[musik]Hallo und herzlich willkommen bei einer neuen Ausgabe von Netup Kompakt, dem Webcast von Netup. Spezialisten für Spezialisten von Netup. Ähm mein Name ist Chris Pinska. Ich darf Sie herzlich willkommen heißen an diesem Faschingsdienstag.Äh wie jeden Faschingsdienstag ist auch der ziemlich verrückt, vor allem drumrum, anders als man es erwartet. Dafür haben wir eine Konstante jeden Dienstag äh jeden ersten Dienstag im Monat die Netup Kompakt die Sie dann hoffentlich auf gute und andere Gedanken bringt. Ich äh mache das Ganze nicht alleine, komme da gleich noch dazu, wer mich hier unterstützt. Heute geht's um ein Thema ähm eher eine äh abstrakte Geschichte, so ein schwählendes Risiko, mit dem man sich immer wieder umeinander schlagen muss. Es geht um den Schutz vor Ransomware und vor um das große Thema Cyburity in dem Zusammenhang und wie wir da helfen können. Gründe für Datenverlust gibt's ja viel zu viele und Netup versucht da zu helfen. Wir kennen uns also da grundsätzlich damit aus. Das fiese an so einer Cyburity und Ransomware Geschichte ist, dass es von außen kommt, unverhofft und mutwillig passiert und das braucht man natürlich überhaupt nicht. Das ist, wie man in Bayern so sagt, unnütz Kropf und deswegen ähm wollen wir natürlich versuchen Ihnen da eine Hand zu reichen, eine Handreiche zu geben, zu zeigen, wie man sich konkret schützen kann, best practices aufzeigen und so weiter. Der Clue ist, es passiert ja dann doch mal irgendwie, dass man mit Cyburity konfrontiert wird und Ransomware ins Haus steht. Der Clue ist also a sich grundsätzlich zu schützen, bn natürlich möglichst schnell zu erkennen, was los ist und c im dritten Schritt zu sagen, ähm ich kann mich miteinfachen Mitteln und ich weiß, wo ich daingreifen muss, schnell aus dieser Lage wieder befreien, ohne eine Lösegeldforderung natürlich dann eingehen zu müssen. Also, das ist der Clue, möglichst schnell bei der Sache zu sein, möglichst schnell ähm zu erkennen, möglichst schnell wieder zu recovern.Und da haben wir natürlich eine Historie, ich habe schon gesagt, äh Data Security, Datenschutz, ähm Datensicherheit,Hochverfügbarkeitslösungen, da haben wir eine lange Historie und ähm die part sich mit ein paar neuen Tools und Tricks und dazu dann gleich noch mehr. Jetzt erst noch mal ein kleiner Werbeblog. [gelächter] Merken Sie sich vor. Ähm, die nächste Netup Kompact Session ist im April am 5. Dann am 5. April, das der erste Dienstag im April. Es geht um das Thema Object Speicher. Hatten wir schon länger nichts mehr dazu erzählt. Gibt's ein Update dazu. Wir haben es genannt schneller, smarter und skalierbarer ist das Motto von dieser Session rund um Objektspeicher.Dann am 3.5. planen wir eine Netup on Netup Session. Also, wir erzählen, wie wir unsere Rechenzentren ähm betreiben und welche Perspractices es dazu ähm beachten gibt, wie wir die SLS erfüllen. Wir haben dann ganzen großen Geräte Vorpark und haufen Applikationen, die da gehaustet werden müssen. Wird sehr,interessant. Und am 3.03. Das brauchen Sie sich eigentlich fast gar nicht mehr merken, haben wir eine Liveel Lab Session, also übermorgen. Die ist aber pickeepacke voll. Da bitte nicht mehr anmelden. Aber wenn Sie noch nicht dabei sein sollten und trotzdem reges Interesse daran verspüren, lassen Sie es uns wissen, schreiben Sie mir kurz in den Chat und dann merken wir uns die Adresse und laden Sie. Wenn genug Leute zusammenkommen und genug Interessenten sind, machen wir noch mal eine äh Spezialsession draus und eine weitere Liveelab Session. Die Anmeldeseite kennen Sie alle, sonst wären Sie hier noch nicht gelandet. äh auf der äh findet sich dann immer wieder der jeweils nächste Termin oder die jeweils nächsten Termine. Nach dem ähm aktuellen wird dann die Seite geupdatet. Schauen Sie immer mal wieder vorbei. netup.com.deund wenn Sie gefallen hatten an der einen oder anderen Session und sagen, ah, das möchte ich mir noch mal anschauen, surfen Sie vorbei auf tv.netup.com netup.com stichwort compact in die Suchleiste eingeben, dann erscheinen die Sessions, die wir hier jetzt recorden und Stichwort Technologieforum, dann haben Sie die Sessions, die wir letztens ähm von ein paar Monaten äh in Form von Sessions mit Kunden dann auch zusammen