:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ransomware-freie Backup und Recovery schaffen Cyber-Resilienz Angriff auf die Datenrückversicherung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Im negativen Sinne kompetente Ransomware-Akteure greifen gezielt Backups an, um ein höchstmögliches Erpressungspotenzial aufzubauen und ein hohes Lösegeld zu erpressen. Denn Datensicherungen sind der Ort mit der höchsten Informationsdichte im Unternehmen und damit ein lohnendes Ziel für Spionage, Datenoffenlegung und Verschlüsselung. Ein wirksamer Schutz des Backups und eine rückstandfreie Recovery werden daher zu entscheidenden Faktoren der Cyber-Resilienz.
Erpresserischen Cyberkriminellen reicht es nicht mehr, Daten zu verschlüsseln. Immer häufiger starten sie eine Doppelerpressung. Neben der Verschlüsselung werden Spionage, der Weiterverkauf und die Drohung, DSGVO-relevante Daten und Informationen offenzulegen, für das Geschäftsmodell Ransomware immer rentabler. Sie sind auch oft einfacher: Verschlüsselung benötigt Zeit und verrät die Hacker. Zudem fallen das Entwickeln und Implementieren der Malware samt damit einhergehender Probleme weg. Außerdem lassen sich nicht verschlüsselte Daten, solange der Angriff unentdeckt bleibt, intensiv überprüfen, um die wertvollsten Informationen für einen Weiterverkauf auszuwählen. Laut den Experten von ZScaler ist der Anteil an Attacken ohne Verschlüsselung im Jahr 2023 gegenüber dem Vorjahr deshalb um rund 40 Prozent gestiegen.
Anomalien im Backup
Ein geschütztes, Malware-freies Backup ist daher ein zentraler Baustein der Cyber-Resilienz von Unternehmen. Ganz gleich, was der Angreifer im Schilde führt: Zugriffe auf das Backup müssen Plattformen für Datensicherheit und Datensicherung schnell in Echtzeit erkennen. Sie sind im schlimmsten Fall das unmittelbare Vorspiel für die nächsten Aktionen der Kriminellen: das Verschlüsseln oder Weiterleiten der Information. Plattformen für eine cyberresiliente Datensicherheit müssen daher Funktionalitäten bereitstellen, die Angriffe erkennen, verhindern und Daten rückstandlos wieder verfügbar machen.
Am wichtigsten ist dabei das möglichst frühzeitige Erkennen eines Angriffes. In komplexen Sicherungsumgebungen, in denen eine Vielzahl von Aktionen zu überwachen ist und eine Menge an Informationen zum Auswerten entsteht, bedarf es dazu der künstlichen Intelligenz (KI) und maschinellen Lernens (ML). Mögliche Ransomware-Angriffe kündigen sich im Vorfeld durch anomales Verhalten von Backup-Servern und -Daten an, welches nur eine KI und ML durch die Korrelation dieser Angriffssymptome erkennen kann.
Eine erhöhte Zugriffsrate für eine Datei, unbekannte zugreifende Quellen sowie ungewöhnliche Log-in-Muster oder Netzverkehr sind ebenso Verdachtsmomente für eine Datenexfiltration wie ein Zugriff durch eine digitale Identität, die bisher keine solcherlei Rechte hatte. Größere Backups durch eine höhere Zahl von Block Counts in einem deduplizierten Backup oder eine gewachsene Entropie eines Backup-Set sind der Auftakt einer unmittelbar anlaufenden Verschlüsselung. Ebenso aufschlussreich ist die Analyse der vorliegenden Dateierweiterungen in einem Sicherungsvolumen: Eine KI definiert die Baseline der 30 häufigsten Datentypen. Eine veränderte Häufigkeit der Top-Fünf ist ein nachzuprüfendes Indiz für einen Angriff.
Ein anderer Weg, Ransomware zu erkennen, ist Threat-Deception: Hacker aus der Defensive zu locken und zur Aktion zu bewegen, ermöglicht das Blocken ihrer Zugriffsmöglichkeiten und die Analyse ihres Eindringens. Bestehende Schwachstellen lassen sich so schließen. Plattformen sollten daher in ihren Backups und auch in Produktivdateien dynamisch verteilt Köder platzieren, die das Interesse der Hacker wecken und ihre Fileless-Seitwärtsbewegungen offenlegen. Dieselbe Funktion erfüllen auch gefälschte Sensoren, die IT-, OT-, Netzwerk- und Backup-Assets vortäuschen und Hacker mit Dateiattrappen, Active-Directory-Einträgen und Suchhistorien zur Aktion bewegen.
