CryptoSpikeRANSOMWARE PROTECTION FOR NETAPP STORAGE

Ransomware, auch Erpressungs-Software oder Krypto-Trojaner genannt, sind Schadprogramme, die Daten auf dem Computer verschlüsseln. Das betroffene Unterneh-men wird zur Zahlung von Lösegeld aufgefordert, um die Dateien wieder zu entsperren; meistens über Bitcoin-Transaktionen. Ob die Cyberkriminellen dann wirklich einen Entschlüsselungs-Key schicken, dafür gibt es kei-ne Garantie, in vielen Fällen haben sie es nicht getan. Bekannte Schadprogramme sind z.B. WannaCry und Pe-tya. Über veränderte Links oder E-Mail Anhänge gelangen sie ins Unternehmen, als Werbung getarnt, per Phishing- oder Spam-Mail.

Zahlen und Fakten aus dem aktuellen Ransomware Report 2017 von Cybersecurity Insiders

Ransomware Attacken werden von Unternehmen und Behörden mittlerweile als größte Cyber-Security Gefahr gesehen. 75% der betroffenen Organisationen erleb-ten 1-5 Ransomware Attacken innerhalb eines Jahres, 25% erlebten mehr als 6 Attacken.Folgen für das Business: 41% Downtime, 39% Produkti-vitätsverlust, 30% Datenverlust.

Das Fatale: Ein einziger Klick genügt, um das Netzwerk zu infizieren.

Denn nicht nur Dateien auf dem lokalen Computer des Mitarbeiters werden beschädigt, sondern auch Dateien auf freigegebenen bzw. angeschlossenen Netzlaufwer-ken, auf die der Computer Zugriff hat. Die Verschlüsse-

lung betrifft demnach auch meist den zentralen Storage. Jeder Kunde, der NetApp als NAS (Network Attached Sto-rage) verwendet (CIFS / NFS Lizenz), sollte daher einen Schutz gegen Ransomware implementiert haben.

Die Ransomware Welle geht weiter. Und manche bemerken das erst, wenn es zu spät ist.

Oft arbeiten Schadprogramme monatelang unbemerkt im Hintergrund. Die Folge: Ursprüngliche Dateien können nicht mehr hergestellt werden, weil sie aus dem Back-Up Zyklus herausgefallen sind. Denn auf den Sicherungsme-dien befinden sich nur mehr verschlüsselte Datei-Versio-nen.

Die Lösung: CryptoSpike sagt der digitalen Erpressung in Echtzeit den Kampf an

Kein Betriebssystem ist gegen Ransomware Angriffe im-mun. Viele Unternehmen wissen oft gar nicht, ob einzel-ne Dateien verschlüsselt wurden, angesichts von Millio-nen Dateien auf ihrem Storage. Mit CryptoSpike können Sie Schadsoftware frühzeitig entdecken und eine Ausbrei-tung verhindern.

CryptoSpike wurde speziell für NetApp ONTAP-Storage-systeme konzipiert. CIFS und NFS User Zugriffe werden über die FPolicy API erfasst. Die Lösung kontrolliert in Echtzeit alle Transaktionen im NetApp Storage auf Auf-fälligkeiten im Hinblick auf Dateiendungen oder Anwen-derverhalten.

Highlights

Die Angriffe mit Ransomware steigen weiter, alle 40 Sekunden wird ein Unter-nehmen infiziert.

Ein einziger Klick auf einen bösarti- gen E-Mail Anhang oder einen Link ge-nügt und die Schadsoftware beginnt Dateien im Hintergrund zu verschlüsseln. Nicht nur auf dem lokalen PC, sondern auf allen freigegebe-nen Netzlaufwerken.

CryptoSpike scannt die Dateizugriffe auf dem NetApp Storage in real-time, entdeckt Ransomware Angriffe mit einer dreistufigen Strategie und blockt den „Angriff oder Aus-bruch“ sofort.

Der Angriff wird im Keim erstickt und Er-pressungsversuchen Einhalt geboten.

✓

Der betroffene User wird gesperrt und die verschlüsselten Dateien lokalisiert. Das verhin-dert die weitere Verschlüsselung und in der Folge den Ausfall kritischer Prozesse.

✓

✓

Funktionsweise:

Architektur ermöglicht einfache Installation über SW-Image

Die CryptoSpike und FPolicy Server werden fertig als OVA (virtuelle Maschine für VMware) geliefert. Das Software Image wird einfach in der VMware Umgebung installiert. Über die intuitiv zu bedienenden Kacheln des CryptoSpike Manager erfolgen Setup, Konfigurationsmanagement so-wie das Festlegen von Regeln und Schwellwerten.

