ProLion CryptoSpike 3.1
Verteidigungsring
Veröffentlicht in Ausgabe 10/2023 - TESTS
Angriffe mittels Ransomware stellen für Unternehmen weiterhin eine reale und akute Bedrohung dar. So veröffentlichte jüngst der Cybersecurity-Anbieter Sophos in seiner Studie "State of Ransomware 2023" alarmierende Zahlen: Demnach wurden 58 Prozent der befragten deutschen Organisationen im Laufe des letzten Jahres Opfer von Ransomware. Bei 30 Prozent der Angriffe auf deutsche Unternehmen, die zur Verschlüsselung von Daten führten, stahlen die Angreifer zusätzlich Daten. Bei dieser auch als "Double Extortion", also sinngemäß doppelte Erpressung, bezeichneten Variante des Angriffs verschlüsseln die Angreifer nach erfolgreicher Infiltration der IT-Infrastruktur die Daten nicht nur. Neben der Forderung eines Lösegelds zur Entschlüsselung der Daten drohen sie zudem mit der Veröffentlichung der zuvor kopierten Informationen.
Backups allein reichen nicht
Um dieser Gefahr zu begegnen, gilt es, eine durchgängige Abwehr aufzubauen – nach dem Prinzip der "Defense in Depth" möglichst mit mehreren gestaffelten Verteidigungsringen hintereinander, die den Angreifern ihr Vorhaben so schwer wie möglich machen. Im Hinblick auf die Kronjuwelen eines Unternehmens, die auf Fileservern gespeicherten Daten, zählen hierzu revisionssichere Backups nach der 3-2-1-1-0-Regel.
Doch ein Backup allein hilft nicht: Es bedarf zudem einer vertrauenswürdigen Umgebung, um die Sicherung wiederherzustellen. Ist die Infrastruktur erst kompromittiert, muss sie aufwändig bereinigt oder im schlimmsten Fall komplett neu aufgesetztwerden. So vergehen entsprechend der Sophos-Studie schnell Wochen bis Monate, bevor ein betroffenes Unternehmen zum regulären Geschäftsbetrieb zurückkehren kann. Es gilt also, sowohl die Zeit bis zur Entdeckung als auch die Zeit bis zur Reaktion drastisch zu verkürzen. Und hier kommt die Software ProLion CryptoSpike ins Spiel, um dieses Ziel speziell im Hinblick auf Fileserver zu erreichen.
Angriffe mittels Ransomware stellen für Unternehmen weiterhin eine reale und akute Bedrohung dar. So veröffentlichte jüngst der Cybersecurity-Anbieter Sophos in seiner Studie "State of Ransomware 2023" alarmierende Zahlen: Demnach wurden 58 Prozent der befragten deutschen Organisationen im Laufe des letzten Jahres Opfer von Ransomware. Bei 30 Prozent der Angriffe auf deutsche Unternehmen, die zur Verschlüsselung von Daten führten, stahlen die Angreifer zusätzlich Daten. Bei dieser auch als "Double Extortion", also sinngemäß doppelte Erpressung, bezeichneten Variante des Angriffs verschlüsseln die Angreifer nach erfolgreicher Infiltration der IT-Infrastruktur die Daten nicht nur. Neben der Forderung eines Lösegelds zur Entschlüsselung der Daten drohen sie zudem mit der Veröffentlichung der zuvor kopierten Informationen.
Backups allein reichen nicht
Um dieser Gefahr zu begegnen, gilt es, eine durchgängige Abwehr aufzubauen – nach dem Prinzip der "Defense in Depth" möglichst mit mehreren gestaffelten Verteidigungsringen hintereinander, die den Angreifern ihr Vorhaben so schwer wie möglich machen. Im Hinblick auf die Kronjuwelen eines Unternehmens, die auf Fileservern gespeicherten Daten, zählen hierzu revisionssichere Backups nach der 3-2-1-1-0-Regel.
