Mit Schlagworten wie Isolated-Recovery, Air-Gapping von Backup-Systemen und terminierten Updates sehen sich aktuell viele Unternehmen konfrontiert, die nach erfolgsversprechenden Strategien zum Schutz vor Ransomware-Attacken suchen. Darüber hinaus stehen viele vor der Frage, welche Ansätze einerseits das Budget schonen und andererseits sowohl leistungsfähig als auch einfach einzusetzen sind. Rubrik, spezialisiert auf Cloud-Data-Management, erläutert diese Ansätze und analysiert sowohl das Konzept als auch die Grenzen von Isolated-Recovery.
Isolated-Recovery
Für Netzwerkspezialisten ist Air-Gapping nichts Neues. Einfach gesagt, werden zwei Netzwerke physisch getrennt. Meistens handelt es sich dabei um ein sicheres und ein „unsicheres“ Netzwerk. Diese „physikalische Isolation“ ist charakteristisch für Isolated-Recovery und basiert auf dem Konzept, dass eine separate Datenzentrumsinfrastruktur von der primären Infrastruktur durch eine Art Luftloch – ein Air-Gap“ getrennt ist. Beim Isolated-Recovery wird diese Lücke regelmäßig geschlossen um Replikations-Updates durch zu führen. Dies ähnelt stark dem Betrieb einer Desaster-Recovery-Infrastruktur.
„Theoretisch gibt es absolute Sicherheit, dass die Daten dank des Air-Gap nicht betroffen und zur Wiederherstellung geeignet sind, wenn die Daten von Kriminellen mit Ransomware verschlüsselt wurden“, erklärt Christian Scherf, Account Executive DACH bei Rubrik. Ein anderer Ansatz sind terminierte Updates. „Was aber, wenn die Ransomware nicht entdeckt wird, bevor das nächste geplante Update läuft?“, fragt Christian Scherf. „Da hat ihnen die separate Infrastruktur nichts gebracht außer Kosten und unübersichtlicher Strukturen.“
Noch fataler wird die Situation, wenn das geplante Update nach einer Ransomware-Infizierung oder einem Angriff, aber vor der Entdeckung passiert. Die Ransomware kann inaktiv sein, um vor allem an regulären Updates vorbeizukommen und den Unternehmen werden ihre Daten an beiden Orten mit Ransomware verschlüsselt.
„Aus Gesprächen wissen wir, dass unentdeckte Ransomware-Verschlüsselung für die meisten Unternehmen die größte Herausforderung ist, gegen die sie sich wappnen wollen, wenn sie Isolated-Recovery ansprechen.“ Im Gegensatz zu anderen Backup-Systemen sind moderne Snapshots nach ihrer Erstellung unveränderbar. „Kein äußerer Einfluss kann die Systeme veranlassen, mit den bestehenden Backups unerlaubte Dinge zu tun.”
Unabhängig von nachfolgenden Backups, die vielleicht verschlüsselte Versionen früherer Datensicherung enthalten, werden die vorherigen Datensicherungen nicht beeinträchtigt. Die vorherigen Backups stehen dem Nutzer nie in einer Read/Write-Version zur Verfügung. Auch während der Wiederherstellung einer Virtual-Machine, verbleiben die darunterliegenden Backups in dem Modus Read-Only. Das hindert Ransomware an dem Zugriff und an der Verschlüsselung von Backup-Daten.
Die Unveränderbarkeit ist der entscheidende Punkt. Damit haben moderne Backup-Lösungen mit einer „Air-Gapped“-Umgebung auch ohne großen Aufwand und höhere Kosten entscheidende Vorteile. Denn auch wenn jemand die Produktionsinfrastruktur angreift, VMs, Ordner-Systeme oder Datenbanken löscht, gehen die damit verbundenen Backups niemals verloren. Bei Rubrik werden sie stattdessen umbenannt und auf Grundlage des hinterlegten SLAs gesichert.