3 abgestimmte Konzepte, um Angriffe zu entdecken

White-List: basiert auf einer Liste mit erlaubten Datei-Endungen wie .doc .xls .pdf. Wird eine neue unbekann-te Endung entdeckt, so blockiert CryptoSpike den User. Handelt es sich aber um eine neue erlaubte Applikati-on, kann der Administrator die White-List erweitern. Bei der Installation wird die erste White-List automatisch erstellt, dazu scannt CryptoSpike selbsttätig den gesam-ten Storage des Unternehmens.

Black-List: basiert auf einer Liste mit aktuell rund 1800 (Anzahl stark steigend!) bekannten Ransomware Dateien-dungen oder Dateinamen, die täglich aktualisiert werden. Sobald eine neue Black-List zur Verfügung steht, werden die Kunden informiert und können diese mit einem Klick übernehmen.

Learner: basiert auf Mustern (Patterns) des Benut-zerverhaltens bei read/write/open/close Datei-Opera-tionen. Dazu werden z.B. die letzten 50.000 Trans-aktionen im Netzwerk erfasst, die Anzahl ist frei einstellbar. Der Learner produziert als Ergebnis die White-Patterns List: das ist die Liste erlaubter Transaktionen. Zusätzlich liefert CryptoSpike die Black-Patterns List: Hier wurde z.B. das Verhalten von WannaCry und anderer Ransomware bei einem kontrollierten Ausbruch mitge-trackt, denn der Algorithmus folgt stets einem gleichen Muster von öffnen/verschlüsseln/schließen Operationen. Ergänzt wird diese Liste ggf. um Muster aus Angriffen, denen der Kunde selbst ausgesetzt war.

Warum der Learner der entscheidende Teil ist

Die Ransomware Angriffe werden zunehmend diffiziler, denn viele Schadcodes ändern die Datei-Endungen nicht mehr auf Werte wie .crypto oder .locky. Die Folge: bei einer .xls Datei ist von außen nicht mehr erkennbar, ob sie in Ordnung ist.

Um in so einem Fall einen Angriff zu erkennen, wirkt der Learner als zweites und engmaschigeres Sicherheitsnetz. Wenn etwa eine Dateitype nicht innerhalb der - laut White-Pattern - definierten Zeiteinheit geöffnet wird, er-kennt der Algorithmus in Echtzeit das als nicht erlaubtes Muster, blockt den User und schlägt Alarm.

Individuelle Wahl der passenden Strategie

Die Konzepte werden kombiniert, je nach Bedarf, einge-setzt. Prinzipiell vererbt sich ein Konzept nach unten, das heißt vom NetApp Cluster bis zu den Shares. Pro NetApp

SVM (Storage Virtual Machine) und künftig pro Share Ebene, können auch unterschiedliche Konzepte zur An-wendung kommen: So hat etwa der Vertriebs Share das strikte White-List Konzept plus die White-Patterns List, während die Entwickler mehr Flexibilität mit dem Black-List Konzept plus Black-Patterns List bekommen.

Alarmfall: Blockade in Echtzeit und schnelle Wiederherstellung

• Der FPolicy Server trackt real-time jede Transaktion. Wird eine Anomalie entdeckt, schlägt das System Alarm und sperrt den betroffenen Mitarbeiter, um einen wei-teren Ausbruch auf dem NetApp Storage zu verhindern.

• Der blockierte Mitarbeiter hat jetzt nur mehr einen Lese-Zugriff.

• Die wichtigste Information liefert CryptoSpike zuerst: Welche Dateien sind betroffen? Der Administrator erhält automatisch Informationen über den Pfad und die Anzahl der betroffenen Dateien und überprüft die letzten Trans-aktionen.

• Wurde der Mitarbeiter irrtümlich gesperrt, etwa weil er als Entwickler eine neue Applikation getestet hat, so kann ihn der Administrator unmittelbar wieder entsperren und ggf. die Patterns anpassen.

• Handelt es sich um einen Ransomware Angriff, so ana-lysiert der Administrator, welche schadhaften Program-me im Hintergrund laufen. Sobald der Mitarbeiter nach Bereinigung entsperrt wird, unterstützt CryptoSpike den Recovery Prozess mit einer Liste der betroffenen Dateien, sodass diese über Snapshot schnell wiederhergestellt wer-den können.

Preismodell

CryptoSpike folgt einem gestaffelten Pricing Modell, ab-hängig von Anzahl und Größe der NetApp Storage Con-troller.

Vorteile

✓ Einfache Installation über Software-Image

✓ Jede Transaktion auf dem NetApp Storage wird in Echtzeit kontrolliert und betroffene User sofort blockiert

✓ Geprüft auf Anomalien werden sowohl Datei- Endungen und Namen, als auch User-Verhalten

✓Individuelle Kontroll-Konzepte, angepasst an den Bedarf der verschiedenen Abteilungen

✓Sofortige Information wo der Angriff statt- gefunden hat und Unterstützung bei der Wie- derherstellung beschädigter Dateien

Visit us on:www.prolion.at/