Doch ein Backup allein hilft nicht: Es bedarf zudem einer vertrauenswürdigen Umgebung, um die Sicherung wiederherzustellen. Ist die Infrastruktur erst kompromittiert, muss sie aufwändig bereinigt oder im schlimmsten Fall komplett neu aufgesetztwerden. So vergehen entsprechend der Sophos-Studie schnell Wochen bis Monate, bevor ein betroffenes Unternehmen zum regulären Geschäftsbetrieb zurückkehren kann. Es gilt also, sowohl die Zeit bis zur Entdeckung als auch die Zeit bis zur Reaktion drastisch zu verkürzen. Und hier kommt die Software ProLion CryptoSpike ins Spiel, um dieses Ziel speziell im Hinblick auf Fileserver zu erreichen.
Storage-Systeme im Fokus
Der österreichische Hersteller hat sich ganz Produkten für den leistungsstarken Schutz kritischer Storage- und Backupdaten verschrieben, und das sowohl on-premises als auch in Cloudumgebungen. Dazu bietet ProLion aktuell insgesamt vier Produkte an: ClusterLion in zwei Varianten für MetroCluster und für SAP-Umgebungen verspricht, den Betrieb von komplexen Clustern zu vereinfachen und Kosten sowie Betriebsaufwand deutlich zu senken.
DataAnalyzer dient der effizienten Analyse und Optimierung von Storage-Systemen. Die Software bietet ein breites Spektrum an Reporten über Nutzer, Gruppen, ungültige Berechtigungen, periodische Berichterstattung über Berechtigungsänderungen oder eine Hot-/Cold-Analyse als Entscheidungsgrundlage für die Auslagerung von Daten in günstigere Speicherbereiche.
RestoreManager speziell für Fileserver des Herstellers NetApp basiert auf dessen Snapshot-Technologie. Die Software erstellt anhand von Metadaten einen zentralen Katalog von Dateiinformationen sowie relevanten Snapshots und ermöglicht eine detaillierte Suche nach Kriterien wie Name, Dateitypen, Datum oder Größe.
Zu guter Letzt erkennt die Software CryptoSpike, die im Fokus unseres Tests stand, außergewöhnliche Aktivitäten im Dateisystem. CryptoSpike blockiert potenzielle Ransomware-Angriffe und schafft im Fall einer erfolgreichen Attacke mit einer granularen Wiederherstellungsfunktion Abhilfe, um betroffene Dateien in einen brauchbaren Zustand zurückzuversetzen.
Dazu arbeitet CryptoSpike mit zwei Stufen der Sicherheit. Zum einen nutzt die Software eine Blockliste, die zahlreiche für Ransomware-Angriffe typische Dateiendungen umfasst und die der Hersteller kontinuierlich erweitert. Zum anderen erkennt der Analyzer ungewöhnliches Verhalten. Wenn etwa ein Benutzer in einem sehr kurzen Zeitraum sehr viele Dateien überschreibt oder löscht und neu schreibt, schreitet CryptoSpike anhand definierter Regelsätze ein, blockiert den Benutzer und verhindert so Schlimmeres.
Für NetApp, Lenovo und Dell
Ursprünglich geschaffen für Fileserver des Herstellers NetApp, dockt CryptoSpike an die FPolicy-Schnittstelle des NetApp-Betriebssystems Data ONTAP ab Version 9.8 aufwärts an, die etwa auch Virenscanner nutzen können. Mittels dieses API unterstützt CryptoSpike NetApp-Systeme der Produktfamilien FAS und AFF sowie virtuelle ONTAP-Instanzen. Da Fileserver der DM-Serie von Lenovo unter der Haube auch NetApp ONTAP verwenden, schützt CryptoSpike diese ebenso.
Mit der zum Zeitpunkt unseres Tests aktuellen Version 3.1.5 unterstützt CryptoSpike inzwischen auch Dell PowerScale und deren Betriebssystem OneFS ab Version 9.1 aufwärts. Produkte der Serie Dell Unity befanden sich bis zum Redaktionsschluss im Early Access. Für die Serie Dell PowerStore hat ProLion bis Ende des Jahres Unterstützung in Aussicht gestellt.