äh im größtenteils abgeliefert haben. Online gibt's ein Recording davon, also von jeder Session. Gut, damit genug gelabert. Mich kennen Sie jetzt schon, der Chris Pinska. Ich habe Unterstützung dabei zur Sicherheit, nämlich langjährigen Mitarbeiter, den Jens Kramer, aus Solutions Engineer, den Philip Sonntag, noch nicht ganz so lange dabei und last den Martin Heiß, der Service Account Executive, denn der stellt die Services drumrum vor, die Dienstleistung Professional Service, die wir zum Thema Ransomware Schutz und ähmdenSzenarien drumrum, was man da alles äh bauen kann und wo wir helfen können, erklärt. Jens, wenn ich dein Foto so ansehe, da fällt mir auf, heute ist der erste dritte. Du bist jetzt auch schon relativ lang dabei, 9 Jahre. Gratuliere.Was hast denn uns so mitgebracht? Und äh du bist ja immer da, wodie Musik spielt. Erzähl uns doch mal, was ist dein aktueller dein aktuelles Thema? Was fasziniert dich gerade? Ähm ja, Faszination, es ist eigentlich mehr Besorgnis und ähm derbedter Wunsch und unsere Kunden dann auch entsprechend ähm darüber zu informieren. Äh Thema Rensware ist seit einigen Monaten, wenn ich jetzt sogar schon ganzes Jahr lang, äh sehr präsent, nimmt rasant zu und äh ich werde nicht müde darüber zu sprechen und äh meine Sales Kollegen finden auch reichlich Termine zu dem Thema. Ich fange einfach mal so mit ein paar Zahlen und Trends dazu an. Äh für diejenigen, die es vielleicht immer so ein bisschen vor sich hergeschoben haben. Ähm für mich sehr interessant war, dass es jährlich von der Allianz ein sogenanntes Riskbarometer gibt. Ähm das ist jetzt vomSommer 21 und ähm verschreckenderweise äh Platz 1 und 2 drehen sich hier genau um Geschäftsunterbrechung und um Cyberincidenz. Und wenn man das Ganze verfolgt, das Cyberinzident ist die ist der Auslöser und daraus erfolgt diese Geschäftsunterbrechung. Das heißt also Platz 1 und 2 gehen komplett in diesem Bereich Cyberattacken hinein. Äh und dann an vierter Stelle jetzt auch schon die Pandemie, die natürlich auch imBereich von Lieferketten ihre Probleme verursacht. Ähm das Unschöne daran ist, es wird sich auch nichts ändern. Ähm Gartner hat bereits vorhersagen für 2022 getroffen und genau diesePunkte ähm nämlich Cyberattacken und auch äh dieganzen Pandemiebedingten äh Verzögerung und Ausfälle werden uns in 2022 begleiten und es wird dringend empfohlenbei den IT-organisationen das auch entsprechend zu überprüfen und in die Audits mit einfließen zu lassen. Ähm wie sieht das Ganze in Deutschland aus?Ähm, das ist jetzt hier von der Bitcoin eine Studie. Wir hatten tatsächlich ähm Mitte 2021 einen Gesamtschaden von 223 Milliarden Euro. Ähm, die Anzahl der Cyberattacken hat sich innerhalb von 2 Jahren vervierfacht und das führt dann dazu, äh dass nach dieser Umfrage äh fast neun von 10 Unternehmen, also 86% ähm bereits betroffen waren und hier auch ganz vorne dabei ähm dieBereiche Malbär und äh und Didos Attacken.Ähm, wenn man sich das Ganze dann ähm anschaut, ähm Deutschland ist nun mal ein sehr stark mittelstandsgeprägtes Land. Also nach EU-Klassifikation sind ungefähr 2,6 Millionen Unternehmen in Mittelstand. Ähm, das sind 99% unserer Wirtschaft. Das ist momentan genau der Sweet Spot für Cyberattacken. Ja, hier hat man dasgrößte Potenzial entdeckt. Früher waren es wenige große Unternehmen, die im Fokus standen. Heute ist es tatsächlich der Mittelstand, weil äh das einriesiger Markt geworden ist.Ähm was werden jetzt hauptsächlich für Attacken gefahren? Äh ich habe mal hier so diedrei wichtigsten auf dem Slide. Ähm, das erste sind sogenannte Didosattacken. Äh, hier wird dann versucht äh Online Plattformen, Handelsplattformenähm durch starken Traffic im Bereich vonHunderten MBIT bis Terrabit lah zulegen. Also, man ist dann durchaus in der Lage, Handelsplattformen lah zu legen. Äh, die neuseeländische Börse ist beispielsweise letztes Jahr im Bereich von einer Therapitattacke komplett lang gelegt worden. Also sowas ist technisch machbar. Ähm, was wir hier gerade im Mittelstand feststellen, ist der mittlere Bereich Exfiltration. Hier gelangen ähm Angreifer zunächst mal unbemerkt in das Firmennetzwerk, halten sich dort über längere Zeiträume, Tage, Wochen auf, sammeln Daten, äh stehen teilweise auch äh