Effektiver Schutz vor Cyberangriffen

Effektiver Schutz vor Cyberangriffen

5. September 2020 - Cyber-Resilienz, die Widerstandsfähigkeit gegenüber Cyberangriffen, gewinnt laufend an Bedeutung. Hierzu gehören auch unveränderbare Backups, die gegen Manipulationen durch Ransomware immun sind.
Artikel erschienen in IT Magazine 2020/09

Unveränderbare Backups, schnelle Eingrenzung und Wiederherstellung

Damit im Ernstfall fehlerfreie, zuverlässige Backups zur Verfügung stehen, ist ein auf Unveränderlichkeit ausgerichtetes Dateisystem erforderlich. Dieses verhindert den unbefugten Zugriff oder die Löschung von Backups, damit die Daten im aktuellsten nicht kompromittierten Zustand wiederhergestellt werden können. In Kombination mit einer besonders schnellen Wiederherstellung können Unternehmen einen Ransomware-­Angriff mit nur minimaler Unterbrechung des Geschäftsbetriebs ohne spürbare Folgen überstehen.

Anders als die auf Offenheit und optimale Verfügbarkeit für Client-Systeme ausgelegten Primärspeichersysteme sollte das Backup-System nicht so einfach zugänglich sein. Soll das ­Backup als entscheidender Rettungsanker dienen, müssen die Backup-Daten in einem unveränderbaren Format gespeichert sein. Einmal geschriebene Daten können dann von den Clients im Netzwerk oder generell nicht mehr geändert oder gelöscht werden. Nur so ist eine zuverlässige Wiederherstellung gewährleistet, wenn die Produktionssysteme kompromittiert werden. Dieser Ansatz geht weit über einfache Dateiberechtigungen, Ordner-ACLs oder Speicherprotokolle hinaus und macht die Unveränderlichkeit zum architektonischen Grundprinzip der Datenmanagementplattform.

Ebenso wichtig ist es, schnell den Umfang des Angriffs einzugrenzen, um gezielt nur die betroffenen Anwendungen und Daten wiederherzustellen, was viel Zeit spart. Bei Massenwiederherstellungen besteht zudem das Risiko, dass auch nicht kompromittierte Daten verloren gehen. Eine zeitgemässe Multi-Cloud-fähige Datenmanagementplattform unterstützt die Identifizierung des Schadenumfangs mittels intuitiver Daten­visualisierungen und der Möglichkeit, ein Rollback mit Granularität bis auf Dateiebene durchzuführen. Mittlerweile gibt es auch SaaS-Anwendungen, die im Falle eines Cyberangriffs die Snapshots davor und danach vergleichen. Dadurch wird sofort sichtbar, ob die Angreifer etwas manipuliert oder gelöscht haben. Die Ergebnisse dieser Analyse sind auf einer Managementkonsole abrufbar, so dass genau ersichtlich ist, welche Daten an welchen Speicherorten wiederherzustellen sind. Die proaktive Anwendung von maschinellem Lernen auf die Metadaten ermöglicht es zudem, die Benutzer bei ungewöhnlichen Aktivitäten zu warnen.

Unveränderbare Datenarchitektur

Eine auf unveränderbare Daten ausgelegte Architektur kombiniert ein unveränderbares Dateisystem mit einem Zero-Trust-Cluster-Design. Alle Datenoperationen erfolgen ausschliesslich über authentifizierte APIs. Dabei ist stets die Kontrolle gewährleistet, welche Anwendungen Informationen austauschen können, wie jeder Datenaustausch abgewickelt wird und wie die Daten über physische und logische Geräte angeordnet werden. Für die Unveränderbarkeit sind eine logische Schicht (Patch-Dateien, Patch-Blöcke) und eine physische Schicht (Stripes, Chunks) verantwortlich.

Sämtliche eingehenden Client-Daten landen in einer proprietären Sparse- oder Patch-Datei. Dieses Prinzip nutzt Append-only Files (AOFs). Hierbei können Daten nur dann in die Patch-Datei aufgenommen werden, wenn diese als offen markiert ist. Das Speichern aller Snapshot- und Journal-Daten erfolgt zwingend mit der Verwendung von Patch-Dateien in der zugrundeliegenden Verzeichnisstruktur. Das Dateisystem verweigert Schreibvorgänge auf API-Ebene, etwa wenn der Schreibversatzwert (Write Offset Value) nicht der Dateigrösse entspricht. Das Dateisystem hat die vollständige Kontrolle darüber, wie und wo Daten von Clients geschrieben werden.

