Ransomware Schutz mit SnapGuard von Cleondris

SnapGuard Information und Stand Nov/2019 (Release 6.2.1911 und neuer)

Gerne informieren wir Sie wieder einmal über den aktuellen Ausbaustand und die ständigen Verbesserungen der Software.

Heute zum Thema Ransomware Schutz mit SnapGuard von Cleondris:

Mit der Einführung von SnapGuard im 2016 hat Cleondris als weltweit erster Hersteller gezeigt, dass durch eine geschickte Nutzung der nativen Features in NetApp ONTAP ein sehr effektiver Schutz vor Ransomware möglich ist, welcher direkt in ONTAP wirkt und keine Änderung an Clients (keine Agenten etc., Schutz für sämtliche CIFS Benutzer und Systeme) nötig macht. Die ergänzenden Analyse- und Reparaturfunktionen von SnapGuard ermöglichen es zudem, auch bei einem bereits betroffenen System sehr effektiv Schäden zu beheben.

SnapGuard wird laufend weiterentwickelt, und wir möchten Ihnen im Folgenden gerne ein paar der neuen Funktionen vorstellen.

Automatischer Update der neusten Pattern-Liste:

Der zentrale Bestandteil von SnapGuard, die CIFS Firewall, kann mit Patterns von typischen Ransomware Filenamen befüllt werden (z.B. bekannte File-Endungen oder Muster von Dateinamen, welche Instruktion zu Lösegeldforderungen beinhalten). Ursprünglich mussten SnapGuard Administratoren diese Listen manuell nachführen, dies kann nun aber auch automatisiert (inkl. abschliessender Autorisierung durch den Admin) durchgeführt werden.

Mehrere Quell-URL’s sind möglich, welche dann auch in mehreren Listen gespeichert werden. Hier empfiehlt es sich mehrere Listen zu führen und zu definieren um zusätzliche, eigene, Einträge zu verwalten. Administratoren können mittels «push» über ein Update der Pattern-Liste informiert werden.

Odoo • Text and Image
Odoo • Image and Text

Kerberos Integration

Die von NetApp ONTAP produzierten FPolicy Meldungen («User XYZ beschreibt gerade eine Datei») beinhalten lediglich die SID eines Benutzers, aber nicht den Klartext Namen. Die CIFS Firewall von SnapGuard kann sich aber an einem Domain Controller anmelden, und über diesen die SIDs in lesbare Namen umwandeln (für Log-Meldungen, Alarme, Live-View, etc.). Die eigentliche Anmeldung am Domain Controller war bisher immer via NTLM Authentifizierung geregelt. Neu ist es nun auch möglich, die Anmeldung über Kerberos zu regeln, was zu zusätzlicher Passwort-Sicherheit führt, falls ein Angreifer Zugriff auf den Netzwerkverkehr einer Firma hat.

Next Release (Dez/2019)

Bereits im Kundentest (Beta): Generische Erkennung von Ransomware

Die «generische» Erkennung ist seit einiger Zeit verfügbar und eingebaut (und funktioniert!).

Mit dieser Neuen Funktion werden im Hintergrund (Asynchron) die File Inhalte von geänderten Dateien und nicht nur die Metainformationen überprüft. Dieser Datei-Inhalt-Plausibilitäts-Check wird bei allen Office Dateien und auch bei PDF durchgeführt und ermöglicht die generelle Erkennung von neuartiger Schadsoftware, welche (noch) nicht mittels Patterns erkannt wird oder eventuell auf Meta-Ebene (Filenamen und Endungen) gar keine Änderungen verursacht.

Wir erwarten das Finale Release bis spätestens Ende 2019.


Redundanz von FPEs und besserer Unterstützung von SVM-DR sowie MCC

Die SnapGuard CIFS Firewall kommuniziert mittels NetApp ONTAP mithilfe von einer sogenannten FPE («FPolicy Engine»). Der Benutzer kann dabei entweder das in der Cleondris Appliance integrierte FPE Modul, oder aber eine verteilte Lösung einsetzen, in welchem mehrere FPE Module im Netz verteilt sind.

Bisher konnte jeder zu schützender SVM auf NetApp ONTAP genau eine FPE zugewiesen werden (wobei aber eine FPE mehrere SVMs bedienen konnte). Neu ist es möglich, einer NetApp ONTAP SVM mehrere FPEs parallel zuzuweisen (sogenannter «FPE Pool»). Dies erhöht einerseits die Ausfallsicherheit des Ransomware Schutzes, und erhöht andererseits in sehr grossen Umgebungen den Durchsatz der FPEs.

Im weiteren wurde die Unterstützung für SVM-DR und MCC (MetroCluster) verbessert, wobei nun bei einem «Schwenk» einer SVM auf einen anderen Cluster nicht nur die Firewall automatisiert wieder eingerichtet wird, sondern auch (falls nötig) automatisch andere FPEs verwendet werden können, welche physisch näher beim neuen Cluster stehen.


Generelles

Einrichten / konfigurieren

Bei der Einrichtung und der Konfiguration Ihres Ransomware Schutzes mit SnapGuard von Cleondris wird Ihnen Ihr lokaler NetApp-Partner gerne behilflich sein.

Kadenz der Releases von Cleondris (SnapGuard, CDM, IDX, HCC)

Eine typische Kadenz von Verbesserungen und Updates wird durchschnittlich monatlich erbracht.

Nicht jeder Release bedarf einer Einspielung. Fragen Sie Ihren NetApp Partner oder informieren Sie sich bei Cleondris in selbst im Download-Portal unter DOCUMENTATION.