Suchen

Rubrik erläutert den Hintergrund unveränderbarer Backups So laufen Ransomware-Attacken ins Leere

| Autor / Redakteur: Achim Freyer* / Dr. Jürgen Ehneß

Eine schnelle Wiederaufnahme des Geschäftsbetriebs nach Ransomware-Angriffen ist möglich, wenn gewährleistet ist, dass die Backup-Daten unveränderbar sind.

Firmen zum Thema

Zum Schutz vor Ransomware muss das Backup unveränderbar sein.
Zum Schutz vor Ransomware muss das Backup unveränderbar sein.
(Bild: ©Sikov - stock.adobe.com)

Cyberangriffe durch Ransomware sind seit Jahren in den Schlagzeilen. Immer wieder wird von betroffenen Unternehmen berichtet, die nicht mehr auf ihre geschäftskritischen Daten zugreifen können. „Obwohl vielerorts in zahlreiche Schutzinstrumente investiert wurde, finden Erpresser dennoch weiterhin Möglichkeiten, um wichtige Unternehmensdaten zu verschlüsseln – es genügt schon ein Mitarbeiter, der aus Versehen ein gefährliches Attachment öffnet“, erklärt Roland Rosenau, SE Manager EMEA Central bei Rubrik. „Dies ist kein Geheimnis, denn selbst die führenden IT-Sicherheitsanbieter geben offen zu: 100 Prozent Schutz vor Eindringlingen gibt es nicht.“

Daher stellt sich die Frage, wie man eine Ransomware-Attacke ins Leere laufen lassen kann, selbst wenn der Angreifer schon erfolgreich in die jeweilige IT-Infrastruktur eingedrungen ist. Die Antwort hat nur sieben Buchstaben: Backups. Nur ein auf Unveränderlichkeit ausgerichtetes Dateisystem verhindert dabei den unbefugten Zugriff oder die Löschung von Backups und ermöglicht es IT-Teams, den letzten „sauberen“ Zustand der Daten mit minimaler Unterbrechung des Geschäftsbetriebs schnell wiederherzustellen.

Ransomware soll Daten so verschlüsseln, dass sie nicht mehr verwendbar sind. Häufig bedeutet dies die Verschlüsselung von Daten, die auf dem Primärspeicher vorgehalten werden, was massive Anstrengungen zur Datenwiederherstellung von Bandspeicher oder anderen Archiven erfordert. Zusätzlich führen die Angreifer eine Verschlüsselung auf niedrigerer Ebene des Master Boot Record (MBR) oder auf Betriebssystemebene durch, um das Booten und andere gängige Operationen zu blockieren. In virtualisierten Umgebungen ist der gemeinsam genutzte Datenspeicher, der zum Hosten virtueller Maschinen verwendet wird, ein primäres Ziel, wie zum Beispiel bei NFS-unterstützten Datenspeichern. Dadurch können kritische Dienste effektiv lahmgelegt werden. Die Angreifer verlangen dann ein Lösegeld, um die Daten oder Systeme freizugeben.

Entscheidend sind unveränderbare Backups

Datensicherungen sind generell eine effektive Methode zur Wiederherstellung von Daten, die durch den Angriff gesperrt/verschlüsselt wurden. Was aber, wenn die Sicherungsdaten ebenfalls verschlüsselt oder durch einen Ransomware-Angriff gelöscht wurden? Wie stellen Unternehmen sicher, dass ihre Sicherungsdaten nicht für diese Angriffe anfällig sind?

Während primäre Speichersysteme offen und für Clientsysteme verfügbar sein müssen, sollten Backup-Daten unveränderbar sein. Das bedeutet, dass einmal geschriebene Daten von den Clients im Netzwerk nicht mehr geändert oder gelöscht werden können. Dies ist die einzige Möglichkeit, die Wiederherstellung sicherzustellen, wenn die Produktionssysteme kompromittiert werden. Dies geht weit über einfache Dateiberechtigungen, Ordner-ACLs oder Speicherprotokolle hinaus. Das Konzept der Unveränderbarkeit muss in die Backup-Architektur „eingebacken“ werden, damit die Backups nicht manipuliert werden können.

