Marilyn Wilkinson, September 2024

Experten-Tipp: Die fehlende Phase Ihrer Anti-Ransomware Strategie

Reden wir über Ransomware Strategien.

Bei South Park gibt es eine Episode, in der Gnome Unterwäsche stehlen. Fragen die Menschen die Gnome nach dem Grund für den Diebstahl, erhalten sie immer dieselbe Antwort. Phase I – Unterwäsche sammeln, Phase III – Profit. Der Running Gag: “Was war Phase II?”. Niemand weiß die Antwort darauf, die Gnome machen einfach mit Phase I weiter und hoffen, zu Phase III zu gelangen.    

Bei Ransomware Strategien gibt es das gleiche Problem. Phase I – Ransomware erkennen, Phase III – von Ransomware-Attacke erholen. Das ist allerdings keine gute Lösung. Warum? Weil die kritische Phase, Phase II, nicht berücksichtigt wird. Was Phase II ist? Anders als die unterwäsche-stehlenden Gnomen haben wir darauf eine Antwort. Phase II ist das Stoppen der Attacke. Genau, eigentlich ganz einfach. Phase II – Ransomware stoppen. 

Wie kann man von Phase I zu Phase III übergehen, ohne Phase II abzuschließen? Das ist das größte Problem, das es beim Großteil gängiger Anti-Ransomware Lösungen gibt. Die meisten können Ransomware erkennen – wenn diese Lösungen die Ransomware aber nicht STOPPEN, wie können Sie dann in die Recovery-Phase übergehen? Eine echte, sinnvolle Anti-Ransomware Lösung würde Sie nicht nur vor einem Angriff warnen, sondern diesen auch aufhalten. Wenn die Attacke nicht gestoppt wird, warum würden Sie dann mit der Datenwiederherstellung beginnen? Ist die Wiederherstellung fertig, aber die Attacke noch nicht eingedämmt, wie können Sie den Endnutzern dann ihren Zugriff zurückgeben? All das führt zu Ausfallzeiten und möglichen Datenverlusten, weil der Angriff nicht GESTOPPT wurde. 

Es gibt viele Ransomware Recovery Lösungen, die den Angriffen aber nicht vorbeugen. Eine Anti-Ransomware Lösung schützt Ihre sensiblen Daten, sodass Sie sich keine Sorgen um kostspielige Ausfallzeiten und Wiederherstellungsprozesse machen müssen. 

Wenn ich an Phase II denke, kommt mir sofort ProLions CryptoSpike in den Sinn, der Ihre CIFS/NFS Dateifreigaben und -exporte aktiv überwacht. Wenn CryptoSpike eine bekannte Ransomware-Dateiendung entdeckt, (CryptoSpike analysiert über 5.000 und die Anzahl steigt täglich) reagiert die Lösung sofort und entzieht dem Angreifer den Zugriff auf die Daten. Auch bei Zero-Day Attacken oder Ransomware, die keine Dateiendungen verwendet, reagiert CryptoSpike binnen kürzester Zeit. CryptoSpike überwacht jeden I/O auf der Suche nach einem Verhaltensmuster, das auf Ransomware hindeutet. Wenn die Lösung ein unübliches Verhalten erkennt, wird dem Angreifer ebenfalls der Zugriff auf die Daten entzogen und der Angriff noch in den Anfängen gestoppt. Neben dem Entziehen des Zugangs werden Sie auch darüber benachrichtigt, wen der Angriff betrifft und wo er stattgefunden hat. Da Phase I und II nun erledigt sind, können wir zu Phase III übergehen. 

Da Sie die Attacke schnell gestoppt haben, müssen Sie nicht die gesamte Umgebung wiederherstellen. Ein hochwertiges Produkt wie CryptoSpike zeigt Ihnen genau jene Dateien, die vom Angriff betroffen sind und sie können eben diese beschäftigten Files gezielt wiederherstellen. Dadurch wird Phase III – von Ransomware-Attacke erholen, super kurz. Ich würde lieber ein paar hundert Dateien wiederherstellen als die gesamte Umgebung. Dadurch wird auch die Validierung der Umgebung zu einer kleinen Aufgabe statt einer gigantischen.

Da sehen Sie: beim Evaluieren Ihrer aktuellen oder künftigen Anti-Ransomware Lösung achten Sie darauf, dass alle Phasen abgedeckt werden. Zusammenfassend:

Phase I – Ransomware erkennen 

Phase II – Ransomware stoppen

Phase III – von Ransomware-Attacke erholen

Sorgen Sie dafür, dass die „Gnome” Phase II – Ransomware stoppen – nicht ignorieren. Nutzen oder kaufen Sie keine Lösung, denen eine Phase fehlt. Wenn Sie alle Phasen abdecken, werden Ransomware-Attacken zu kleinen Ärgernissen statt zum Ende Ihrer Karriere.

Für mehr Informationen über CryptoSpike, schicken Sie uns eine E-Mail an [email protected].

Über den Autor

Matt Elvers ist technischer Team-Lead bei ProLion, der sich um den technischen Support und das Team Management am US-Markt kümmert. Er hat umfassende Erfahrung im Bereich Cybersecurity und Storage Architektur war mit fast jedem Aspekt eines Data Centers in Berührung. Vom Storage Engineer bis zur IT-Leitung: Matt hat in mehreren Großunternehmen wie Lockheed Martin, Arrow Electronics und Leidos sein Können unter Beweis gestellt. Er ist außerdem von Dell EMC, NetApp und CompTIA Security+ zertifiziert. 

Über ProLion

ProLion bietet leistungsstarke Schutzlösungen für kritische Storage- und Backupdaten, on-premise oder in der Cloud. Vom Ransomware-Schutz, der Bedrohungen in Echtzeit erkennt, bis hin zur Datenzugriffstransparenz. Unsere branchenführenden Technologien sorgen dafür, dass Ihre Storage Systeme sicher, compliant, verwaltbar und rund um die Uhr zugänglich bleibt.