Die Software bietet für Systeme von NetApp und Dell nahezu identische Funktionen. Die Blockliste arbeitet in beiden Welten gleichermaßen. Allerdings nutzt CryptoSpike im Fall von Dell-Fileservern deren Common Event Enabler (CEE). Im Gegensatz zu NetApps FPolicy-API arbeitet der CEE asynchron, sodass der Analyzer nicht sofort eingreifen kann. Im Rahmen unseres Tests haben wir uns auf das Zusammenspiel mit Systemen von NetApp beschränkt.
Unabhängig vom Hersteller der Fileserver lizenziert ProLion sein Produkt nach Größe und Komplexität einer Infrastruktur. ProLion und die autorisierten Vertriebspartner unterscheiden die Fileserver in vier Stufen vom Tier 0 mit Einsteigermodellen, wie einer NetApp AFF A150, bis hin zum Tier 3 mit Enterprise-Geräten, wie etwa einer NetApp AFF A900. Bei der Lizenzierung geben die Anzahl von alleinstehenden Fileservern oder im Fall von Clustern der einzelnen Knoten innerhalb der Cluster den Ausschlag. Die Größen der bereitgestellten Speicherbereiche, vorhandene Shelf-Erweiterungen oder die Anzahl an Benutzern spielen keine Rolle.
Skalierbare Architektur
ProLion unterscheidet bei der Implementierung von CryptoSpike zwei Serverrollen, einen Leader und optional einen oder mehrere Agents. Für beide Rollen setzt ProLion auf Alpine Linux und stellt OVA-Vorlagen zum Import in eine Virtualisierungsinfrastruktur auf Basis von VMware vSphere bereit. Der Leader beinhaltet grundsätzlich die Funktion eines Agenten, sodass in sehr kleinen Umgebungen bereits eine VM ausreicht.
Der Hersteller empfiehlt aber, zwecks Ausfallsicherheit und Lastverteilung neben dem Leader mindestens zwei Agenten zu betreiben. Im laufenden Betrieb können diese sogar bei zeitweisem Ausfall des Leaders ihre Funktion weiter erfüllen. Für Zugriffe auf das Webfrontend zur Administration und Konfigurationsänderungen, ebenso zum Entsperren blockierter Benutzer, ist der Leader aber notwendig.
Die Anleitung zur Installation von CryptoSpike hilft dabei, die Anzahl und Ressourcen der benötigten virtuellen Maschinen zu bestimmen. Der Hersteller orientiert seine Empfehlungen dabei an den durchschnittlich und maximal auftretenden Dateisystem-Operationen (IOPS) der produktiven Fileserver. So rät ProLion im Falle eines NetApp-Clusters mit durchschnittlich 300.000 IOPS und Lastspitzen von bis zu 350.000 IOPS etwa zu fünf VMs, einem Leader mit 16 vCPU, 32 GByte RAM und 1,5 TByte Festplatten-Speicher sowie vier Agenten mit jeweils acht vCPU, 16 GByte RAM und 150 GByte Festplatten-Speicher.
CryptoSpike bringt eingebaute Grafana-Dashboards zur Überwachung der Auslastung der Maschinen mit und hilft auf diese Weise dabei, die Infrastruktur im Bedarfsfall nach den Prinzipien Scale-up, also mehr Ressourcen für die vorhandenen VMs, oder Scale-out, also der Installation weiterer VMs, aufzurüsten.
| Produkt |
Software zum Schutz vor Ransomware für Storage-Systeme von NetApp, Lenovo und Dell.
|
|---|---|
| Hersteller |
ProLion
|
| Preis |
Abhängig von Typ und Anzahl der eingesetzten Fileserver – am Beispiel eines mittelständischen Unternehmens mit einem HA-Cluster bestehend aus zwei Tier-1-NetApp-AFF-C250-Fileservern rund 10.000 Euro pro Jahr, unabhängig von Kapazität, Shelf-Erweiterungen oder Benutzeranzahl.
