Wie Sie Ransomware auf NetApp Systemen bekämpfen

Prolog

Mein heutiger Blog ist federführend durch meinen Kollegen Christoph Schnidrig, seines Zeichens SE Manager in der Schweiz entstanden. Ja, unsere Schweizer Kollegen sind in Sachen Ransomware - wie man so schön sagt - absolut „Leading Edge“. Danke dafür.

 

Ransomware

Früher oder später sind alle davon betroffen. Für Private ist es ärgerlich, dass die heimische Fotosammlung verschlüsselt wurde, für Unternehmen können jedoch grosse finanzielle Schäden entstehen, wenn z.B. Projektdaten auf der zentralen Dateiablage verschlüsselt wurden und das ganze Projektteam nicht mehr arbeiten kann.

 

Bei Befall von Ransomware stellen sich 3 zentrale Fragen:

  • Wie erkenne ich den Befall?
  • Wie identifiziere und blockiere ich die befallene Workstation?
  • Wie stelle ich die Dateien wieder her und wie unterscheide ich zwischen guten Änderungen und schlechten Änderungen?

ransomware-timeline.png

NetApp bietet in ONTAP viele Funktionen um Ransomware zu begegnen:

 

  • Snapshots = Stündliche Backups für Wiederherstellung
  • SnapRestore = Schnellste Rücksetzung von ganzen Volumes
  • FlexClone = Neues Filesystem von einem Snapshot
  • Single-File-Clone = Effizientes Wiederherstellen einzelner Dateien
  • SnapDiff = Veränderte Dateien sehr schnell finden
  • FPolicy = Überwachen und Blockieren von Dateioperationen
  • viele mehr...

FAS-ransomwareprotected.png

 

Von NetApp gibt es kein einfaches Tool, welches diese Funktionen nutzt um die Fragestellungen oben zu adressieren. Hier kommt Cleondris ins Spiel. Cleondris ist ein Schweizer Software Hersteller, der sich auf NetApp spezialisiert hat und neu die SnapGuard Produktelinie anbietet. Mit SnapGuard werden die Problemstellungen die durch Ransomware entstehen, adressiert.

 

SnapGuard unterstützt folgende Funktionen (exklusiv für NetApp 7-Mode und cDOT):

  • Statische Blocking Regeln, die bekannte Ransomware blockiert
  • Monitor für Dateioperationen um befallene Workstations zu identifizieren und zu blockieren
  • Analyse von bestehenden Daten um verschlüsselte Daten aufzufinden
  • Roadmap: SnapGuard wird in Kürze auch den effizienten differentiellen Restore von Dateien und Verzeichnissen unterstützen (Teilrestore von Volumes ohne das ganze Volume zurückzusetzen). Im weiteren ist eine Enterprise Edition in Vorbereitung, welche auch neue Ransomware generisch entdeckt und betroffene Workstations automatisch blockiert.

 

Generelle Übersicht von SnapGuard

 

 

Übersicht von Blocking und LiveView von SnapGuard

 

 

Einige Kunden waren in den vergangenen Monaten bereits Opfer von Ransomware-Attacken. Gehen Sie das Thema deshalb proaktiv an!

Viele unserer NetApp Partner sind bereits mit der Cleondris Lösung vertraut – sprechen Sie mit uns.

 

Trial Version von SnapGuard:

http://www.cleondris.ch/en/snapguard-trial.xhtml

FAQ von SnapGuard:

http://www.cleondris.ch/en/snapguard-faq.xhtml