vertrauliche Daten, um dann das Unternehmen mit diesen Daten danach zu erpressen unddroht dann mit einer Veröffentlichung. oder aber auf der rechten Seite die sogenannten Ransombare Attacken, wo dann Kryptotroyane eingeschleust werden und die dann die ganze Daten verschlüsseln. Ähm, daraus hat sich ein neues interessantes Modell entwickelt, eine sogenannte Double X Tuschen. Das heißt, hier wird zweistufig gefahren. Erst werden die Daten geklaut, danach werden sie verschlüsselt und für beide Incidents äh darf dann der Geschädigte entsprechend Lösegeld zahlen, wenn er nicht anderlich an seine Daten wiederkommt.Ich habe hier mal ein paar Zahlen zusammengetragen und nicht erschrecken über dieVielzahl der Zahlen. Mir sind eigentlich nur zwei Bereiche wichtig, die ich hier kurz anmerken möchte. Äh ganz erschreckend, 98% ähm waren tatsächlich Schwachstellen im E-Mailbereich. Das heißt, also E-Mail ist das gefährlichste, das größte Einfallstor, was wir momentan haben. Dazu gleich noch ein bisschen mehr. Und der weitere Bereich ist das hier, die Shartprogrammvarianten.Ja, eine Zunahme innerhalb von einem Jahr von 22%. Hier sieht man äh wie stark randomisiert diese Schadprogrammvarianten mittlerweile sind. Und was sollte uns das sagen? Ähm der eine oder andere, der sich schon mit Ransonbear Schutz beschäftigt, sollte das Ganze überdenken, ob der alleinige Schutz auf Basis von Pattern Signaturen hier noch mithalten kann. Also bei der rasanten Zunahme, wir reden hier tatsächlich auf knapp 400.000 Schap Vogabanten pro Tag. Ja, äh kann ich das mit Standardmechanismen alles noch abfangen, indem ich ständig Pattern aktualisiere? Oder brauche ich vielleicht eine neue Technologie, die auf Basis von Machine Learning oder künstlicher Intelligenz arbeitet?Wie sieht man das Ganze dann noch mal? Thema E-Mail. Äh, also der E-Mail Link und das E-Mail Attachment sind äh round about 45% der Attacken. Ähm, das ist das große Einfallstor. große Einfallstor. große Einfallstor. Und dazu warnt auch das BSI ähm immerwieder, also Ende letzten Jahres wurde bereits vor erneutem Emotet Spam gewarnt, obwohl Anfang 2021 dieser Ring zerschlagen wurde. Da haben sich irgendwelche Spittergruppen wieder zusammengefunden. gibt es wieder und natürlich auch diese Warnung vor kompromitierten Exchange Servern. Ähm eine weitere aktuelle Warnung vom BSI ist jetzt in Verbindung mit dem Ukrainekonflikt. Also hier wird auch jetzt in den nächsten Tagen, Wochen mit einer starken Zunahme von weiteren Cyberattacken äh gerechnet. Ähm schwerpunktmäßig wahrscheinlich auf kritische Infrastrukturen. Was kostet mich sowas? Wenn ich jetzt tatsächlich betroffen bin und in Erwägung ziehe, äh mich darauszukaufen, äh laut einer Sofosstudie, also das Durchschnitts ähm die Durchschnittszahlung der betroffenen Unternehmen bei about 170.000 $. Ja, das ist nur die eine Seite derMünze. Das andere sind natürlich die Folgekosten, die können gut Faktor 10 höher sein, nämlich zusätzlich zum Lösegeld kommen man noch solche Dinge wie Downtime, Arbeitszeiten, vielleicht verlorene Aufträge, äh Datenforensiker, die man extern noch in die Sache mit involvieren muss. Also das Ganze leppert sich natürlich auf relativ hohe Kosten. Und wo ich dann bei diesem Bereich Kosten bin, ähm wie lange kann ich mir soeinen Ausfall eigentlich leisten? Auch hier muss ich verschiedene Dinge in die Wagschale werfen. Äh nälich welcher Schaden kann entstehen? Das eine ist natürlich die direkte unmittelbare Lösegeldforderung.Äh das nächste ist die Außenwirkung bei meinem Unternehmen. Möglicherweise Aktien notiert oder wie auch immer. äh kann mein Geschäft, meine Reputation dadurch Schaden nehmen oder komme ich vielleicht auch noch in dem Bereich von äh juristischen Abhängigkeiten, weil ich irgendwelche ähm Datenschutz Richtlinien möglicherweise gesachtet habe. So und ähm dann würde ich an den Philip übergeben.Genau. Jens, vielen Dank. Genau. Ichhabe ich habe uns ein Beispiel mitgebracht. um mal ein bisschen zu veranschaulichen, wie denn ähmwie denn eine typische Backupstategie ähm entsprechend aussieht und welche Problematiken damit vielleicht auch hinhergehen. Ähm ich habe dazu ähm ja meine fiktive Firma ausgedacht, das ist die ANO dazu mal GBH und habe ja mal eine