|
| Systemanforderungen |
VMware-vSphere-Infrastruktur; NetApp-Filer der Produktreihen FAS und AFF sowie virtuelle Maschinen und Systeme der Lenovo-ThinkSystem-DM-Serie ab ONTAP 9.8; Dell PowerScale ab OneFS 9.1, künftig auch Systeme der Produktreihen Unity und PowerStore.
|
| Technische Daten |
Flottes Setup per OVA-Vorlage
Im Rahmen unseres Tests haben wir gemeinsam mit einem NetApp-Partner die Installation von CryptoSpike in Verbindung mit einem IP-MetroCluster, bestehend aus zwei Clustern mit je zwei Knoten vom Typen NetApp AFF-A400 mit ONTAP-Version 9.11.1 P8, durchgeführt. Hierbei folgten wir zunächst der Empfehlung des CryptoSpike-Installationsleitfadens und richteten in den Storage Virtual Machines (SVM) der Cluster mittels der von ProLion dokumentierten Shell-Befehle dedizierte Funktionsbenutzer mit den minimal benötigten Berechtigungen ein.
Auch im Hinblick auf eine möglichst sichere Konfiguration des Netzwerks erwies sich der Leitfaden als hilfreich. ProLion führt hier sämtliche TCP-Ports zur Kommunikation mit dem FPolicy-API der Cluster sowie umgebender Infrastruktur auf (Bild 1). Gleichermaßen dokumentiert der Hersteller die nötigen Verbindungen zu Dell-PowerScale-Systemen und dem CEE. Nach extern benötigen die CryptoSpike-VMs Zugriff per HTTPS auf den FQDN "repository.prolion.com", um direkt vom Hersteller Updates für Betriebssystem, Anwendung sowie die laufend wachsende Blockliste auffälliger Dateiendungen zu beziehen.
Basierend auf den Handreichungen zur Skalierung installierten wir neben dem Leader insgesamt vier Agenten. Hierzu hatten wir die OVA-Vorlagen für beide Rollen heruntergeladen. Beim Import in unsere Virtualisierungsinfrastruktur nutzten die Systeme den Assistenten von VMware vSphere, um die nötigen Parameter abzufragen. Auf diesem Weg konfigurierten wir jeweils Hostnamen, IP-Adresse und die weiteren Netzwerkeinstellungen. Shell-Zugriff auf die VMs benötigten wir anschließend lediglich, um ein von ProLion mitgeliefertes Skript zur Vergrößerung der virtuellen Festplatten auszuführen und den NTP-Dienst chrony für unseren lokalen NTP-Server zu konfigurieren.
Im Notfall Snapshot
Alle übrigen Einstellungen konfigurierten wir über die intuitiv bedienbare GUI der Leader-VM, wo wir zunächst die von ProLion gelieferten Lizenzschlüssel hinterlegten und für den initialen Admin-Benutzer "sysadm" ein sicheres Kennwort definierten. Im Bereich "Landscape / Agents" fügten wir nacheinander anhand ihrer Hostnamen unsere vier Agent-VMs hinzu. Die Agenten starteten daraufhin jeweils ihre Dienste neu und erschienen nach kurzer Wartezeit mit dem Status "online" im Webfrontend.
Die weitere Grundkonfiguration erledigten wir im Bereich "Settings" des Hauptmenüs. Unterhalb von "Settings / Configurations" beließen wir es zunächst beim Standard. Dennoch finden sich dort einige erwähnenswerte Einstellungen. So kann CryptoSpike mittels der Option "Emergency Snap-shot" im Hauptbereich der Seite bei verdächtiger Aktivität die NetApp-Systeme zu einem Snapshot veranlassen, um im Ernstfall einen möglichst aktuellen Stand aller noch nicht verschlüsselten Daten zu sichern. Wir schalteten diese Funktion aber erst zu einem späteren Zeitpunkt ein, zusammen mit dem Aktiv-Modus von CryptoSpike, auf den wir gleich zurückkommen.
