Cohesity bestrijdt ransomware met bekende security leveranciers

Ransomware is voor bedrijven een steeds groter probleem. In het afgelopen jaar zijn dit soort kwaadaardige aanvallen opnieuw toegenomen en hebben vorige records makkelijk verbroken. Ook verzinnen hackergroepen die zich in dit soort aanvallen specialiseren, constant nieuwe aanvalsmethoden om slachtoffers te treffen en met afpersing eraan te verdienen.

Persistence en dual attacks

Waar ransomware-aanvallen vroeger in één keer bestanden versleutelden of ontvreemdden, gebruiken hackers van ransomwarebendes nu vaker aanvalstechnieken die langer duren, moeilijker te ontdekken zijn en een actieve aanwezigheid in de systemen, persistence, bewerkstelligen.

Onder andere gaat dit via zogenoemde ‘dual ransomware’-aanvallen of aanvallen die met korte tijd met twee ransomware-aanvallen achter elkaar plaatsvinden. Bijvoorbeeld door nieuwe code toe te voegen waardoor een tweede ransomwarebesmetting door verdedigingssystemen wordt gemist, of dat ‘wiper malware’ wordt meegeïnstalleerd.

Grote gevolgen tweeledige aanvallen

“De gevolgen van dit soort aanvallen laten zich raden”, zegt CTO EMEA Mark Molyneux van dataprotectie- en beheerspecialist Cohesity. “Bedrijven gaan wanneer ze door een ransomware-aanval worden getroffen -vaak met grote haast- een recoveryproces opstarten. Traditioneel gebruiken zij hiervoor de meest recente kopieën van hun data om deze terug te zetten.”

“Bij meer complexe aanvallen, zoals die bij dual ransomware-aanvallen, is dit lastiger. Vooral als, onder andere vanwege de druk, niet de juiste actie wordt ondernomen om uit te zoeken en op te lossen wat zij echt tegenkomen. Dan kan het toch fout gaan. Systemen worden dan hersteld inclusief alle kwaadaardige accounts, gecompromitteerde inloggegevens, persistence-mechanismes en andere malware.”

Molyneux: “Kortom; het huis wordt herbouwd na een (ransowmare)aanval, maar de deuren en de ramen waardoor de hackers binnenkwamen blijven gewoon openstaan en worden direct weer misbruikt. Bedrijven komen zo in een eindeloze loop van events terecht.”

Introductie Data Security Alliance

Vanwege deze toenemende complexiteit kunnen integrators, securityleveranciers en datamanagementleveranciers dit niet meer alleen oplossen. Onderlinge samenwerking en integraties van securitysystemen binnen een overkoepelend ecosysteem kunnen juist hierbij helpen, vindt Cohesity.

Dit was de reden voor het oprichten van de Data Security Alliance (DSA). “De alliantie en ecosysteem moeten bedrijven helpen hun verschillende dataprotectie- en resilience-applicaties in een alles omvattende securitystrategie te integreren.”

Hiervoor werkt Cohesity samen met BigID, Cisco, CrowdStrike, CyberArk, Okta, Palo Alto Networks, NetSkope, Qualys, Securonix, ServiceNow, Splunk, Tenable, TCS, Mandiant, Zscaler en de consultants van PwC.

Onlangs is het samenwerkingsverband uitgebreid met Data Security Posture Management (DSPM)-aanbieders als Cyera, Dig Security, Normalyze, Sentra en Securiti.

Securitystrategie

De securitystrategie die Cohesity met zijn samenwerkingsverband nastreeft, richt zich op preventie, vroegtijdige detectie, bescherming en -indien nodig- herstel na cyberaanvallen. “Eigenlijk een ‘cyber-continuity-plan”, geeft de CTO EMEA aan.

De basis van dit securityplan is het eigen Cohesity-dataprotectie- en beheerplatform. “Ons platform biedt diverse mogelijkheden voor de bescherming en het beheer van hun backup- en secundaire data. Dit zijn juist vaak de doelen van ransomware-aanvallen. Het helpt ook met het reduceren, classificeren van deze data en bieden we juist die extra securitylaag tegen dit soort aanvallen. Inclusief de threat detection en -hunting-werkzaamheden om de backup- en secundaire data echt veilig te houden.”

Clean-roomomgeving

Het Cohesity-platform stelt klanten in staat om zogenaamde clean room-scenario's te implementeren. In deze geïsoleerde omgeving kunnen alle betrokken IT- en beveiligingsteams parallel werken met kopieën van productiegegevens. Met behulp van de Cohesity-oplossing voor gegevensbeheer zijn snapshotversies van systemen beschikbaar in de verschillende fasen van de incidenttijdlijn. De dataprotectie- en beheerspecialist kan deze snapshots in de geïsoleerde omgeving afleveren, gehard tegen aanvallen van buitenaf dankzij vaulting, onveranderlijke opslag, multi-factor authenticatie en encryptie.

Molyneux: “Niet alleen helpt ons platform bij het beschermen tegen ransomware-aanvallen, maar -indien onverhoopt toch een inbreuk plaatsvindt- bij eventuele hersteloperaties. “Wij leveren de juiste intelligentie. We weten welke data klanten hebben, hebben deze geclassificeerd en vertellen in welke volgorde de data gestructureerd te herstellen. We verzorgen op een intelligente manier de herstelstrategie. Waar data of back-ups zich ook bevinden.”

Hersteloperaties

Bovendien maakt het clean-room-principe digitale forensics mogelijk voor het, zoals eerder gezegd, herstellen van systemen op ieder punt in de tijd. Ook kan het bijvoorbeeld tools die de malware heeft omzeild opnieuw installeren en kwetsbaarheden op ieder moment in de tijdslijn ontdekken en repareren. Hiermee worden dan dubbele aanvallen en persistence, die (ransomware)aanvallen tegenwoordig zo complex maken, voorkomen.

De oplossingen en toepassingen van de diverse partners in de Data Security Alliance-samenwerking en -ecosysteem prikken hierop via API’s vanzelfsprekend op in om bijbehorende diensten te verlenen.

Toevoeging van AI

Cohesity brengt via zijn platform ook meer intelligentie voor het bestrijden van ransomware. “Met (generatieve) AI breiden we de data-indexatie en -classificatie uit. Hiermee wordt het mogelijk simpele en complexe vragen te stellen en de antwoorden in dagelijkse werkzaamheden toepassen of taken te automatiseren.”

“Daarnaast geeft AI meer inzicht in ongestructureerde data en bevordert ‘cybervaulting’ voor het veiligstellen van de meest belangrijke applicaties, workloads en bestanden.

Voordelen voor resellers

De vraag is natuurlijk wat Cohesity en zijn partners binnen de Data Security Alliance nu voor resellers kunnen betekenen. De dataprotectie- en beheerspecialist is 100 procent ‘channel driven’ en resellers zijn daarom heel belangrijk, ook voor het samenwerkingsverband.

“Via deze samenwerking kunnen zij makkelijker voor hun en voor hun eindklanten betere ‘cyber reslilience’-architecturen ontwerpen en realiseren. Dit op basis van het Cohesity-platform en natuurlijk de belangrijke security-, identiteits-, datamanagement, workflow- en nu ook DSPM-integraties van onze partners. Dit kunnen zij natuurlijk ook als eigen dienst aanbieden.”

“Zo krijgen klanten eigenlijk een ‘alles-in-één bescherming’ tegen de complexe (ransomware)aanvallen die hen bedreigen. Dit maakt dan hun hele data-omgevingen volledig ‘future-proof’ is de bedoeling”, besluit Mark Molyneux van Cohesity.