typische ITLandschaft mitgebracht. Das heißt, die besteht aus einem Storage, aus verschiedenen Server, aus so einem Virtualisierungsdeck, aus verschiedenen Betriebssystemen und dann natürlich oben die Apps, die dann entsprechend den Betrieb dieser Firma sicherstellen, mit dem die User dann auch agieren. Und ähm häufig ist es so, dass äh eine Backup Software auf ein Backup Server zum Einsatz kommt und diese ähmdiese dann entsprechend ähm auf ähm ein Backup Storage Disc und ein Backup Storage Tape entsprechend zugreift. Das heißt, im ersten Schritt würde die Backup Software übergehen und würde ein ähm ein Kommando andie App äh senden, sass dann entsprechend einmal am Tag um 18 Uhr ähm aus dem Storage heraus ein inkrementelles Backup ähm auf den Backup Storage Dis gefahren wird und das ist dann häufig bis 24 Uhr ähm sag ich mal zu Ende oder erledigt, s dass dann entsprechende die Daten gesichert sind. Und häufig erleben so in Infrastrukturen, dass dann bis zum Folgetag 10 Uhr ein ähm Daily Full noch mal auf Tape geschrieben wird. Und hier kann man ganz klar sagen, dass dies tatsächlich Bezug auf Ransomware eine Infrastruktur ist, die nicht mehr den aktuellen Anforderungen genügt. Denn äh wenn wir uns das mal angucken, ich habe jetzt hier mal eineZeitlinie mitgebracht, einfach mal zwei Tage abgebildet und wir sehen jetzt hier den Sicherungszeitpunkt von gestern Abend oder von vorgestern Abend und gestern um ähm ja kurz nach 16 Uhr passiert mir halt ähm eine solche Ransomware Attacke. Wenn ich jetzt ähm an eine Ransomware Attacke denke und ich muss Daten aus meinem Backup zurückholen und gehe jetzt auf meinen letzten Sicherungszeitpunkt von 18 Uhr, dann passiert nämlich folgendes. Ich verliere tatsächlich die Daten deskompletten Tages und sogar auch noch die Daten des Vortages bis 18 Uhr. Ähm und zusammenfassen kann man sagen, dass eine solche klassische Backup Policy wie wir sie häufig noch erleben, mit einem Backup am Tag und ein sogenanntes Airgap Backup über Tape zu den Problemen führt, dass wir lange Recovery Zeiten haben, dass das häufige Backups meistens Performance und viel Zeit kosten und deshalb auch gescheut werden und das Zug auf Tape auch nur mit physikalischer Bewegung möglich ist. Das heißt, möglicherweise muss ich auch noch ähm vor Ort in der Firma sein, obwohl ich vielleicht mittlerweile im Homeoffice arbeite und auch gar nicht mehr die Notwendigkeit sehe, ähm oder gar nicht mehr die Möglichkeit habe, entsprechende Tape äh Tapes auszuwechseln.Ähm was ist jetzt unser Schritt dagegen? Was tun wir, um genau da zu helfen und da ähm entsprechend gegenzusteuern? Erster Punkt, wir sind dreistufig unterwegs, ist ein Infrastrukturmanagement.Das heißt konkret, egal ob im Data Center oder in der Cloud, stellen wir eine Storage Infrastruktur bereit, die in der Lage ist, entsprechende Backups zeitkritisch und Applikationskonsistent zu erstellen. Am zweiten Schritt stellen wir Tools zur Verfügung, die es ermöglichen, die Infrastruktur so zu monitoren, ähm dass sie das auch mitbekommen. Das heißt, ähm es auf der einen Seite sieht unsere unterstützt dieser dieses Monitoring Feature halt das Management in dem Moment, wo wir unten Snapshots erstellen und oben drüber dann erkennen, wann wir in eine solche Ransomware Attacke hineinlaufen. Und Ziel dieseszweiten Schrittes ist halt auch Sie zu informieren, ähm sodass sie dann auch entsprechend mitbekommen, dass da jetzt eine Ransomware Attacke entsprechend ähm unterwegs ist in ihrem Unternehmen. Und der dritte Punkt besteht dann darin entsprechende Infrastruktursvices bereitzustellen. Das heißt, mit regelmäßigen Assessments, mit Management und einem gescheiten Setup entsprechend dafür zu sorgen, dass die Infrastruktur, wie sie einmal aufgebaut wurde, auch entsprechend so bleibt und entsprechend auch auf zukünftige Ransomware Attacken entsprechend vorbereitet wird. Und dazu erzählt ähm Jens jetzt noch mal ein paar Takte. Ja, gerne. Ähm, ich möchte hier diesen dreistufigen Ansatz vonNetter vorstellen. Äh, Protect, detect, recover. Ähm, recover. Ähm, recover. Ähm, weil oft erlebe ich so inKundengesprächenäh eine relativ äh einseitige Denke. Ich wurde von Rening betroffen. Was kann ich jetzt tun? Ähm, natürlich ist es gut, wenn