Trotz einiger Vorsichtsmaßnahmen haben sich Trojaner viel schneller als man denkt ins eigene Netzwerk eingeschlichen. Getarnt als Anhang in einer Mail oder als gefälschter Link kommen sie ins Unternehmensnetzwerk und richten meist lautlos Schaden an. Obwohl aktuell bekannte Schadsoftware bereits von Anti-Viren-Programmen erkannt und geblockt wird, schlafen die „Bösen“ nicht und kreieren immer neue Varianten, welche dann doch Zugang erhalten.
Schadsoftware, welche einzelne Dateien verschlüsselt oder gar den Zugriff auf den gesamten Rechner verwehrt, wird auch als Ransomeware bezeichnet.
Helfer in der Not können sicherlich Tools sein, die diesen Schadcode entfernen, allerdings sind diese gegen die bereits verschlüsselten Dateien ebenfalls machtlos. Hier kann man also entweder hoffen und warten, dass der Code hinter dem jeweiligen Schadprogramm geknackt wird und diese Codes dann entschlüsselt werden. Oder man zahlt eine Art Lösegeld (meist über eine Cryptowährung wie z.B. BitCoin) und hofft, dass man für die verschlüsselten Daten einen Key bekommt.
Typischerweise erfolgt die Infektion über E-Mail Anhänge, gefälschte URLs oder gar über einen einfachen USB-Stick. Sehr bekannte und vielfach verbreitete Ransomeware-Schädlinge waren beispielsweise Tesla, Locky und WannaCry. Aber es gibt viele weitere Varianten, welche ebenfalls einen großen Schaden verursacht haben.
Bei einer Infektion gibt es viele Herausforderungen wie z.B.
- Welcher Client / User verschlüsselt die Daten?
- Wie erkennt man was verschlüsselt wurde?
- Wann wurde das letzte Backup oder der Snapshot erstellt?
- Wie soll restored werden: forward oder backward?
Ein großes Problem besteht schon beim rechtzeitigen Erkennen des Befalls. Ist das Problem aber erstmals erkannt, ist der nächste Schritt, das Identifizieren aller betroffenen Dateien/Ordner. Danach beginnt das „Aufräumen“ – mittels Backups und Snapshots werden Dateien wieder rekonstruiert – ein zeitintensiver Vorgang!
Unsere Erkenntnisse aus bisherigen Fällen:
- Meldung, dass ein Befall vorliegt: zufällig
- Suche der Ursache: schwierig
- Alle Ursachen entdecken: unsicher
- Urzustand wiederherstellen: aufwändig und mühsam
- Zeitraum einer Aufräumaktion: Tage bis Wochen
- Kosten: immens
NetApp bietet mit deren Bordmitteln (SnapShots, SnapRestore) schon eine sehr gute Basis , aber erfordert einigen manuellen Aufwand und bietet keine „Single GUI“. Denn ein Full Restore (SnapRestore) setzt den Datenbestand auf den Zeitpunkt X, d.h. vor der Infektion. Damit gehen auch alle „guten“ Veränderungen bis zum Erkennen des Befalls verloren und müssen daher mühsam und vor allem manuell wiederhergestellt werden.
Mit Cleondris SnapGuard gibt es eine Lösung für NetApp Storage, welche über die NetApp fpolicy Schnittstelle eine Überwachung aller Filezugriff in Echtzeit ermöglicht. Diese arbeitet im Hintergrund mit einem Regelwerk im „Firewall Prinzip“. Wird ein Verstoß bemerkt, wird der weitere Zugriff bzw. der User geblockt und ein Admin benachrichtigt. Dieser kann dann einen selektiven Restore der verschlüsselten Files über ein Webinterface initieren.
Weitere Vorteile von Cleondris SnapGuard Enterprise:
- Live Monitoring der NetApp über fpolicy
- Granulares Regelwerk nach „Firewall Prinzip“
- Erkennen von „auffälligem“ Verhalten
- Alarmierung bei erkannten Ereignissen
- Automatisches blockieren von nicht-konformen Clients
- Protokollieren vom Verschieben von Verzeichnissen
- Verhindern vom Verschieben von Level-N Verzeichnissen
- Kompatibel mit bisherigem Anti-Viren-Schutz
Mit SnapGuard haben Sie ein Tool an der Seite, welches proaktiv Filezugriffe überwacht, Schadsoftware erkennt und sehr schnell eine Verbreitung stoppt, sowie bei einem Restore der beschädigten Dateien unterstützt.
Sie können SnapGuard jederzeit kostenlos 30 Tage testen und sich von der Leistungsfähigkeit live überzeugen – sprechen Sie uns an!
