Im Kampf gegen Ransomware werden die Unternehmen immer widerstandsfähiger. Reports von Coveware by Veeam und Chainalysis zeigen einen deutlichen Rückgang bei den Ransomware-Zahlungen im 4. Quartal 2024. Dieser Erfolg kann auf verschiedene Schlüsselfaktoren zurückgeführt werden, darunter verbesserte staatliche Vorschriften, die erfolgreiche Zerschlagung großer cyberkrimineller Gruppen und, was am wichtigsten ist, eine bessere Vorbereitung und Resilienz der Unternehmen, um auf verschlüsselungsbasierte Malware-Angriffe reagieren und sich von diesen erholen zu können.
Die Datensicherung hat sich in den letzten Jahren erheblich weiterentwickelt. Die Diskussionen haben sich von „Inline-Deduplizierung oder Post-Process-Deduplizierung“ auf sicherheitsbezogene Themen wie die Unveränderlichkeit von Workloads, Reaktionen auf Vorfälle und die Erkennung von Malware verlagert. Das Scannen von Backups auf Malware war und ist nie dazu gedacht, traditionelle Endpunkt- oder erweiterte Erkennungs- und Reaktionstools zu ersetzen. Es soll eine zusätzliche Erkennungsebene für einen Defense-in-Depth-Ansatz zur Erkennung von Malware bieten. Veeam bietet die praktischsten und umfassendsten Malware-Scan-Fähigkeiten vor, während und nach einem Backup in der Datensicherungsbranche. Schauen wir uns die einzelnen Anwendungsfälle an.
Vor dem Backup: Proaktive Bedrohungsanalyse
Anhand des MITRE ATT&CK-Frameworks und der Daten von Coveware by Veeam wissen wir, dass Bedrohungsakteure nach Backups suchen, nachdem sie erst einmal Zugriff erhalten haben. Veeam ist der einzige Anbieter, der proaktiv nach verdächtigem Verhalten sucht, bevor ein Backup erstellt wird.
- Recon Scanner: Stellt proaktive Warnmeldungen zu potenziellen Bedrohungen für Ihren Backup-Server bereit und erkennt verdächtige Ereignisse wie unbekannte IPs, die Remote-Zugriff erhalten möchten, oder kompromittierte Konten, die Brute-Force-Angriffe versuchen. Es hilft bei der Identifizierung von Schwachstellen und erstellt eine Zeitleiste der Ereignisse, um saubere Wiederherstellungspunkte zu finden.
- Beobachtbarkeit, Analysen und KI-gestützte Einblicke: Erkennt Anomalien in der Produktionsumgebung vor einem Backup und identifiziert ungewöhnliche VM-Muster, Brute-Force-Angriffe auf ESXi und vCenter sowie verdächtige SSH-Aktivitäten.
- Veeam Incident API: Ermöglicht die Integration von Sicherheits-Tools von Drittanbietern in Veeam, um potenziell bösartige Wiederherstellungspunkte zu erkennen und Out-of-Band-Backups für aktiv verschlüsselte Workloads auszulösen.
Während des Backups: Mehrere Ebenen der Inline-Erkennung
Veeam erkennt und reduziert Bedrohungen in Echtzeit direkt während Backups und übertrifft damit Alternativen, bei denen Scans im Nachhinein durchgeführt und Metadaten in die Cloud gesendet werden müssen, um grundlegende, massenweise Änderungen zu erkennen.
- IoC Scanner: Prüft, ob schädliche Tools auf Computern ausgeführt werden, die bekanntermaßen von Cyberkriminellen verwendet werden, und erkennt neu installierte Tools, darunter auch Living-off-the-Land-Tools, die Daten exfiltrieren, verschlüsseln oder beschädigen können.
- Entropie-Analyse: Scannt Datenblöcke auf Zufälligkeit und sucht nach verschlüsselten Daten, Onion-Links und Lösegeldmitteilungen.