man dann was tun kann, aber ich glaube, die viel wichtigere Frage ist, äh was kann ich tun, damit es erst gar nicht dazu kommt? Ähm, da fangen wir hier schon in diesem Bereich von Protection und Detection an. Das sind die Vorstufen, um das Ganze so gut es geht äh im Vorfeld schon erfolgreich abzufedern. Das heißt, also wir sind mit Ont mit einer FPC Schnittstelle in der Lage Malicius Filen bevor sie überhaupt beschrieben werden. Das heißt, diese Folcy Schnittstelle ist inherent in Ont nativ nutzen, Blacklisting, Whitelisting, ich kann sie aber auch fürPartyprodukte öffnen, ähm um damit äh zu interagieren. Ähm, dann der nach Meinung finden wichtigste Baustein innerhalb von Ont sind die Netup Storage Snapshots. Ähm es ist nach wie vor so, ein Netup Storage Snapshot ist nicht veränderbar. Also anders als ähm anderen Snapshots, die so am Markt verfügbar sind, ist hier auch eine Verschlüsselung eines Laptop Snapshots nicht möglich. Jetzt muss man das sehr genau unterscheiden. Verändern oder löschen mit entsprechenden Berechtigungen oder möglicherweise einem gehackten Admin Account wäre es theoretisch solche Snapshots zu löschen. Ändern kann ich sie nicht. Und das bringt uns zu dem dritten Punkt ähm das Thema Airgap. Viele von ihnen, die sich mit dem Thema Backup beschäftigen, äh favorisieren äh Airgap Methoden, äh erzeugen Bandkopien, äh verwahren diese Bänder dann auch noch extern, um dieses Airgeb sicherzustellen. Das kann man sicherlich tun, das funktioniert. Nur denken Sie an den Fall eines Restores. Solche offline Backups, die ich dann zurückhole, die haben natürlich eine gewisse Latenz. Ich muss die Bänder erstmal finden, analysieren, zurückspielen, das dauert. Ähm, sowas kann ich schneller einfacher haben, indem ich von unseren eine Software von verwende, nämlich Net auf Snaplock. Ja, und damit erzeuge ich ein sogenanntes logisches Airgap. Snaplock ist eine Software, die ähm ja ein Volume nicht nur unveränderbar, sondern auch nicht löschbar macht. Selbst also mit einem gehackten Admin Account wäre es nicht möglich, so einen Setblockbereich zu löschen. Das sind schon mal Vorbereitungen, die ich treffen kann. Dann kommen wir zu dem Bereich Detection. Ähm, hier wird's wirklich interessant. Ähm, ich hatte eingangs in dem Slide gezeigt äh wie stark diese ähm diese Anzahl von Schavarianten zunehmen, diese Randomisierung von mehreren htaus pro Tag. Ähm, da ist es natürlich schwierig mit entsprechenden Signaturen up and running zu bleiben. Äh, hier setzen wir auf andere Technologien, nämlich äh Machine Learning, künstliche Intelligenz. Ähm, wir beobachten Storage, wir klassifizieren irgendwann ein normales Verhalten und können daraufhin Anomalien feststellen. Und das funktioniert sehr schnell. Ja, in dem Moment, wo jetzt Benutzer z.B. anfangen, sich auffällig äh anders zu verhalten, würden Alertings ausgelöst werden. Ähm genauso aufPileebene ähm nicht in der Lage dann auch zu analysieren, verhalten sich Files auf einmal anders als vorher. Das heißt, wir analysieren diePile, die Datenqualität und ich kann das Ganze natürlich dann auch noch ähm entsprechend ähm über Cloud Insites ähm über Benutzerverhalten Analyse noch speiern. Das ist so der fortschrittlichere Weg, um schneller sich ändernde Varianten zu erkennen. Der letzte Bereich Recovery, ist dann das ja, ich wurde von einer Attacke getroffen und ich muss jetzt schnell aus dieser Situation wieder zu meinem Normalbetrieb zurückfinden. Und hier greifen in unsere Snapshots, mit denen ich sehr schnell ein Recovery starten kann, ähm um dann wieder in den normalen Betrieb zu kommen. was wir neu mit Ont 19 implementiert haben,das ist die Autonomous Ransonware Protection. Das heißt, hier haben wir jetzt einen Ransomware Schutz bereits im Ont Code verankert, den man dann über den System Manager aktivieren kann. Ich würde dazu mal die Präsentation verlassen und mein Screen shaen. Kurze Latenz, bis der Screen weitegeben ist. Das haben wir gleich. So, jetzt müsste mal meinen Screen sehen können. Ja,Kann man sehen. Gut. Ähm, wir sind jetzt hier im Ontap System Manager vom neuen Ontap 1901 Release. Ähm, ich will ih das mal kurz in diesem Live Lab zeigen. Für die,das äh Lab gebucht haben, schon mal ein kleiner Vorgeschmack für Donnerstag. Ähm, im Bereich Volumes öffne ich jetzt mal beispielhaft den Fil und hier verbt sich ein neuer Tab Security und hier finden wir das neue Antiansom feature. Das ist per default disabled und ich kann das, wie Sie hier sehen, auf Volume Basis aktivieren. Das ganze habe ich hier jetzt im Fall 2 schon mal gemacht.