Reaktion und Prävention
Eine Differenz von der Baseline des Backup-Normalverhaltens deutet auf Probleme der Sicherheit oder der Integrität von Daten hin und löst einen Alarm aus. Bei einem kontinuierlichen Backup hat dies dann einen Malware-Scan zum Beispiel auf einer Cloud-Instanz oder einem Backup-Server zur Folge. Zugleich lässt sich in einer kontinuierlichen Sicherung automatisiert ein Snapshot anlegen – im Zustand unmittelbar vor erfolgter Kompromittierung. Bei einem Produktivserver könnte die Reaktion das Anstoßen eines sofortigen Backups oder ein Failover-Betrieb sein.
Backup- und Recovery-Plattformen, die eine Cyber-Resilienz ermöglichen, profitieren aber nicht nur von einem KI-basierten Endpunkt- oder Netzwerkschutz. KI und ML ermöglichen auch ein präventives Risikomanagement: Statistische Angaben über Zugriffe aus den verschiedensten Hierarchien im Unternehmen klassifizieren den Risikostatus der Datenbestände und definieren Prioritäten für die Recovery. Sie liefern auch die Basis, um Sicherheitsrichtlinien, wie etwa Zugriffsrechte, entsprechend restriktiv festzulegen.
Ebenso wichtig ist die Prävention von Datenverlust durch Air-Gaps, die Backups als unveränderbar und abgeschottet speichern. Hybrid-Cloud-Plattformen isolieren Sicherheitskopien in einem separaten Netzwerk oder unter eigener Sicherheitsdomäne. LAN/VLAN-Switching, Firewalls, Least-Privileg-Protokolle oder Zero-Trust-Zugang schotten die Sicherungsvolumen im Air-Gapping ab und machen sie unveränderlich. Der AWS-Dienst S3 Object Locking markiert Daten als unveränderlich und beantwortet damit strenge Vorgaben der DSGVO.
:quality(80)/p7i.vogel.de/wcms/5f/53/5f534fb5e2ee7e79a1cc389ab52bca0a/0117946827.jpeg "Dashboards zur Anzeige von Gefahren für Datensicherungen geben Informationen über die Bedrohungssituation. Im Beispiel Threat Scan als Teil der Commvault-Cloud-Pattform.")
:quality(80)/p7i.vogel.de/wcms/70/43/7043809609c54f0f6d0ee834c166a2a6/0117946828.jpeg "Visualisierung von Attacken. Im Beispiel Threatwise als Teil der Commvault-Cloud-Plattform.")
Kein Backup ohne schnelle Recovery
Trotz aller Abwehrtechnologien ist ein erfolgreicher Angriff nicht ausgeschlossen, sondern nur eine Frage der Zeit. In jedem Fall muss eine Recovery so schnell wie möglich mit geringem Recovery Point Objective (RPO) und Recovery Time Objective (RTO) starten. Eine Sofortmaßnahme ist die Identifikation und Quarantäne infizierter Files sowie deren automatischer Ausschluss vom weiteren Backup. KI hilft bei der schnellen Suche noch verwertbarer sauberer Daten und berechnet den letzten Malware-freien Backup-Set. Die Wiederherstellung erfolgt in einem sauberen digitalen Raum, dem sogenannten Cleanroom, der auch für eine Sandbox-Analyse infizierter Dateien und eine Simulation der Recovery dienen kann. So lassen sich Daten innerhalb von Stunden wieder neu aufspielen.
Gerade das Thema Ransomware zeigt: Der Schutz der Backups ist das Fundament und die Rückversicherung für die Cyber-Resilienz von Unternehmen. Diese ist nur durch die Kombination von Datensicherheit und Cybersicherheit möglich. Eine Backup- und Recovery-Plattform fungiert als Bindeglied zur IT-Sicherheit und als Schnittstelle zwischen den zuständigen Akteuren in SecOps und ITOps. Angesichts immer größerer Datenmengen und komplexer Infrastrukturen führt kein Weg an KI und ML vorbei, um Risiken und Angriffe zu erkennen sowie eine saubere, schnelle Recovery durchzuführen.
* Der Autor: Uli Simon, Director Sales Engineering bei Commvault
(ID:50016125)
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/95/d5/95d57b76ea02e237f4e9cc5f51c72b68/0117487495.jpeg "Um aktuelle Cyberbedrohungen effektiv zu bekämpfen, reicht es nicht mehr aus, Datenkopien anzufertigen und die Daten nach einem Vorfall wiederherzustellen. (Bild: ©Syda Productions via Canva.com)")