Backups können vor Ransomware-Angriffen geschützt werden, indem man sie von den Primärsystemen auslagert, den Zugriff auf das Dateisystem der Backups entfernt und die Verwendung von Windows als Backup-Plattform vermeidet. [...]
Ransomware entwickelt sich zur Bedrohung Nummer eins für Daten. Daher muss sichergestellt werden, dass bösartige Akteure Ihre Backup-Daten nicht zusammen mit Ihren Primärdaten verschlüsseln, wenn sie Ransomware-Angriffe ausführen. Wenn sie damit Erfolg haben, haben Sie keine andere Wahl, als das Lösegeld zu zahlen, und das wird sie ermutigen, es erneut zu versuchen.
Der Schlüssel dazu, kein Lösegeld zahlen zu müssen, liegt darin, Backups zu haben, um Systeme wiederherzustellen, die durch Ransomware verschlüsselt wurden. Und der Schlüssel zum Schutz dieser Backups gegen Ransomware ist es, so viele Barrieren wie möglich zwischen Produktionssystemen und Backup-Systemen zu errichten. Was auch immer Sie tun, stellen Sie sicher, dass die einzige Kopie Ihrer Backups nicht einfach in einem Verzeichnis auf einem Windows-Server in demselben Rechenzentrum liegt, das Sie zu schützen versuchen. Schauen wir uns ein paar Schlüsselelemente dieses Satzes genauer an: „Windows“, „dasselbe Rechenzentrum“ und „in einem Verzeichnis liegend“.
Schützen Sie Windows
Die meisten Ransomware-Angriffe richten sich gegen Windows-Hosts, und sie verbreiten sich auf andere Windows-Hosts in Ihrer Computerumgebung, sobald ein einzelner Host infiziert ist. Sobald sich die Ransomware auf genügend Hosts ausgebreitet hat, aktiviert der Angreifer das Verschlüsselungsprogramm und plötzlich ist Ihre ganze Welt stillgelegt. Daher wäre es am naheliegendsten, etwas anderes als Windows für Ihren Backup-Server zu verwenden.
Leider laufen viele beliebte Backup-Produkte hauptsächlich unter Windows. Die gute Nachricht ist, dass viele von ihnen auch eine Linux-Alternative anbieten. Selbst wenn die Haupt-Backup-Software unter Windows laufen muss, hat sie möglicherweise auch eine Linux-Medienserver-Option. Die Medienserver sind der Schlüssel, denn dort befinden sich die Daten, die Sie zu schützen versuchen. Wenn Ihre Backups nur über Linux-basierte Medienserver zugänglich sind, können Ransomware-Angriffe gegen Windows-basierte Server diese nicht angreifen.
Speichern Sie nicht nur Ihre regelmäßigen Backups hinter einem Linux-basierten Medienserver, sondern stellen Sie sicher, dass auch die Backups Ihres Haupt-Backup-Servers dort gespeichert sind. Es nützt nichts, Ihre Backups unverschlüsselt zu haben, wenn die Datenbank, die für den Zugriff auf diese Backups benötigt wird, von der Ransomware verschlüsselt wird.
Sie sollten auch Windows-basierte Backup-Server so weit wie möglich abhärten. Informieren Sie sich über die Dienste, die Ransomware verwendet, um Server anzugreifen (z. B. RDP), und schalten Sie so viele von ihnen wie möglich ab. Denken Sie daran, dass dieser Server Ihre letzte Verteidigungslinie ist, also denken Sie an Sicherheit, nicht an Bequemlichkeit.
Verlegen Sie Backups außerhalb des Rechenzentrums
Unabhängig davon, welche Backup-Lösung Sie wählen, sollten Kopien der Backups an einem anderen Ort gespeichert werden. Das bedeutet mehr, als Ihren Backup-Server einfach in eine virtuelle Maschine in der Cloud zu stellen. Wenn die VM aus elektronischer Sicht genauso zugänglich ist, wie wenn sie sich im Rechenzentrum befinden würde, ist sie genauso leicht angreifbar. Sie müssen die Dinge so konfigurieren, dass sich Angriffe auf Systeme in Ihrem Rechenzentrum nicht auf Ihre Backup-Systeme in der Cloud ausbreiten können. Dies kann auf verschiedene Weise geschehen, z. B. durch Firewall-Regeln, Änderung von Betriebssystemen und Speicherprotokollen.
