'Ransom(A)ware' - native Storage Feature as a Life Insurance for your Company - Part 2

Im Ersten Teil der Blog-Serie (zum 1. Teil) gab ich eine kurze Einführung in das Thema Ransomware-Angriffe. In diesem Beitrag geht es um den Einsatz eines Schutzmechanismus der eine ungewollt-unwiderrufliche Löschung der Daten auf Ihren Speichersystemen bei Cyber-Angriffen unterbindet.

Gib Ransomware keine Chance!

Sorge mit entsprechender Awareness (Bewusstsein) zum Thema Ransomware vor und aktiviere "SafeMode" als Schutzmechanismus - Ihre "last line of defense" auf Pure Storage Speichern.

Pure Storage SafeMode ermöglicht Unternehmen Ihre Daten vor bösartigen Angriffen zu schützen. SafeMode erstellt schreibgeschützte Snapshots der Produktivdaten und/oder Backups und seinen zugehörigen Metadaten. SafeMode Snapshots können nicht gelöscht, verschlüsselt oder verändert werden. Wenn SafeMode aktiviert ist, kann niemand Snapshots für einen fest definierten Zeitraum löschen - auch nicht Angreifer, die es schaffen, Administrator-Rechte auf den Pure Storage Systemen zu erlangen. Sollten Sie Anpassungen innerhalb SafeMode wünschen wie z. B.

• SafeMode Retention

• Deaktivierung SafeMode

• Hinzufügen/Entfernen autorisierter Personen

sind oben genannte Vorgänge nur dann möglich, wenn ein klar definierter Prozess durchlaufen wurde, dazu gehört:

• Change Request via Support Case (Pure Storage)

• Autorisierung als berechtigte Person "Named Accounts" für Änderungen anhand einer PIN (wird bei Einrichtung für jeden Named Account definiert)

• Autorisierung erfolgt ausschließlich telefonisch *

Dieses Vorgehen ähnelt einer Zwei-Faktor-Authentifizierung (2FA).

SafeMode ist die Lebensversicherung Ihrer Unternehmensdaten im Fall eines Ransomware-Angriffs!

Mehrwerte wenn Sie Ihre Daten auf Pure Storage Systemen abspeichern:

• SafeMode - Schutz Ihrer Daten/Metadaten

• Rapid Restore - schnellste Wiederherstellung nach einem Ransomware-Angriff danke NVMe End-to-End

SafeMode - ausnahmslos alle Purity Software-Features (implemented/planned) - ist im Rahmen Ihrer Pure Storage Evergreen Subscription inbegriffen und hierfür zahlen Sie bei Nutzung keinen einzigen zusätzlichen Euro/$.

Mittlerweile ist das Feature SafeMode in allen Purity OEs verankert. Das präferierte System mit SafeMode ist jedoch klar FlashBlade (Purity OE FlashBlade). SafeMode funktioniert mit FlashBlade, FlashArray und NEU!: Cloud Block Store (CBS). Je nach Plattform unterscheidet sich SafeMode minimal, dennoch erreicht man mit beiden Produkten den gleichen Schutz.

SafeMode FlashBlade vs. FlashArray

SafeMode für CBS

Cloud Block Store unterstützt seit Purity 6.1 ebenfalls SafeMode. CBS SafeMode funktioniert wie bei FlashArray.

Die richtige SafeMode Strategie

Im Fall eines Angriffs gilt es fürs Erste den Zeitpunkt des Beginns einer Verschlüsselung zu ermitteln, um herauszufinden, welcher der letzten SafeMode Datensätze (unkompromittierte Kopie) für eine Wiederherstellung genutzt werden kann. Die meisten Angriffe werden innerhalb weniger Stunden erkannt. Sobald die Sicherheitslücke geschlossen ist, kann die Wiederherstellung beginnen. Nach erfolgreicher Wiederherstellung kann dann das Cleaning der Umgebung/Daten auf Überbleibsel der Schadsoftware beginnen. Solch ein "waschen" der Daten kann mehrere Tage in Anspruch nehmen.

Beispiel zeitlicher Ablauf eines Ransomware-Angriffs (SafeMode Retention 30 Tage)

Grundsätzlich rate ich bei der Konfiguration SafeModes den Kunden Ihre Infrastruktur immer in verschiedenen Verteidigungslinien zu unterteilen:

1. First Line of Defense = Technologien um Ransomware-Angriffe vorzeitig zu erkennen und abzuwenden.

2. Datacenter Security Breach (setzt Versagen der "First Line of Defense" voraus) = Technologien um laufende Ransomware-Angriffe (Teilverschlüsselung) im Datacenter auf dem Primär-Speicher schnell zu bereinigen. Eine Datenwiederherstellung ohne zwingenden Restore von Backup-Speicher.