Äh in dem Moment, indem ich das aktiviere, geht dann dieses Antiensware Feature in den Learning Mode und das System lernt jetzt je nach Daten Traffic äh wie viel auf dem System stattfindet im Zeitraum zwischen 7 und 30 Tagen das Verhalten auf so einem Ontop System kennen. Ja, äh das die Filtypen kennen, die Datenqualität, Reedrite Verhältnis, denliierungs Kompressionsverhalten, all diese Dinge ähm und würde dann äh nach dieser Learning Phase hier über diesen Button in den aktiven Mode geswitcht werden. Ich kann das Ganze auch jederzeit pausieren. Beispielsweise, wenn ich während der Learningphase feststelle, ich habe ungewöhnliche Datenbewegung, ich mache Migrationen, äh das soll nicht in das Learning Schemafließen, kann ich das auch anhalten.Und nach dieser Learning Phase habe ich jetzt hier bei dem User 1 das Ganze mal beispielhaft aktiviert und nach der Laufzeit von einiger Zeit findet das System dann hier auch schon verdächtige Feiltypen. Die kann ich mir jetzt direkt von hier aus den Klick ansehen diesen Bereich und sehe jetzt hier tatsächlich, da gibt's einen Bereich. Äh, dort sind typische Office Files encrypted und mit einer neuen Endung versehen worden. Das kann ich jetzt hier anwählen. Ähm, stelle also fest, es ist eineRansomware Attacke und gebe dem System hier die Information, ja, ähm, du hast einen guten Job gemacht. Das ist jetzt so das Feedback, das Learning. Das System lernt ja dazu. Gebe dem System ist also Feedback. Ja, du hast tatsächlich hier eine Ransomattacke erkannt. Falls es nicht der Fall ist, wenn es ein Fehlalarm ist, das System lernt ja auch dazu, würde ich voll so positiv aktivieren. Hier gehe ich jetzt mal auf die potenzielle Renson Attacke. Mach hier ein entsprechendes Ocaring und Feedback an das System. Das System hat jetzt gelernt, ähm ihr hab einen guten Job gemacht. Die Parteien sind natürlich nach wie vor noch im System und verschlüsselt. Jetzt kann ich mir hier anschauen. Directory 1 waren die. Da sind sie noch drin,alle mit der Lockedung. Die möchte ich jetzt natürlich loswerden. Ähm gehe dazu in den Bereich meiner Snapshotsund mit der Ransomware Detection und dem Alerting wird auch zeitgleich ein Snapshot ausgelöst. Das ist dieser hier und den benutze ich jetzt, um auf diesen alten Zustand wieder zurückzukommen. Kann das von hier aus gleich machen. Bestätige das Bestätige das Bestätige das ma Restore und setze jetzt mein System auf den Zeitpunkt der Attacke zurück. Wenn ich mir das jetzt hier anschaue, geh noch mal auf den Explorer und das entsprechende Directory, dann sehe ich hier, dass meine Filtypen in den typischen Office Formaten wieder da sind. Hier oben sehen wir jetzt tatsächlich noch ein Pfeile mit der Endung lockt. Das liegt daran, ähm dass zum Zeitpunkt der Attacke, des Feststellens der Attacke ja auch schon eine Verschlüsselung stattgefunden hat. Das heißt, ich werde nicht zu 100% Remediation wiederherstellen können. Ein paar Files sind immer noch äh im Bereich locked. Und hier greift natürlich wieder unsere Empfehlung regelmäßig viele Snapshots zu machen und das würde ich jetzt dann ähm durch den davor letzt getätlichen Snapshot auch wieder zurücksetzen können. zurücksetzen können. zurücksetzen können. Gut, das war so der Ausflug in das Liveelab. Dann gehen wir da zurück zu unseren Slidblick.Jens, da sind ein paar Fragen im Chat aufgelaufen.Okay.Ähm z.B. was passiert während der Learning Phase? Ähm, wenn da Daten verschlüsselt werden, ähm sind da äh sieht man, wer da der Erzeuger ist, wodas ähm herkommt? Du glaube ich hast es in der in deinem Screenshot gerade gezeigt. Nein, ich bin jetzt hier tatsächlich auf ähm auf Volumebene. Also, wir sprechen ja jetzt hier mit diesem Anti Ransomware Feature von Ont 191. Das ist einsystemweites Monitoring. Ich habe jetzt hier keineIntegration ins Active Directory oder Eldap. Ja, das heißt, ich bewerte hier tatsächlich nur denaktiven Daten auf dem System äh ohne Analyse der Herkunft. Sowas kann ich tun. Das wird uns der Philip gleich noch vorstellen. Das ist Bestandteil von Cloud Inside, Cloud Secure. Da bin ich sogar in der Lage dann auch ein Tracing zu machen über den User oder über die IP-Adresse, wo es herkam. Alles klar. Und dann ist trängt sich natürlich die Frage auf äh im Vergleich zu Cryptospike. Ähm wie sieht denn da äh die Gemeinsamkeiten oder der Unterschied aus?