- Datei-Indizierung: Verwendet eine signaturbasierte Analyse, um die Veeam-Datenbank nach bekannten Malware-Erweiterungen zu durchsuchen und so eine schnelle Erkennung potenzieller Bedrohungen zu gewährleisten.
- Unveränderliche Backups: Stellen die Wiederherstellbarkeit von Backups nach verschlüsselten Cyberangriffen mit Optionen wie abgesichertes Veeam-Repository, Veeam Vault-Speicher und Drittanbieter-Unveränderlichkeit sicher.
Nach der Sicherung: Sicherstellung einer schnellen und sauberen Wiederherstellung
Leider gäbe es Ransomware nicht, wenn Präventions- und Erkennungstools alles abfangen würden. Unternehmen müssen sich auf das Schlimmste vorbereiten, aber auf das Beste hoffen. Scans nach der Verarbeitung sind kritisch, um eine saubere Datenwiederherstellung sicherzustellen und Wiederinfektionen zu vermeiden, wenn sich Bedrohungsakteure der Erkennung entziehen.
- Recon Blast Radius: Identifiziert den tatsächlichen Umfang eines Ransomware-Angriffs, erkennt beschädigte oder nicht verschlüsselte Dateien und erstellt eine Zeitleiste der Ereignisse.
- Threat Hunter: Scannt Wiederherstellungspunkte mit einer signaturbasierten Antiviren-Engine auf Malware und stellt sicher, dass nur saubere Daten zur Wiederherstellung verwendet werden.
- Regelbasiertes YARA-Scannen: Sucht nach Anzeichen für eine Kompromittierung und erkennt Malware, die möglicherweise von anderen Tools übersehen wurde oder ein Zero-Day-Programm ist.
- Orchestrierte Wiederherstellung und Clean-Room-Funktionalitäten: Erstellt detaillierte Wiederherstellungspläne, testet und validiert die Wiederherstellung kritischer Anwendungen.
Alles zusammenfügen
Diese Scan-Funktionen sind am effektivsten, wenn Sicherheitsteams beteiligt sind. Die Weiterleitung von Ereignissen an die Tools und Dashboards, die Ihr Sicherheitsteam bereits verwendet, ermöglicht automatisierte Prozesse. Lassen Sie dies anhand eines Beispiels zeigen, um das Zusammenwirken dieser Komponenten besser zu veranschaulichen:
- Veeam oder ein EDR/XDR-Tool erkennt verdächtiges Verhalten auf einem Rechner vor oder während eines Backups.
- Das Ereignis wird an das SIEM-Tool des Unternehmens weitergeleitet.
- Es wird automatisch ein Playbook gestartet, das die sofortige Wiederherstellung des vermutlich infizierten Computers in einer Clean-Room-Umgebung auslöst, um eine zweite Meinung von Veeam Threat Hunter zu erhalten.
- Wenn der Scan sauber zurückkommt, wird das Ereignis als falsch positiv markiert.
- Wenn der Scan das Vorhandensein von Malware bestätigt, scannt Recon Blast Radius die Computer, um den Zeitrahmen sowie den Umfang der betroffenen Daten besser zu verstehen.
- Und schließlich sollte dies nicht bei der Wiederherstellung von Festplatten-Backups enden. Stellen Sie mehr als nur ein Backup wieder her, sobald der Umfang des Angriffs bekannt ist und der Bedrohungsakteur ordnungsgemäß ausgemerzt wurde.
Conclusion
Veeam’s commitment to cybersecurity extends throughout the entire data lifecycle. From before backup, during backup, and after backup. Veeam ensures that your data is protected at every stage. This comprehensive approach not only minimizes the risk and impact of cyberattacks but also ensures that organizations can recover quickly and efficiently. In conclusion, Veeam’s sophisticated scanning technologies and proactive strategies make it the most reliable solution for malware detection and recovery. By integrating advanced tools and maintaining a vigilant approach to cybersecurity, Veeam helps organizations stay one step ahead of cyber threats, ensuring that their data remains resilient and their operations uninterrupted.