CryptoSpike
Ransomware Schutz für NetApp

Herausforderungen

  • Laut Schätzungen wird alle 40 Sekunden ein Unternehmen mit Ransomware infiziert.
    Die Schadprogramme verschlüsseln Dateien, die bekanntesten sind z.B. WannaCry und Petya. Von den betroffenen Unternehmen wird Lösegeld verlangt. Wird Ransomware nicht umgehend erkannt, so kann Datenverlust die Folge sein.
  • Das Fatale: Ein einziger Klick eines Mitarbeiters genügt, um das Netzwerk zu identifizieren.
    Denn nicht nur Dateien auf dem lokalen Computer werden beschädigt, sondern auch auf freigegebenen Netzlaufwerken. Jeder Kunde, der NetApp als NAS (Network Attached Storage) verwendet (CIFS oder NFS Lizenzen), sollte daher einen Schutz gegen Ransomware haben.
  • Die Ransomware Welle geht weiter. Und manche bemerken es erst, wenn es zu spät ist.
    Bereits ein einziger Klick auf einen bösartigen Link oder E-Mail Anhang kann im Hintergrund ein Schadprogramm installieren, das vielfach unbemerkt über Monate läuft. Dabei besteht die Gefahr, dass sich mit der Zeit auch auf Sicherungsmedien nur mehr verschlüsselte Dateien befinden und die Originale nicht mehr wiederherstellbar sind.

Zahlen und Fakten aus dem aktuellen Ransomware Report 2017 von Cybersecurity Insiders.
  • Ransomware Attacken werden von Unternehmen und Behörden mittlerweile als größte Cyber Security Gefahr gesehen.
  • 75% der betroffenen Organisationen erlebten 1 -5 Ransomware Attacken innerhalb eines Jahres,
  • 25% erlebten mehr als 6 Attacken.

  • Folgen für das Business: 41% Downtime, 39% Produktivitätsverlust, 30% Datenverlust.

Die Lösung: ProLion CryptoSpike

CryptoSpike wurde speziell für NetApp ONTAP-Storagesysteme konzipiert.
In Echtzeit werden alle Transaktionen im NetApp Storage auf Auffälligkeiten im Hinblick auf Dateiendungen oder Dateinamen und auf Anwenderverhalten kontrolliert.

ProLion CryptoSpike Dashboard

Funktionsweise

  • Die CryptoSpike und FPolicy Server können Sie als Software-Image (.ova) einfach installieren.
    Angriffe werden mit 3 aufeinander abgestimmten Konzepten entdeckt:
  • White-List enthält alle in Ihrem Unternehmen erlaubten Datei-Endungen, diese werden automatisch aus dem Storage bei Installation von CryptoSpike ausgelesen.
  • Black-List enthält aktuell rund 1800 bekannte Ransomware Dateiendungen oder Dateinamen, die täglich aktualisiert werden.
  • Learner ist als zweite Sicherheitsstufe der entscheidende Teil. Denn Ransomware verändert nur noch selten Dateinamen und Endungen, sodass von außen die Verschlüsselung nicht erkennbar ist. Der Learner analysiert daher Muster (Patterns) des Benutzerverhaltens in Ihrem Unternehmen, z.B. von read/write/open/close Datei-Operationen. Dazu werden z.B. die letzten 50.000 Transaktionen im Netzwerk erfasst und in der White-Patterns List gespeichert. Ebenso gibt es die Black-Patterns List mit Verhaltensmustern aus aktuellen Ransomware Angriffen.

Alarmfall: Blockade in Echtzeit und schnelle Wiederherstellung

  • Wird eine Anomalie bei einer Transaktion in Echtzeit auf dem NetApp Storage entdeckt, schlägt das System Alarm und sperrt den betroffenen Mitarbeiter. Dieser hat dann nur mehr Lese-Zugriff.
  • Die wichtigste Information liefert CryptoSpike zuerst: Wo sind welche Dateien betroffen? Sie erhalten Informationen über den Pfad und die Anzahl der verschlüsselten Dateien.
  • Bei irrtümlicher Sperre kann der User mit einem Klick wieder entsperrt und ggf. die Patterns angepasst werden.
  • Bei einem Ransomware Angriff können Sie schnell analysieren, wo schadhafte Programme laufen. Sobald der Mitarbeiter nach Bereinigung entsperrt wird, unterstützt CryptoSpike den Recovery Prozess mit einer Export-Liste der betroffenen Dateien, sodass diese über Snapshot schnell wiederhergestellt werden können.

Erfahren Sie mehr über ProLion CryptoSpike

Produktseite ProLion CryptoSpike

CryptoSpike Präsentation Englisch
CryptoSpike Datenblatt Deutsch
CryptoSpike Datenblatt Englisch

 

Zur Übersicht