Ähm ja, auch hier würde ich dann von einem gutenstufigen Konzept sprechen. Ichhabe die Frage sehr oft äh wenn man über das Thema spricht, ja, soll ich denn jetzt ähm so ein patternbasiertes System wie z.B. im Cryptospike oder doch lieber äh so ein Antiansomare Feature vonOntad nehmen? Ähm, es ist nicht die Frage, entweder oder ähm wirbemerken ja gerade die Kreativität äh derAngreifer und auch die Vielfalt. Ähm und so wie man glaube ich auch schon seit vielen Jahren im Bereich Firewall oder Antivirus mehrschichtig fährt, ist es auch hier angesagt. Kryptospike ist ein hervorragendes Tool. Ähm, es ist Signatur oder Pattern basierend, ich muss es regelmäßig updaten. Äh, bietet aber auch tolle Vorteile in Form von Filsystem Katalogen, wo ich Punkt genau restoren kann. Äh, in Ont ist es wieder mehr die Komponente Machine Learning, ja, ein permanenter Lernprozess. Durch diese Randomisierung der Attacken bin ich hier natürlich äh im Rahmen der Früherkennung ähm wahrscheinlich besserschneller unterwegs als mit dem Kryptusbike.hat dafür wieder andere Stärken bei der Wiederherstellung. Also ich kann mir für einen umfassenden Schutz an der Stelle wirklich äh mehrere Schichten auch mit Kryptosbike vorstellen. Mhm. Die Frage noch mal eins erweitert. Ähm, auch Backup Hersteller haben ja alle möglichen Ransomware ähm Mechanismen oder Ransomware Schutzmechanismen mit eingebaut mittlerweile auch da. Das ist ein mehrstufiges Konzept. Wir konzentrieren uns quasi hauptsächlich auf die Primärdaten ähm zu schützen und ähm mit cleveren Methoden auf die Backups zuzugreifen, die in Form von Snapw oder sowas abgelegt sind, um das dann wieder zu restoren. Im Prinzip ähm fängt da die Verzahnung dann an mit den Backup Herstellern, richtig? Herstellern, richtig? Herstellern, richtig? Ja.Gut,Okay, dann lasse ich dich weitermachen. Wir kommen dann noch zu weiteren Fragen später. Gut.Ähm, dann würde ich noch ähm den Part kurz vorstellen. Ähm, was haben wir denn äh in Ont bereits für integrierte Features, die wir hier erfolgreich einsetzen können, um uns Form Wert zu schützen? Die Früherkennung ist das eine. Ähm, dann hatte ich eben schon mal das Thema Snapshots angesprochen. Ähm, es ist wirklich das äh ständige Mantra, was ich unseren Kunden erzähle. Nutzen Sie diese Snapshots, äh sie sind schnell, sie kosten keine Performance, sie kosten so gut wiekeine Kapazität, weil es Pointer basiert ist. Das ist wirklich der Schlüssel für ein sehrschnelles online recovery. Ja, und sie sind read only. Das heißt, ich bin nicht in der Lage diese Sapshots zu verschlüsseln.Die sind, wenn ich sie auf Storage Ebene ausführe, crash consistent. Ähm, wir bieten für ausgewählte Enterpriseapplikationennoch ein Produkt an. Das nennt sich Snapcenter.verfügt über einige Plugins. Ihr seht es auf der rechten Seite für besagte Enterprise Applikation. Hier kann ich auch Applikationskonsistente Snapshots erzeugen. Also auch das in Kombination freshkonsistent, Applikationskonsistent freshkonsistent, Applikationskonsistent sehr wertvolles Hilfsmittel. Damit ich jetzt davor geschützt werde, dass mir meine Snapshots gelöscht werden, ähm werden, ähm werden, ähm ist es sehr empfehlenswert, die an einer sicheren Stelle Thema logisches Airgebewahren.Das heißt, also ich übertrage solche Snapshots von meinem primären Speicher auf der linken Seite auf ein, wenn es mal Near Store System, ein weiteres Ont System und dort habe ich dann ähm ein Snaplog Bereich. Das Ganze ist dann ein löschsicher, manipulationssicherer Bereich. Ich kann dort nichts löschen, nichts verändern, nichts verschlüsseln. nichts verschlüsseln. nichts verschlüsseln. Ähm und ich kann dem Ganzen natürlich auch automatisierte Aufbewahrungszeichen mitgeben. Das heißt, also es ist jetzt nicht mein Ziel, so wie es früher im Bereich von Archiven propagiert wurde, mehr