Mit Cyber Recovery erfolgreichen Ransomware-Angriffen die Stirn bieten

News

Cyberangriffe kennen keine Grenzen und entwickeln sich schnell. Mittendrin und im Fokus der Cyberkriminellen ist der Health-Care-Sektor. Zielgerichtete Attacken, neue aggressive Formen von Ransomware und massive Lösegeldforderungen verursachen Schäden in Milliardenhöhe. Daher muss sichergestellt werden, dass die geschäftskritischen Daten einem Cyberangriff standhalten, der darauf ausgelegt ist, Ihre Daten einschliesslich Backups und Replikate zu zerstören.

(Source: ©Thaut Images - stock.adobe.com)

Obwohl sich Spitäler und Kliniken mit Cyber-Schutzlösungen gegen Ransomware Angriffe schützen, sind diese Echtzeit-Analysen von Malware-Protection-Lösungen nicht zu 100 Prozent wirksam. Täglich werden neue Angriffe bekannt, bei denen Unternehmensdaten beschädigt werden. Der primäre Einstiegsmodus der Hacker erfolgt über die zahlreichen Endgeräte, oder es wird auf Phishing-Techniken zurückgegriffen. Die Wahrscheinlichkeit, dass alle Ransomware entdeckt wird, bevor Schaden entsteht, ist gering; und die Entdeckungszeit für einen Angriff wird wahrscheinlich immer noch in Wochen oder Monaten gemessen. Diese enorme Zeitspanne bietet die Möglichkeit, das Netzwerk abzubilden, die Privilegien zu erweitern und einen verheerenden Angriff zu planen, der von Erpressung bis zur völligen Zerstörung geschäftskritischer Systeme reicht.

Um einen umfassenderen Ansatz für die Minderung von Cyberrisiken zu schaffen, müssen Unternehmen ihre Cyber-Resilienz-Strategie entwickeln und sich zusätzlich auf die Analyse der Bedrohungsbehebung konzentrieren. Ein traditionelles Backup- und Recovery-Konzept reicht daher im Angriffsfall nicht mehr aus. Es werden zusätzliche Massnahmen, wie Cyber Recovery benötigt, um sich im Angriffsfall gegen die im Fokus stehende Zerstörung von geschäftskritischen Backup-Daten abzusichern.

Der Schlüssel liegt in der Wiederherstellung der Daten

Gebaut wird mittels sogenanntem «Air-Gap» eine isolierte Cyber-Recovery-Umgebung, die vom produktiven Netzwerk getrennt ist. Ein «Air-Gap» stellt eine Verbindung dar, die nur für das Kopieren den gewünschten Backup-Daten aktiv geschaltet wird und nur durch ein einziges System genutzt werden kann. Wichtig in diesem Zusammenhang ist auch, dass dieses System mit dem Zielsystem die Daten über ein spezielles Kommunikationsprotokoll austauscht.

In dieser Wiederherstellungszone, dem sogenannten «Cyber Recovery Vault», mit einer Data Domain, das als Zielsystem für die kritischen Backup-Daten zur Verfügung steht, werden Workflows zur Integritätsprüfung ausgelöst. Diese analysieren, ob Backup-Daten durch Malware beeinträchtigt sind. Bei verdächtigen ausführbaren Dateien oder Daten werden Warnungen an die Security-Abteilung ausgelöst. Einzigartig, da die Backup-Daten analysiert werden, während sie offline sind. Dadurch werden Daten von der Angriffsoberfläche wegbewegt. Von sauberen Daten werden automatisiert unveränderliche Datenkopien erstellt. Auf diese nicht mutierbaren, sauberen Dateien kann im Falle eines böswilligen Cyberangriffs schnell zurückgegriffen werden, um die kritischen Geschäftssysteme wiederherzustellen.

Immer einen Schritt voraus

Die sich schnell verändernde Bedrohungslandschaft erfordert ein adaptives Analyserahmenwerk; daher bleibt Cyber Recovery dem schlechten Akteur voraus, indem es automatisiert Sandbox-Kopien erstellt und für die Sicherheitsanalysen künstliche Intelligenz und maschinelles Lernens verwendet.

Nach einem Angriff kann unter Verwendung dynamischer Wiederherstellungsprozesse und bestehender Disaster-Recovery-Verfahren ein Vorfall behoben und die Umgebung wiederhergestellt werden.

Das Thema Cyberangriffe gehört zum grössten operationellen Risiko und muss daher auf der Managementebene angesiedelt sein. Ein gänzlicher Schutz vor Angriffen ist heute nicht mehr möglich. Daher gilt es, eine Cyber-Resilience-Strategie zu erstellen, die sowohl finanzielle, operative, marktspezifische oder strategische Risiken umfasst und bewertet und Massnahmen definiert. Unternehmen sollten sich konsequent mit aktuellen und neuen Risiken auseinandersetzen und auch der Informationssicherheit nach ISO 27001 Rechnung tragen, um den Angreifern immer einen Schritt voraus zu sein.