Führende Anbieter zeitgemäßer Data-Management-Lösungen verwenden eine auf unveränderbare Daten ausgelegte Architektur, die ein „Immutable“-Dateisystem mit einem Zero-Trust-Cluster-Design kombiniert. Alle Datenoperationen können nur über authentifizierte APIs durchgeführt werden. „Den Ansatz der unveränderlichen Backups haben wir von Anfang an verfolgt“, berichtet Rosenau. „Eine der ersten Designentscheidungen von Rubrik war die Konstruktion von Atlas, einem unveränderbaren Dateisystem im Userspace (FUSE), das weitgehend POSIX-konform ist.“

Atlas ist als ein verteiltes und unveränderbares Dateisystem zum Schreiben und Lesen von Daten für andere Dienste konzipiert. Dies ermöglicht eine strenge Kontrolle darüber, welche Anwendungen Informationen austauschen können, wie jeder Datenaustausch abgewickelt wird und wie die Daten über physische und logische Geräte angeordnet werden. Die Unveränderbarkeit wird über zwei Schichten bereitgestellt: die logische Schicht (Patch-Dateien, Patch-Blöcke) und die physische Schicht (Stripes, Chunks). Die Dynamik zwischen diesen beiden Schichten wird in den nächsten Abschnitten näher erläutert.

Die logische Schicht

Alle in das System eingebrachten Kundendaten werden in eine proprietäre Sparse-Datei, eine so genannte Patch-Datei, geschrieben. Es handelt sich dabei um reine Append-only Files (AOFs), was bedeutet, dass Daten nur in die Patch-Datei aufgenommen werden können, wenn diese als offen markiert ist. Alle Snapshot- und Journal-Daten werden in Atlas gespeichert, was die Verwendung von Patch-Dateien in der zugrundeliegenden Verzeichnisstruktur erzwingt. Dieses Dateisystem verweigert Schreibvorgänge auf API-Ebene, die nicht nur angehängt werden, wie zum Beispiel Situationen, in denen der Schreibversatzwert (Write Offset Value) nicht der Dateigröße entspricht. Atlas hat die vollständige Kontrolle darüber, wie und wo Daten von Clients geschrieben werden.

Wenn Backup-Daten verändert wurden, sind sie im Prinzip wertlos. Dieses Problem wird gelöst, indem gewährleistet ist, dass für jeden Patch-Block innerhalb einer Patch-Datei Prüfsummen generiert werden. Diese Prüfsummen werden berechnet und in eine Fingerprint-Datei geschrieben, die zusammen mit der Patch-Datei gespeichert wird. Rubrik führt immer eine „Fingerabdruckprüfung“ durch, bevor eine Datentransformation erfolgt, damit die Originaldatei während der Leseoperationen intakt bleibt.

Um einem Ransomware-Angriff entgegenzuwirken, müssen die ursprünglichen, validierten Daten aus dem Backup wiederhergestellt werden. Rubrik verifiziert routinemäßig die Patch-Blöcke anhand ihrer Prüfsummen, um die Datenintegrität auf der Ebene der logischen Patch-Blöcke sicherzustellen. Die Patch-Dateien sind keinen externen Systemen oder Kundenadministratorkonten ausgesetzt. Somit wird akribisch darauf geachtet, genau das wiederherzustellen, was ursprünglich gespeichert wurde.

Beim herkömmlichen Ansatz hingegen wird administrativer Zugriff auf das Dateisystem gewährt, insbesondere bei der Verwendung von Allzweckspeichern. Dies bringt weitere Herausforderungen mit sich und öffnet einen weiteren Angriffsvektor für „Leakware“. Darüber hinaus stellen viele andere Lösungen einfach die Daten wieder her, die sich im Backup-Ordner oder -Volume befinden, ohne dass eine Validierung und andere notwendige Überprüfungen der Daten durchgeführt werden.

