Zero Trust Backups

Abwehr von Ransomware-Angriffe durch Intrusion-Risk-Kontrolle

, München, Rubrik | Autor: Herbert Wieler

Abwehr von Ransomware-Angriffe durch Intrusion-Risk-Kontrolle

Zero Trust Konzepte auf Backups übertragen

Ransomware-Hacker agieren immer ausgeklügelter und raffinierter. Das neue Objekt ihrer Begierde sind mittlerweile oft Backups. Die einzige Möglichkeit, diese zu schützen, besteht darin, sie inhärent sicher zu halten. Aus diesem Grund muss die Sicherheit bereits bei den Daten beginnen.

Aktuell ein viel diskutiertes Konzept in zahllosen IT-Teams: Eine Zero-Trust-Architektur (ZTA). Bei dieser vertrauen die Beteiligten nichts und niemandem, und gehen stets davon aus, dass alle Benutzer, Geräte und Anwendungen nicht vertrauenswürdig sind und möglicherweise bereits kompromittiert wurden. „Nie vertrauen, immer überprüfen“, lautet die Devise. Die Strategie besteht darin, das Risiko des Eindringens zu verringern und die Möglichkeiten von Hackern einzuschränken, die Sicherungsdaten – als letzte Verteidigungslinie – zu entfernen. Bei Zero Trust erhalten nur authentifizierte Benutzer Zugriff auf Daten, die Berechtigungen sind begrenzt und alle Systemschnittstellen sind sicher. Rubrik überträgt das Zero Trust-Konzept nun auch auf den Bereich der Data Protection und erläutert, wie dies in der Praxis aussieht.

Zero Trust und das Risiko des Eindringens

Die Intrusion-Risk-Kontrolle ist eine entscheidende Komponente einer Zero Trust Data Management-Architektur und umfasst drei wichtige Methoden:

  • Multi-Faktor-Authentifizierung (MFA)
  • Granulare rollenbasierte Zugriffskontrollen
  • Sichere Befehlszeilenschnittstelle

Wie sehen diese sicheren Datenschutztechniken für das Risikomanagement von Benutzern und Mitarbeitern im Detail aus und wie werden sie in der Praxis umgesetzt?

Multi-Faktor-Authentifizierung

In Anlehnung an die Grundsätze des NIST (National Institute of Standards and Technology) verlangt Zero Trust, dass die Identität des Benutzers über einen einfachen Benutzernamen und ein Passwort hinaus überprüft wird. Sollte ein Benutzer beispielsweise einem Phishing-Angriff zum Opfer fallen, könnten kompromittierte Zugangsdaten einem Angreifer den Zugriff auf privilegierte Systeme, einschließlich Backup-Systemen, ermöglichen. Dies würde die Fähigkeit des Unternehmens gefährden, sich von einem Ransomware-Angriff zu erholen.

Rubrik rät in diesem Kontext zur nativen Multi-Faktor-Authentifizierung (MFA). Der TOTP-Algorithmus (Time-based One-time Password) generiert dabei automatisch einen Authentifizierungscode, der sich nach einer bestimmten Zeitspanne ändert, indem er ein zeitbasiertes Einmalpasswort zur Implementierung von MFA verwendet. Sollte ein Angreifer in den Besitz des Login-Passworts eines Benutzers gelangen, könnte er nicht ohne weiteres auf das Backup-System zugreifen und die Backup-Daten kompromittieren, da das Passwort einmalig und zeitbasiert ist.

Bei modernen Lösungen ist MFA für lokale, Lightweight Directory Access Protocol (LDAP)- und Single Sign-On (SSO)-Konten verfügbar. Führende Anbieter integrieren sich mit SAML 2.0 Identity-Providern (IdP) für die SSO-Authentifizierung, so dass Benutzer auf mehrere Anwendungen mit einem einzigen Satz von Zugangsdaten zugreifen können. Nutzer können so ihr Gerät für die zweistufige Verifizierung registrieren und frei verfügbare Anwendungen nutzen, von denen die meisten auch MFA unterstützen, wie Google Authenticator, RSA SecurID, Microsoft Authenticator oder Cisco Duo Security.

Hierzu gilt es einfach die bevorzugte Anwendung auf dem iOS- oder Android-Telefon zu installieren, die App (keine Internetverbindung erforderlich) herunterzuladen, den angezeigten QR-Code zu scannen und den einmaligen Passcode einzugeben, um die Einrichtung zu bestätigen. Darüber hinaus haben Administratoren die Möglichkeit, die zweistufige Verifizierung für alle Nutzer oder für eine bestimmte Gruppe von Nutzern zu erzwingen.

