpoint’s State of the Phish Report, 85 percent of German businesses were hit by a ransomware attack in 2022. 63% of these attacks were successful. Less than half (41%) of affected organizations were able to regain access to their data after paying the initial ransom. These attacks are not to be taken lightly.

NIST as a savior in times of need

NIST is a comprehensive, vendor-neutral approach to cybersecurity that focuses on a combination of best practices and cost-effective security standards. It is a comprehensive set of recommendations to combat cyber threats, with a particular focus on storage infrastructure, data protection, and cyber recovery. The NIST Framework consists of three main parts: core, implementation levels, and profile. The core functions include identification, detection, protection, response, and recovery.

Core capabilities include identification, detection, protection, response, and recovery. These functions address key cyber resilience tasks, such as detecting malware or ransomware and quickly restoring a clean copy of data. This means that appropriate processes, policies, and technology tools must be in place to combat cyber attacks.

The structure of the implementation stages takes into account an organization’s threat environment, risk assessment, and compliance requirements. At the lowest level, an organization’s cybersecurity strategies are not formalized and risk management is ad hoc at best. At a higher level, there is an enterprise-wide security framework that can be developed into a sophisticated approach with predictive indicators.

Finally, the profile aligns the threat environment and business objectives with cybersecurity requirements and controls. A clear understanding of an organization’s current profile is critical to determining the steps necessary to improve the cyber resilience of its storage infrastructure.

NIST Key Elements

The following list contains key elements that organizations should incorporate into their data infrastructure as soon as possible. With these cyber resilience tools, organizations can effectively neutralize the impact of a cyber attack.

– Immutable snapshots: It is essential to create snapshots of data that are completely immutable. Organizations should look for a feature that provides secure, immutable point-in-time copies. Simply creating snapshots or relying on backups is not enough. Snapshot immutability is critical.

– Cyber Detection: The ability to identify compromised data and understand the nature of the compromise is critical. Machine learning algorithms can help identify corrupted files and their cause. CISOs should choose a cyber detection tool that is integrated with the storage platform and capable of examining file and data content through comprehensive analytics.

– Logical/remote air-gapping: An easy way to logically separate immutable snapshots from network access is critical. This separation can be done onsite, at a secondary site, or a combination of both.

– Separate forensic environment: Isolation is an important aspect emphasized in the NIST framework. A separate forensic network, a completely private and isolated network, is considered best practice. It is required to test and validate data before restoring operational systems.

– Near-instant recovery from a cyber attack: With the right solution, organizations can recover a validated, clean copy of data within minutes of a cyberattack, regardless of data size.

Bombproof Storage Infrastructure

If an organization’s infrastructure is protected by the measures described above, there is no need to pay a ransom. Unfortunately, ignoring these best practices increases the security risk to the organization and hinders the rapid recovery that mitigates the impact of a cyber-attack.

Data protection within the storage infrastructure-data at rest, in transit, and in use-must be comprehensive. The NIST Framework provides specific guidelines, security recommendations, and best practices to help an IT operation achieve end-to-end cyber resilience. Using the NIST Framework, organizations can „bombproof“ their storage infrastructure.