3. Last Line of Defense (setzt Versagen des "Datacenter Security Breach" voraus) = Technologien um bei einen ausgedehntem Ransomware-Angriff (Vollverschlüsselung) im Datacenter die Backup Wiederherstellbarkeit sicherstellen. Eine Datenwiederherstellung mit zwingenden Restore von Backup-Speicher.

Für den ersten Punkt der Verteidigungsstrategie muss man sich nach passenden Technologien über Speichersysteme hinaus umsehen. Um nämlich eine solch Anforderung zu erfüllen, gibt es bei Pure Storage kein passendes Produkt im Portfolio. Entsprechende Security-Anbieter sind hier jedoch auch die besseren Experten.

Sollte es nun zu einer Ausbreitung mit frühzeitiger Erkennung der Verschlüsselung in der Produktivumgebung kommen, ist es hilfreich SafeMode mit einer geringen Retention von zwischen 3-14 Tagen zu aktivieren. So haben Sie einen schnellen Weg zurück, ohne auf die eigentlichen Backups direkt zuzugreifen. Selbiges gilt für Remote Sites, welchen in der Regel sowieso eine eingeschränkte Bandbreite zur Verfügung steht und vollständige Restores vom HQ entsprechend dauern.

Wenn ein Ransomware-Angriff im schlimmsten Fall größtenteils unentdeckt über ein mehrere Stunden oder ein Wochenende wüten konnte, dann bleibt in der Regel nur ein Weg: Restore vom schnellen Backupspeicher. Je nachdem wie groß Ihr Datenbestand ist, empfehle ich hier eine Retention von 14 bis zu 30 Tagen. Es steigt die Wahrscheinlichkeit, dass auch wirklich 100% Ihrer Daten mit einer höheren Retention - bei einer versteckt-schleichenden Verschlüsselung - zurückgespielt werden können.

SafeMode kann nicht nur in einer reinen Pure Storage Infrastruktur genutzt werden. Sollten Sie heute andere Speicher-Hersteller (DELL, NetApp, HPE, Huawei, ...) bei sich im Datacenter verwenden, reicht fürs Erste ein FlashBlade oder FlashArray (je nachdem), um in Zukunft Backupdaten innerhalb Puritys abzulegen und durch SafeMode gegen Ransomware-Angriffe zu sichern.

Es gibt eine offizielle Pure Storage Referenzstory zu einem attackiertem Krankenhaus, welches sich dank SafeMode innerhalb von 3 Tage vom Ransomware-Angriff bereinigen konnte: Pure Accelerates Hospital’s Recovery from Ransomware Attack.

Ich habe ein PowerShell Skript geschrieben, welches einen täglichen Bericht zu ausstehenden Löschungen (innerhalb der SafeMode Retention) per Mail an die Verantwortlichen Personen zu senden, um zusätzliche Überwachung zum Verhalten der Speicher Systeme zu erlangen. Sehen Sie hierzu meinen Beitrag vom 19. Januar 2021: FlashArray: Eradication Pending Reporting - PowerShell Script available - ask me.

Weitere Infos - Links

Sämtliche offiziell veröffentlichten Einstellungsmöglichkeiten in der GUI, aber auch CLI können über die "on-board" User Guides der Pure Storage Systeme nachgelesen werden.

Im Purity Hauptmenü hierzu auf "Help" klicken.

Der User Guide ist wie das Hauptmenü gegliedert und kann von Ebene zu Ebene geöffnet werden. Eine Suchfunktion ist auch integriert - hier kann mit Schlagworten gesucht werden.

WEB: Pure Storage (Pure1) Supportportal - Ticketsystem und Unterstützung *(erfordert registrierte FlashSysteme)

TEL: Pure Storage Telefonsupport: GER - (+49) (0)800 7239467; INTERNATIONAL - (+1) 650 7294088

WEB: Pure Storage Community

WEB: Pure Storage OFFICIAL Blog

Der Blog lebt von Fragen, Wünschen und Anregungen...jeder Kommentar ist ❤-lich willkommen. Über Feedback bin ich sehr dankbar.