Wie kann ich das eigene Gedankengut vor Verschlüsselung schützen und mich im schlimmsten Fall vor der Existenzvernichtung bewahren? Denn Verschlüsselungen kosten nicht nur Geld sondern schaden auch dem Image des Unternehmens und sind häufig auch anzeigepflichtig.
Für Fileshares, also Dateifreigaben, bietet ProLion mit der Software Cryptospike eine Lösung um Fileshares vor Ransomware zu schützen. Aktuell jedoch nur im Zusammenspiel mit NetApp und Lenovo Storages mit ONTAP Betriebssystem.
Wie funktioniert das?
Cryptospike wird als VM in Ihrer virtuellen Serverumgebung installiert. Auf der NetApp Storage werden Fileshares erstellt, die als CIFS- oder NFS-Share Servern und Clients zur Verfügung gestellt werden. Die Useranbindung findet wie LDAPS über die Active Directory statt.
Cryptospike überprüft permanent in Echtzeit die Zugriffe auf die Shares. Dazu werden zwei Methoden angewendet: Blocklist und Analyzer. Die Blocklist enthält eine täglich aktualisierte Liste mit bereit aufgetretenen Dateinamen bzw. Dateiendungen durch Ransomwarebefall. Findet Cryptospike eine solche durch einen User erstellte Datei, so bekommt dieser ad hoc alle Schreib- und Änderungsrechte auf dem Fileshare entzogen.
Das Analyzer-Modul bekommt in einer Lernphase das gewöhnliche Verhalten der User beigebracht. Sollte nach der Lernphase z.B. von einem User der Versuch mehreren Dateiänderungen zur selben Zeit ausgehen, was ein ungewöhnliches Verhalten darstellt, so werden dem User ebenfalls alle Schreib- und Änderungsrechte auf dem Share entzogen.
Soll heißen: Ein ungewöhnliches Userverhalten wird als Ransomware-Attacke wahrgenommen und der User entsprechend isoliert, sodass er keinen weiteren Schaden am Fileshare vornehmen kann.
What's next?
Das ONTAP Betriebssystem erstellt jede Stunde automatisiert einen Snapshot der Fileshares. Wenn ein Ransomware-Befall erkannt wird, kann Cryptospike auf die Snapshots zurückgreifen und ist in der Lage, anstelle des kompletten Snapshot nur die manipulierten Files wiederherzustellen. Dabei gibt es auch die Option, den als „bester Fall“ bewerteten Snapshot oder aber einen eigenen Zeitstempel zu wählen.
War dieser Artikel hilfreich für Sie?