Weiterhin konfiguriert die Sektion "FPolicy Settings" detailliert, welche Ereignisse CryptoSpike überwachen soll. Dies konnten wir zum einen nach generischen Filtern und Operationen einstellen, zum anderen auch getrennt nach den Protokollen CIFS und NFS.
Im Hinblick auf den Datenschutz relevant ist die Sektion "Multi-User-Authorization" (MUA). Hier durften wir festlegen, dass CryptoSpike wahlweise Details zu betroffenen Dateien oder involvierten Endanwendern oder beide Informationen im Webfront-end zunächst versteckt. Mit aktivierter MUA zeigt CryptoSpike diese Informationen erst im Klartext an, sobald sich zwei zu definierende Benutzer, etwa ein IT-Mitarbeiter und ein Mitglied des Betriebsrats, gleichzeitig an der GUI anmelden. Hier gilt es, Datenschutz und kurze Reaktionszeit gegeneinander abzuwägen, da im Ernstfall Details zum Ursprung eines Angriffs bei aktiver MUA nicht unmittelbar zur Verfügung stehen.
Integration mit AD und SIEM
Unter dem Menüpunkt "Settings / LDAP" konfigurierten wir einen Funktionsbenutzer mit lesendem Zugriff auf unser Active Directory. CryptoSpike beherrscht dabei sowohl die gesicherte Verbindung per LDAPS als auch eine individuelle Suchbasis. Optional mit Schreibrechten versehen, könnte der Funktionsbenutzer blockierte Benutzer auch im AD in eine bestimmte Gruppe aufnehmen, um daraus weitere Aktionen abzuleiten, worauf wir im Rahmen unseres Tests aber verzichteten.
Unter "Settings / Mails" konfigurierten wir Benachrichtigungen per E-Mail. CryptoSpike beherrscht hierbei in der Sektion "SMTP" sowohl verschlüsselten Versand wie auch SMTP-Authentifizierung. In der Sektion "Mails" legten wir granular fest, in welchen Fällen CryptoSpike E-Mails verschicken soll. Dabei unterscheidet die Software die administrativen Benutzer, die Informationen etwa über bald ablaufende oder bereits abgelaufene Lizenzen, über Updates der Blockliste und der Anwendung selbst sowie über Alarme und blockierte Benutzer erhalten können. Endanwender informiert CryptoSpike auf Wunsch per E-Mail über ihre Sperrung oder Entsperrung.
Zu guter Letzt konfigurierten wir unter "Settings / Syslog" die Anbindung an unser SIEM-System und richteten unter "Settings / SSL" Webserver-Zertifikate ein, da CryptoSpike von Haus aus selbstsignierte Zertifikate mitbringt, die Browser zu einer Warnmeldung veranlassen.
Unter "Settings / User Management / User Roles" definierten wir mehrere Rollen mit granularen Rechten, darunter eine Rolle für Supportmitarbeiter mit lediglich lesendem Zugriff auf Dashboard, auditierte Benutzer und Regeln, eine weitere Rolle, um blockierte Nutzer zu entsperren, sowie eine Admin-Rolle mit Zugriff auf alle Einstellungen. Für Letztere aktivierten wir die Zwei-Faktor-Authentifizierung. Die realisiert CryptoSpike per E-Mail, setzt also eine SMTP-Konfiguration sowie für alle Admin-Benutzer hinterlegte E-Mail-Adressen voraus. Die Benutzerkonten konfigurierten wir entsprechend unter "Settings / User Management / Users". Auf die optional mögliche Anmeldung von AD-Benutzern am Webfrontend verzichteten wir, um die Administration von CryptoSpike komplett vom AD zu trennen.
Cluster schnell angebunden
So gerüstet, fügten wir unter "Landscape / Storage Cluster" über die Schaltfläche "+ Add Cluster" unsere NetApp-Cluster hinzu. Dazu verlangte CryptoSpike nach den FQDN der Cluster sowie den zugehörigen Funktionsbenutzern. Im einfachsten Fall erben die Cluster sowie alle SVM und Volumes das globale Regelwerk. Alternativ dazu konnten wir abweichende Regeln für Blockliste, Benutzer und Analyzer definieren.
Im ersten Schritt aktivierten wir nun den passiven Modus, der im Gegensatz zum aktiven die Fileserver lediglich überwacht, jedoch noch nicht eingreift. Wir folgten damit der Empfehlung des Herstellers, zunächst über einen Zeitraum von mehreren Wochen die Aktivitäten auf den Fileservern nur zu beobachten, um das Regelwerk vor der Aktivierung so anzupassen, dass CryptoSpike Anwender im laufenden Betrieb möglichst nicht auf Grund von False Positives blockiert (Bild 2).
Die Länge der passiven Phase sollte sich dabei an der Umgebung orientieren. So tummeln sich in einer Bank mit standardisierten Vorgängen weniger Dateitypen als in einem Forschungsinstitut, sodass die Admins in letzterem Fall länger testen müssen, dass CryptoSpike keine benötigten Dateitypen fälschlicherweise blockiert.
Flexibles Regelwerk
Nun widmeten wir uns den Sektionen unterhalb des Menüpunkts "Rules". Die "File Event Blocklist" basiert auf ProLions Sammlung potenziell unerwünschter Dateiendungen, die zum Zeitpunkt unseres Tests bereits über 5300 Dateitypen umfasste und die der Hersteller kontinuierlich aktualisiert. Nach einem Update der Liste müssen Admins neu hinzugefügte Dateiendungen ausdrücklich akzeptieren.
Im aktiven Modus blockiert CryptoSpike die Verwendung aller gelisteten Dateitypen vollständig, sperrt einen Benutzer jedoch erst nach fünf Versuchen, eine solche Datei anzulegen, wovon wir uns überzeugen konnten. Auf der Liste finden sich teils exotische Dateiendungen und solche, die eindeutig in Bezug zu Ransomware stehen, wie etwa *.bettercallsaul oder *.hackedbySnea575. CryptoSpike lehnt allerdings ab Werk auch Dateiendungen, wie Microsofts Makro-Dokumentenformate *.DOCM, *.PPTM oder *.CLSM, ab. Wer betroffene Dateiendungen produktiv verwenden möchte, muss also das Regelwerk anpassen.
Hierzu konnten wir globale Ausnahmen definieren, die auf alle gelisteten Dateiendungen wirken oder noch umfassender in der Sektion "File event ignored users" einzelne Anwender komplett ausnehmen. Als praxisrelevanter erwiesen sich aber granulare Ausnahmen auf der Ebene einzelner Dateiendungen. Dabei durften wir aus zahlreichen Kriterien wählen und diese kombinieren, darunter Namen und Pfad von Dateien, Benutzern und Gruppen sowie im Detail auch Namen von Clustern, Fileservern, Volumes oder Freigaben.
Einzelne Benutzer konnten wir innerhalb von Regeln allerdings nur anhand der SID ihres AD-Kontos und nicht mit Namen angeben. Dazu mussten wir die passende SID zu einem Benutzernamen entweder unter dem Menüpunkt "Audited Users" nachschlagen oder außerhalb der Web-GUI von CryptoSpike etwa per PowerShell ermitteln. Unabhängig davon erwiesen sich die Ausnahmen als flexibles Werkzeug, um sowohl die Absicherung des Fileservers zu erreichen als auch Sonderfälle im Alltag abzubilden.
Block basierend auf Verhalten
Noch flexibler als die eher statische Blockliste und laut ProLion auch praxisrelevanter zur Abwehr einer Ransomware-Attacke ist der Bereich der "Analyzer file operation patterns". Mittels des Analyzers erkennt CryptoSpike dynamisch ungewöhnliche Aktivitäten im Dateisystem, also untypisches Verhalten, wie es Endanwender oder Applikationen in der Regel nicht zeigen. Hier bringt CryptoSpike ab Werk zwei Regelsätze mit. Die "replaceRule" schlägt an, sobald ein Benutzer massenhaft Dateien liest, löscht und sofort neue Dateien schreibt.
Die "overWriteRule" löst aus, wenn ein Nutzer zahlreiche Dateien einliest und direkt überschreibt. Auch für die dynamischen Regelsätze konnten wir wiederum Ausnahmen konfigurieren und mittels der "Throughput Limits" festlegen, wann die Regeln greifen sollen. Standardmäßig wird CryptoSpike aktiv, wenn ein Benutzer binnen einer Sekunde 25 Dateien, innerhalb von fünf Sekunden 50 Dateien oder in 30 Sekunden 100 Dateien verändert und dies jeweils in zwei verschiedenen Verzeichnissen. Da wir aus nachvollziehbaren Gründen keine tatsächliche Ransomware in unserer Umgebung freisetzen wollten, beschränkten wir uns darauf, mit Hilfe von Skripten massenhaft Änderungen vorzunehmen, um uns davon zu überzeugen, dass CryptoSpike diese umgehend bemerkte.
Unter dem Menüpunkt der "File Activity" konnten wir anschließend sämtliche Dateioperationen auf unseren Clustern einsehen sowie nach Nutzern, IP-Adressen, Aktionen, Dateitypen, Clustern, Servern, Freigaben oder Volumes filtern. Der Bereich "File Activity" eignet sich damit auch abseits der Blockade unerwünschter Aktionen beim Klären von Supportanfragen rund um die Arbeit in Dateifreigaben.
Im Bereich "Latest Blockings" des Dash-boards sowie unter "Audited Users / Users" mit dem Schalter "Blocked only" fanden wir im passiven Modus die Informationen, welche Benutzer CryptoSpike aus welchem Grund blockiert hätte (Bild 3). Basierend auf diesen Informationen konnten wir im Alltag benötigte Dateitypen sowie auch von Endanwendern gewollte Applikationen und Skripte mit vermeintlich auffälligem Verhalten identifizieren, Ausnahmen definieren und schließlich CryptoSpike in den aktiven Modus versetzen.
Im Fall von tatsächlich unerwünschten oder unbeabsichtigten Aktionen gelangten wir über die Detailansicht einzelner geblockter User zum "File Restore", einer Liste aller im Zusammenhang mit der Sperre des Benutzers veränderten Dateien. Aus dieser Liste konnten wir ein oder mehrere Dateien auswählen und den Restore initiieren. CryptoSpike bedient sich dazu der NetApp-Snapshots mit der Standardauswahl "Use best candidate". Alternativ dazu durften wir aus der Liste der auf den Fileservern verfügbaren Snapshots einen bestimmten Eintrag auswählen. CryptoSpike stellte die Dateien am ursprünglichen Ort oder alternativ in einem separaten Pfad wieder her.
Fazit
ProLion CryptoSpike bietet effektiven Schutz vor Ransomware für Fileserver von NetApp, Lenovo sowie zunehmend Systeme von Dell. Einmal eingerichtet, erfordert das System im laufenden Betrieb nur mehr geringen Aufwand zur Freigabe neuer Dateiendungen auf der Blockliste und Anpassungen der Regeln, soweit nötig. Noch nützlicher im Hinblick auf die konkrete Bedrohung durch Ransomware ist die dynamische Erkennung potenziell schädlicher Aktionen durch den Analyzer. Sollten einzelne Dateiendungen oder Aktionen im Alltag doch benötigt werden, machen granulare Ausnahmen auf Basis von Pfaden oder Benutzern dies flexibel möglich. Hierbei gilt es, Komfort und Sicherheit gegeneinander abzuwägen.
(ln)
| Bewertung |
|
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Dieses Produkt eignet sich |
optimal für Unternehmen, die Fileserver von NetApp oder Lenovo einsetzen.
bedingt für Organisationen mit Fileservern von Dell.
nicht für Firmen, die keine Fileserver von NetApp, Lenovo oder Dell einsetzen.
|