Zu beachten ist, wenn das Unternehmen auf einen SSO-Anbieter zurückgreift, dass sowohl SSO als auch MFA implementiert werden sollten. Die beiden schließen sich nicht gegenseitig aus. Durch die Aktivierung von TOTP können Angreifer nicht auf die Sicherungsdaten zugreifen, selbst, wenn das Active Directory kompromittiert wird. Angreifer können nicht gestohlene Benutzernamen- und Kennwortdaten erhalten oder versuchen, SSO über lokale Konten zu umgehen. Die Verwendung von SSO und MFA bietet zusätzliche Sicherheit.

Granularer rollenbasierter Zugriff

Eine weitere Form der Datenverwaltung und -prävention ist die rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC). RBAC schränkt den Zugriff auf der Grundlage der Rolle einer Person innerhalb einer Organisation ein, wobei verschiedene Rollen unterschiedliche Zugriffsrechte haben. Eine rollenbasierte Zugriffsbeschränkung kann das Risiko von Datenschutzverletzungen erheblich verringern.

Die Mitarbeiter erhalten nur Zugriff, um ihre spezifischen Aufgaben zu erfüllen, und nicht mehr. Dies entspricht dem Prinzip des am wenigsten privilegierten Zugriffs. Selbst wenn ein Benutzer erfolgreich authentifiziert ist, erhält er keine Zugriffsrechte, wenn er nicht für eine bestimmte Aufgabe zuständig ist, wie sie in der Richtlinie definiert ist (basierend auf Faktoren wie Autorität, Verantwortung und Jobkompetenz).

Lösungen für Data Management mit einem auf Zero Trust basierenden Data Protection-Konzept machen es einfach, granulare RBAC-Berechtigungen zuzuweisen und mit Active Directory zu integrieren. MFA verifiziert zunächst die Identität des Benutzers, dann gewährt die Policy Engine den Zugang mit den geringsten Privilegien auf der Grundlage der spezifischen Rolle des Benutzers. Auf diese Weise verbessert RBAC die Benutzerüberprüfung von MFA.

Im Falle eines Angreifers, der die Zugangsdaten eines Benutzers mit genehmigtem Zugriff auf die Daten stiehlt, kann RBAC die Auswirkungen einer Kontokompromittierung drastisch reduzieren, insbesondere bei Ransomware. Selbst wenn ein Hacker theoretisch in der Lage wäre, auf das Data Management-System mit dem gewünschten Satz von gestohlenen Benutzerzugangsdaten zuzugreifen, sind Befehle zum Zurücksetzen auf die Werkseinstellungen proaktiv deaktiviert. Dies stellt eine wichtige zusätzliche Sicherheitsmaßnahme dar. Wenn ein einzelner Knoten oder ein Cluster zurückgesetzt werden muss, muss der Vendor-Support kontaktiert werden und der Hersteller muss vom Anfrager nachweisbare Zugangsdaten erhalten.

Sichere Befehlszeilenschnittstelle

Zeitgemäße Plattformen für Data Management werden entwickelt, um Systemschnittstellen zu sichern und zu schützen. Dies umfasst den Schutz der Befehlszeilenschnittstelle (Command Line Interface, CLI) über die Funktionalität des Einmalpasscodes. Mit dem Hinzufügen von TOTP für CLI verhindert eine zusätzliche Sicherheitsebene, dass Web-Sicherheitsschwachstellen wie OS-Command-Injection-Angriffe es einem authentifizierten Angreifer ermöglichen, aus der Ferne beliebigen Code auf den verwalteten Systemen auszuführen.

Die Anbieter von Zero Trust Data Management verbessern weiterhin die Sicherheit der Plattformen, um die Backup-Daten zu schützen, damit sich Unternehmen erfolgreich von Ransomware-Angriffen erholen können und kein Lösegeld zahlen müssen. So war beispielsweise die Bezirksverwaltung des Yuba County im Norden Kaliforniens in der Lage, sich von einem Ransomware-Angriff zu erholen. Die Verwaltungsbehörde musste kein Lösegeld zahlen und konnte 100 Prozent ihrer Backups innerhalb von sieben Tagen wiederherstellen, alles mit Hilfe von modernen Data Protection-Lösungen auf Basis von Zero Trust Data Management.