Die physische Schicht

Während sich die logische Schicht auf die Datenintegrität auf Dateiebene konzentriert, konzentriert sich die physische Schicht auf das Schreiben von Daten auf dem unveränderbaren Cluster, um Datenintegrität und Datenstabilität zu erreichen. Zu diesem Zweck werden Patch-Dateien logisch in Segmente fester Länge, sogenannte Stripes, unterteilt. Beim Schreiben von Stripes berechnet die AOF eine Prüfsumme auf Stripe-Ebene, die sie in den einzelnen Stripe-Metadaten speichert.

Die Stripes werden weiter in physische Chunks unterteilt, die auf physischen Platten innerhalb des Rubrik-Clusters gespeichert sind. Aktivitäten wie die Replikations- und Löschcodierung finden auf der Chunk-Ebene statt. Genau wie bei Patch-Dateien wird beim Schreiben jedes Chunks eine Chunk-Prüfsumme berechnet und in den Stripe-Metadaten neben der Liste der Chunks gespeichert.

Zero-Trust-Cluster, gesicherte Kommunikation und authentifizierte APIs

Herkömmliche Ansätze zur Clustersicherheit beruhen oft auf einem „Full Trust“-Modell, bei dem alle Mitglieder des Clusters miteinander kommunizieren können. In einigen Fällen beinhaltet dies Autorität auf Root-Ebene, keine gegenseitige Authentifizierungsprüfung und die Möglichkeit, Daten, die im Dateisystem gespeichert sind, zu lesen oder zu ändern. Dies schafft eine empfindliche Angriffsfläche, wenn eine Architektur eigentlich nach dem „Defense in Depth“-Prinzip entworfen werden soll. Wenn Backup-Daten kompromittiert werden können, gibt es keinen Pfad zur Wiederherstellung.

Jeder Cluster hat eine bestimmte Anzahl von Knoten, die miteinander kommunizieren müssen. Das bedeutet, dass jeder Knoten, der Daten austauschen möchte, validiert werden muss. Bei vielen Lösungen gibt es wenig bis gar nichts, um die Kommunikation zwischen den Knoten zu schützen. Rubrik verwendet für die gesamte Kommunikation innerhalb der Knoten und zwischen den Clustern sowie für die Kommunikation mit externen Anwendungen das TLS-Protokoll mit zertifikatsbasierter gegenseitiger Authentifizierung.

Wesentlich ist zudem ein API-first-Design als Teil der Architektur. An allen Endpunkten, die für den Betrieb der Lösung verwendet werden, ist eine Authentifizierung erforderlich. Diese kann über Zugangsdaten oder sichere Token erfolgen. Dazu gehören Umgebungen, die rollenbasierte Zugriffskontrolle (RBAC) oder Multi-Tenancy-Funktionen verwenden, um die verwalteten Rollen, Funktionen und Ressourcen logisch aufzuteilen. Die CLI (Command Line Interface), SDKs (Software Development Kits) und andere Tools nutzen die API und unterliegen denselben Sicherheitsanforderungen.

Schlussfolgerung

Zahlreiche Experten sprechen sich öffentlich für eine „Defense in Depth“-Strategie aus. Diese umfasst die Schulung des Sicherheitsbewusstseins von Mitarbeitern, die schnelle Bereitstellung von Patches und einen soliden Backup-und-Recovery-Plan.

Achim Freyer, Regional Director Central and Eastern Europe bei Rubrik.
Achim Freyer, Regional Director Central and Eastern Europe bei Rubrik.
(Bild: Rubrik)

„Wichtig ist es auf jeden Fall, die technologischen Hintergründe zu verstehen. Die Vorteile einer Kombination aus Datenunveränderbarkeit und einem Zero-Trust-Cluster-Design sollten bekannt sein“, fasst Rosenau zusammen. „Unternehmen müssen in der Lage sein, Ransomware-Angriffe ohne Schaden zu überstehen, um minimale Ausfallzeiten ihrer kritischen Dienste zu gewährleisten. Eine Architektur, die unveränderbare Backups garantiert, gibt Unternehmen die Gewissheit, bei Bedarf jederzeit auf ihre Daten zugreifen zu können, um den Geschäftsbetrieb fortzusetzen.“

*Der Autor: Achim Freyer, Regional Director Central and Eastern Europe bei Rubrik

(ID:46577596)