Backup-Daten müssen stets unverändert bleiben, anderenfalls sind sie im Ernstfall unbrauchbar. Um dies auszuschliessen, generiert das Dateisystem für jeden Patch-Block innerhalb einer Patch-Datei Prüfsummen und schreibt diese in eine Fingerprint-Datei, die zusammen mit der Patch-Datei gespeichert wird. Vor einer Datentransformation erfolgt immer eine Fingerabdruckprüfung, damit die Originaldatei während der Leseoperationen intakt bleibt.

Um einem Ransomware-Angriff entgegenzuwirken, gilt es, die ursprünglichen, validierten Daten aus dem Backup wiederherzustellen. Die Plattform verifiziert routinemässig die Patch-Blöcke anhand ihrer Prüfsummen, um die Datenintegrität auf der Ebene der logischen Patch-Blöcke zu gewährleisten. Entscheidend ist dabei, dass die Patch-Dateien keinen externen Systemen oder Kundenadministratorkonten ausgesetzt sind. Das grundlegende Prinzip ist, exakt das wiederherzustellen, was ursprünglich gespeichert wurde. Herkömmliche Backup-Lösungen hingegen gewähren administrativen Zugriff auf das Dateisystem, insbesondere in Kombination mit Allzweckspeichern. Daraus ergibt sich ein weiteres Einfallstor für Leakware und Datenexfiltration. Beim gängigen Ansatz werden die Daten, die sich im Backup-Ordner oder -Volume befinden, wiederhergestellt, ohne diese zu überprüfen.

Die zweite Schicht einer auf Unveränderlichkeit ausgelegten Datenarchitektur ist die physische Schicht. Während die logische Schicht für die Datenintegrität auf Dateiebene zuständig ist, dient die physische Schicht zum Schreiben von Daten auf dem unveränderbaren Cluster. Dies ist entscheidend für die Datenintegrität und Datenstabilität. Hierzu dient eine logische Unterteilung der Patch-Dateien in Segmente fester Länge, sogenannte Stripes. Beim Schreiben von Stripes berechnet eine AOF eine Prüfsumme auf Stripe-Ebene, die sie in den einzelnen Stripe-Metadaten speichert. Es folgt eine Unterteilung der Stripes in physische Chunks, die auf physischen Platten innerhalb des Clusters gespeichert sind. Prozesse wie die Replikations- und Löschcodierung erfolgen auf der Chunk-Ebene. Beim Schreiben jedes Chunks berechnet das Dateisystem eine Chunk-Prüfsumme und speichert diese in den Stripe-Metadaten neben der Liste der Chunks.

Herkömmliche Ansätze zur Clustersicherheit basieren oft auf einem Full-Trust-Modell, bei dem alle Mitglieder des Clusters miteinander kommunizieren können. Es erfolgt keine gegenseitige Authentifizierungsprüfung. Möglich ist mitunter der Zugang auf Root-Ebene und das Lesen und Ändern von Daten, die im Dateisystem gespeichert sind. Im Falle von kompromittierten Backup-Daten gibt es keinen Pfad zur Wiederherstellung.

Jeder Cluster weist eine bestimmte Anzahl von Knoten auf, die miteinander kommunizieren müssen. Jeder Knoten, der Daten austauschen möchte, muss daher validiert werden. Gängige Backup-Lösungen verzichten jedoch weitgehend auf einen Schutz der Kommunikation zwischen den Knoten. Bei einem unveränderlichen Dateisystem erfolgt die gesamte Kommunikation innerhalb der Knoten und zwischen den Clustern sowie mit externen Anwendungen über das TLS-Protokoll mit zertifikatsbasierter gegenseitiger Authentifizierung.

Ein wesentlicher Bestandteil einer solchen Architektur ist zudem das API-first-Design. An sämtlichen Endpunkten, die für den Betrieb der Lösung zum Einsatz kommen, ist eine Authentifizierung erforderlich, entweder über Zugangsdaten oder ­sichere Token. Hierzu zählen Umgebungen, die Rollen-basierte Zugriffskontrolle (RBAC) oder Multi-Tenancy-Funktionen verwenden, um die verwalteten Rollen, Funktionen und Ressourcen logisch aufzuteilen. Die CLI (Command Line Interface), SDKs (Software Development Kits) und andere Tools mit den gleichen Sicherheitsanforderungen nutzen allesamt diese API.

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER