Die Zahl der Telearbeitsplätze steigt weiter. Im gleichen Maße verstärken Cyberkriminelle ihre Angriffe. Die neuen Funktionalitäten machen es einfacher, bewährte Verfahren für Sicherheit und Business Continuity direkt auf der Ebene der Infrastruktur zu implementieren, anstatt sich alleine auf eine komplexe Kombination darauf aufsetzender Sicherheitsprodukte zu verlassen.
Ein aktueller Gartner-Bericht (1) kommt zu dem Schluss, dass „es 2020 verstärkt Angriffe auf Telearbeitsplätze und Attacken mittels auf das jeweilige Ziel angepasster Schadsoftware gegeben hat, um weltweite Ereignisse wie die Covid-19-Pandemie auszunutzen. Erpressersoftware hat sich über breit streuende Angriffe von der Stange hinausentwickelt, die dazu gedacht waren, einzelne Endpunkte zu infizieren. Mittlerweile operieren die Angriffe auf Basis fortgeschrittener Techniken wie dateiloser Schadsoftware und Datenexfiltration […] Diese neuen Arten von Erpressersoftware machen vorbeugende Maßnahmen und Planungen notwendiger denn je, um Ransomware-Attacken zu vereiteln.“ Unternehmen und Organisationen, speziell solche mit einer großen Anzahl an Telearbeitern oder hybriden Arbeitsumgebungen, können sich nicht mehr auf punktuell wirkende Maßnahmen oder Lösungen verlassen, um sich zu schützen. Sie müssen vielmehr dafür sorgen, dass ihnen die IT-Infrastruktur die Möglichkeit gibt, bestmöglich auf solche Vorfälle zu antworten.
Bedrohungen für Netzwerke und Daten entdecken und unbeschadet überstehen
Die Cloud-Plattform von Nutanix ermöglicht ab sofort Anomalieerkennung auf Basis von maschinellem Lernen und Diensten zur Bewertung von IP-Adressen. Diese Funktionalität ist Teil der Betriebs- und Monitoring-Lösung des Anbieters für Netzwerksicherheit: Flow Security Central, ein Bestandteil von Nutanix Flow. Mittels Flow Security Central lassen sich bekannte Angriffsvektoren, einschließlich potenzieller Erpressersoftware, auf Netzwerkebene entdecken, bevor sie die Anwendungs- und Datenschicht erreichen. Konkret untersucht Flow Security Central das Netzwerk nach Anomalien, bösartigem Verhalten und verbreiteten Netzwerkattacken, die sich dadurch ausbreiten, dass sie nach verwundbaren Zielen suchen. Flow Security Central überwacht zudem Endpunkte, um Netzwerkverkehr aufzuspüren, der aus zweifelhaften Quellen stammt. Dies ist insbesondere für den Schutz virtueller Desktop-Infrastrukturen (VDI) geeignet, die ein primäres Ziel für die Erstinfektion und die Ausbreitung von Erpressersoftware darstellen.
Die Cloud-Plattform von Nutanix enthält zudem ab sofort native Funktionen zur Erkennung von Ransomware als Teil der Dienste des Anbieters zur Speicherung von Dateien in Nutanix Files. Die Dateianalysefunktionen, ein Funktionsbereich von Nutanix Files, können abnormale und verdächtige Zugriffsmuster erkennen und bekannte Ransomware-Signaturen identifizieren. Dadurch lässt sich der Datenzugriff in Echtzeit blockieren. Damit Snapshots auch tatsächlich vorhanden sind, wenn sie gebraucht werden, ermitteln die Dateianalysefunktionen Dateilaufwerke mit unsauber konfigurierten Replikationen und Snapshots und informiert IT-Administratoren über das potenzielle Risiko. Nutanix Files erstellt zudem unveränderbare Snapshots. Das verhindert das Verfälschen und Löschen von Dateien, das heißt verbreitete Angriffsmechanismen in Ransomware-Payloads, um Versuche zur Wiederherstellung zu verhindern. Für Dateilaufwerke, für die sie aktiviert wurden, sorgen die nativen Snapshot-Funktionen für eine beschleunigte Wiederherstellung. Mit Hilfe dieser vollständig integrierten Funktionalitäten von Nutanix Files können IT-Profis Angriffe mit Erpressersoftware sowohl entdecken als auch schnell die Folgen davon beseitigen.
Daten und Anwendungen schützen
Um Anwendungsdaten vor Ransomware-Attacken zu schützen, enthält die Cloud-Plattform von Nutanix neue Funktionen in Nutanix Objects, der Lösung des Anbieters zur Objektspeicherung. Objects bietet jetzt granularere Berechtigungen für den Zugriff auf Objektdaten im Primär- und Sekundärspeicher. Konkret lassen sich mit Hilfe von Nutanix Objects jetzt Write Once Read Many (WORM)-Regeln auf der Ebene einzelner Dateien und Objekte konfigurieren. Letztere können von der IT gezielt ausgewählt werden, um der nicht autorisierten Löschung oder Verschlüsselung von Daten vorzubeugen und damit viele verbreitete Angriffe mit Erpressersoftware zu verhindern. Dieser WORM-Schutz lässt sich automatisiert bereitstellen, indem die Daten einfach in die Kategorie „Legal Hold“ eingeordnet werden, was das Fälschen der Daten oder ihre böswillige Zerstörung verhindert. Die neuen Schutzfunktionen von Objects wurden von Cohasset Associates geprüft. Das Ergebnis dieser Prüfung bestätigte, dass die Funktionen die Anforderungen an die nicht überschreibbare und nicht löschbare Speicherung elektronischer Belege erfüllt, wie sie in relevanten Regelwerken der SEC, FINRA und CFTC spezifiziert sind.
Objects enthält neu granulare Datenzugangsberechtigungen auf der Ebene einzelner Buckets. Dadurch können IT-Administratoren mandantenfähige Umgebungen besser schützen. Zudem unterstützt die Nutanix-Plattform ab sofort Microsoft Windows Credential Guard für virtuelle Maschinen und virtuelle Desktops, die auf dem Hypervisor AHV laufen. Credential Guard bietet auf der Ebene des Betriebssystems zusätzlichen Schutz vor Schadsoftware, deren Angriffszweck im Diebstahl von Zugangsberechtigungen in Betriebssystemumgebungen von Microsoft besteht. Erpressersoftware nutzt diesen Angriffsvektor auf breiter Basis, um sich Administratorenrechte zu verschaffen.
Für Business Continuity sorgen
Bedrohungen zu entdecken und zu verhindern sind beides Schlüsselaspekte einer Strategie, die wirksam vor Schad- und Erpressersoftware schützt. Darüber hinaus aber sollten Unternehmen einen Plan haben, wie sie im Fall eines Angriffs für einen unterbrechungsfreien Geschäftsbetrieb sorgen. Nutanix Mine, die Lösung des Anbieters für Sekundärspeicher, bietet neu im Zusammenspiel mit Lösungen des Nutanix-Partners HYCU Inc. das direkte Backup von Objects. Dadurch lässt sich der native Ransomware-Schutz wie Unveränderbarkeit und WORM in Objects auch auf diese Sekundärspeicherlösung anwenden. Darüber hinaus hat Nutanix neue Qualifizierungen zur Interoperabilität, einschließlich der Qualifizierung Veeam® Object Immutability, sowie Zertifizierungen für andere führende Backup-Anbieter erhalten, um den Ransomware-Schutz für Sekundärspeicher zu erweitern.
„CIOs und CISOs wissen, dass es nicht die eine Lösung gibt, die zu 100 Prozent vor Erpressersoftware oder andere Arten von Angriffen mit Schadsoftware schützt. Und angesichts der aktuellen Remote- und hybriden Arbeitsmodelle vergrößert sich die Angriffsfläche in den Unternehmen weiter“, so Rajiv Mirani, Chief Technology Officer bei Nutanix. „Die Unternehmen sollten einen Sicherheitsansatz verfolgen, der in die Tiefe wirkt und bei der IT-Infrastruktur beginnt. Gleichzeitig müssen sich die passenden Sicherheitswerkzeuge einfach und voll integriert implementieren lassen. Nutanix liefert bereits im Standard eine Cloud-Plattform mit zusätzlichen Schutzmechanismen gegen Erpressersoftware, die ab sofort erhältlich sind.“
Sämtliche neuen Funktionalitäten stehen Kunden ab sofort zur Verfügung. Weitere Informationen zum Ransomware-Schutz von Nutanix sind hier abrufbar.
1. Gartner, Inc. „How to Respond to the 2020 Threat Landscape,“ 17 June, 2020, John Watts