Beispielsweise bieten die meisten Cloud-Anbieter Objektspeicher an, und die meisten Backup-Softwareprodukte und -Dienste sind in der Lage, auf diesen zu schreiben. Ransomware-Angreifer sind zwar raffiniert, haben aber bisher noch nicht herausgefunden, wie sie Backups angreifen können, die auf objektbasiertem Speicher gespeichert sind. Außerdem bieten solche Anbieter oft eine Write-Once, Read-Many-Option an, was bedeutet, dass Sie einen Zeitraum festlegen können, in dem Backups nicht verändert oder gelöscht werden können, auch nicht von autorisiertem Personal.
Es gibt auch Backup-Dienste, die Daten in ihren Speicher schreiben können, die nur über ihre Benutzeroberfläche zugänglich sind. Wenn Sie Ihre Backups nicht direkt sehen können, kann das auch die Ransomware nicht.
Die Idee ist, Ihre Backups – oder zumindest eine Kopie Ihrer Backups – so weit wie möglich von einem infizierten Windows-System zu entfernen. Legen Sie sie in die Cloud eines Anbieters, die durch Firewall-Regeln geschützt ist, verwenden Sie ein anderes Betriebssystem für Ihre Backup-Server und schreiben Sie Ihre Backups auf eine andere Art von Speicher.
Entfernen Sie den Dateisystem-Zugriff auf Backups
Wenn Ihr Backup-System Backups auf die Festplatte schreibt, sollten Sie sicherstellen, dass diese nicht über ein Standard-Dateisystemverzeichnis zugänglich sind. Der denkbar schlechteste Ort für Ihre Backup-Daten ist beispielsweise E:\backups. Ransomware-Produkte zielen speziell auf Verzeichnisse mit solchen Namen ab und werden Ihre Backups verschlüsseln.
Das bedeutet, dass Sie einen Weg finden müssen, diese Backups auf der Festplatte so zu speichern, dass das Betriebssystem diese Backups nicht als Dateien sieht. Eine der gängigsten Backup-Konfigurationen ist zum Beispiel ein Backup-Server, der seine Backup-Daten auf ein Ziel-Deduplizierungs-Array schreibt, das über Server Message Block (SMB) oder Network File System (NFS) an den Backup-Server gemountet ist. Wenn ein Ransomware-Produkt diesen Server infiziert, ist es in der Lage, die Backups auf diesem Ziel-Deduplizierungssystem zu verschlüsseln, da diese Backups über ein Verzeichnis zugänglich sind. Sie müssen nach Möglichkeiten suchen, die es Ihrem Backup-Produkt erlauben, auf Ihr Ziel-Deduplizierungssystem zu schreiben, ohne SMB oder NFS zu verwenden. Alle gängigen Backup-Produkte haben solche Optionen.
Was ist mit Tapes?
Natürlich gibt es immer noch unseren alten Freund, das Tape. Eine Sache, in der Tapes wirklich gut sind, ist das Kopieren des Backups der letzten Nacht oder der letzten Woche auf ein anderes Medium, das dann zur sicheren Aufbewahrung gegen Ransomware-Angriffe außer Haus geschickt werden kann. Selbst das beste Ransomware-Produkt wäre nicht in der Lage, Ihre Backups zu infizieren, wenn Sie sie aus der Bandbibliothek nehmen und einem Iron Mountain-Fahrer übergeben. Manchmal sind die alten Wege die besten Wege.
Legen Sie Hindernisse in den Weg
Machen Sie es Ransomware nicht leicht, Ihre Backups zu sehen und zu verschlüsseln. Speichern Sie sie nach Möglichkeit nicht auf einem Windows-Server und bewahren Sie mindestens eine Kopie an einem Ort auf, der von Ihrem Rechenzentrum aus nicht elektronisch zugänglich ist. Schließlich sollten Sie Ihr Backup-System so konfigurieren, dass Backups nicht als Dateien auf Ihrem Backup-Server zu sehen sind. Geben Sie sich im Falle eines Ransomware-Angriffs zumindest eine faire Chance.
*W. Curtis Preston ist ein Experte für Datensicherung, -speicherung und -wiederherstellung und arbeitet seit 1993 in diesem Bereich. Er war Endanwender, Berater und Analyst und ist seit kurzem Mitglied des Teams von Druva, einem Cloud-basierten Datensicherungsunternehmen.
Be the first to comment