Schon vor einer ganzen Weile haben wir hier auf dem Pitagora-Blog über die besonderen Fähigkeiten von IBM Predatar berichtet. Mit diesem Tool lassen sich Langzeit-Archive vor möglichen Malware-Infektionen schützen. Heute zeigen wir, wie das genau geschieht.

IBM Predatar, das IBM Spectrum Protect (Plus)-Backup-Archive auf mögliche Malware-Infektionen hin untersucht, geht in zwei wesentlichen Schritte vor: Identifikation von potentiellen Bedrohungen sowie die eigentliche Reaktion auf mögliche Infektionen, die sich bei der Analyse des Bedrohungspotentials ergeben. Daraus leiten sich diverse Schritte und Konsequenzen ab.

1. Identifikation möglicher Bedrohungen

In einem ersten Schruitt werden proaktiv mögliche Bedrohungen ausfindig gemacht, und zwar möglichst vor dem eigentlichen Auftreten des Schadens, der daraus entstehen kann. Dies geschieht mithilfe diverser Tests, die IBM Predatar teils automatisiert durchführt:

  • Zeitgesteuerte Überprüfungen, die in beliebiger Anzahl eingerichtet werden können. Die Quantität orientiert sich dabei hauptsächlich an den SLAs des Unternehmens (Service Level Agreement).
  • Verhaltensbasierte Überprüfungen sorgen auf Basis von Machine Learning-Algorithmen, mögliche Infektionen in Backup-Archiven rechtzeitig zu erkennen. Einmal identifiziert, werden zielgerichtete Tests durchgeführt, um so mögliche Bedrohungen aufzuspüren.
  • Zufällige Tests untersuchen mithilfe zufallsgesteuerter Überprüfungen bestimmte Speicherkomponenten, um damit neue und mögliche Bedrohungen rechtzeitig aufzuspüren.
  • Ereignisbasierte Tests sollen Anwender:innen die Möglichkeit verschaffen, virtuelle Maschinen selber zu überprüfen. Dies geschieht immer dann, wenn auf einem SIEM-überwachten System etwas Verdächtiges entdeckt wurde.

Diese vier Testmöglichkeiten helfen, potentielle Bedrohungen zu entdecken und Unternehmen davor zu schützen. Das betrifft Ransomware-Attacken genauso wie Hardware-Ausfälle, Anwenderfehler, Sabotage und andere mögliche Schäden.

2. Wiederherstellung infizierter Daten

  • Aufgrund der zum Einsatz kommenden Künstlichen Intelligenz und permanenten Analysen weist IBM Predatar auf mögliche Schwachstellen hin. Damit werden besonders gefährdete Endpunkte und Speicherkomponenten innerhalb eines Netzwerks besonders überwacht und getestet.
  • Endpunkte, bei denen davon ausgegangen werden kann, dass sie durch Malware infiziert worden sind, werden automatisch zur genaueren Analysezwecken in den dafür vorgesehenen CleanRoom überführt.
  • Sobald sich die betroffenen Endpunkte oder sonstigen Speicherkomponenten im CleanRoom befinden, führt IBM Predatar eine intensive EDR-Überprüfung durch (Endpoint Detection & Response). Sollte hierbei Malware entdeckt werden, wird diese unmittelbar entfernt.
  • Um die potentielle Gefahr einer Infektion anderer Speicherkomponenten ausschließen zu können, sucht IBM Predatar innerhalb der kompletten Storage-Umgebung nach auffälligen Mustern, die auf ähnliche Malware hinweisen können.

Anschließend wird jede verdächtig erscheinende Maschine wiederherstellt und gereinigt, sodass sie anschließend in die Produktivumgebung überführt werden kann.

Pitagora ist Ihr IBM Spectrum Protect- und Predatar-Partner

Pitagora ist als langjähriger IBM-Partner ein zuverlässiger und erfahrener Ansprechpartner. Falls Sie also wissen möchten, wie Sie mithilfe von Predatar Ihre Spectrum Protect-basierten Daten-Backups vor Ransomware-Angriffen und anderen technischen Problemen schützen können, freuen wir uns auf Ihre Nachricht. Nehmen Sie hierzu entweder via E-Mail oder per Telefon Kontakt mit uns auf.