Archive aufzubauen. Hier rede ich eher über kurze Archivzeiträume, zwei Wochen, vier Wochen einfach ein Zeitraum, wo man sich erstellen möchte, dass Backup nicht gelöscht wird. Damit das Ganze dann auch wirklich sicher funktioniert und sicher meine ich unlöschbar, muss man wissen, dass es Snaplock in zwei Varianten gibt. Es gibt einmal Snaplock compliance. Hier kann nichts und niemand löschen. A auch wir als Netup nicht. Ähm ist also Zero Trust Ansatz, eine eingestellte Aufbewahrungszeit, die wird strickt eingehalten und kann durch nichts überwunden werden. Äh anders hingegen Steplock Enterprise, das oft zu den Archivbereichen auch benutzt wird. Hier wäre ein Administrator mit der entsprechenden Rolle tatsächlich in der Lage zu löschen. Das muss man sich sehr genau überlegen, ob man das möchte, weil wie gesagt, ein gehackter Administrator Account würde an der Stelle dann auch benutzt werden können, um solche Snapshots zu löschen. Ähm Snapblock ist jetzt nichts Neues, gibt schon seit vielen Jahren. Was allerdings neu ist, das möchte ich an der Stelle noch kurz erwähnen, auch ein neues Feature mit Ontp 9 101. Wir sind jetzt ab diesem Release in der Lage innerhalb eines Adregats sowohl normale Readwright Volumes als auch Snapblock Volumes anzulegen. Das heißt, wir brauchen kein dediziertes Snapblock Adgat. Der ganze Overhead für zusätzliche Spare und Platten entfällt. Das ganze wird also wesentlich effizienter imKonsum, in der Professionierung.Ja, und damit gebe ich noch mal zum Philip.Genau.Wir haben jetzt noch mal die an dazu mal GmbH noch mal aufgerollt und ähm wir äh zählen hier von der Netaps rundumstategie und zwar haben wir wieder mitgebracht die Infrastruktur, Servervirtualisierung, Betriebssystem Servervirtualisierung, Betriebssystem und App. Und ähm diesmal haben wir auf der primären Seite ähm entsprechend ein Netup Storage im Einsatz und ähm zusätzlich auf Seiten des Backup Service bzw. Also bei der Backup Software noch unseren Clouddienst, Cloud Insites. Dieser unterstützt das Ganze dann und wieder macht die Backup Software entsprechend ein Backup diesmal stündlich, weil nämlich auf Basis unserer Snapwall Technologie entsprechend ein Mirror auf ein sekundäres Backup Storage Disk durchgeführt werden kann. ähm was wir dann auch mit ähm dem Feature, was Jens gerade schon erzählt hat, äh imutable machen können. Das heißt, da können wir dann entsprechenden Snaplock drauf legen und das kommt ursprünglich aus dem Archivbereich und ähm wurd halt initial dafür verwendet, um Dateien recht sicher über einen gewissen Zeitraum aufzubewahren. Und wir nutzen dieses Feature jetzt hier für die für die ähm für die Backups und entsprechenden Neutral zu machen. sicher scharmanter Vorteil, der noch mitkommt, ist auch, dass dieses Backup Storage auch als Disaster Recovery Ziel genommen werden kann. Wenn das primäre Storage System einmal ausfallen sollte, ist es halt überhaupt kein Problem auch damit den Primärbetrieb ähm zumindest notdürftig anzustarten, je nachdem wie groß man dieses System halt bei der Planung auslegt. Und zusätzlich für die den Kunden, die diese Anforderungen ähm benötigen, ähm ist es halt dann noch mal möglich, daraus ein Airgap Backup zu machen, den man dann ein dedizierten Standort noch mal ähm noch mal ein weiteres Backup Storage aufstellt, äh wo wir dann noch mal ähm über Snaplock nochmals die Daten entsprechend ablegen ähm und sie trotzdem halt im Online Zugriff haben, so dass hier auch keine Tapewechsel mehr notwendig sind. Ähm und wie sich ähm das dann in der Realität darstellt, ist dann folgendermaßen. Wir haben noch mal die Backup Strategie Reloaded. Das heißt ähm die gleiche Situation wie vorher. Anstatt dass wir jetzt Daten über einen Tag verlieren,wir halt jetzt nur noch Daten ähm von wenigen Minuten bis äh maximal einer Stunde, wenn es halt schlecht läuft und die entsprechende äh Policy greift. Zusammenfassen können wir also sagen, äh die Netup Backup Policy, wir haben viele Backups verteilt über den Tag. Ähm und es ist auch möglich ein Erger Backup über Discwicher zu realisieren. Der Vorteil ist, wir haben kurze Recoveriezeiten, ähm häufige Backups kosten, keine Performance und nur wenig Zeit. also auch keine kein großer Aufwand entsprechend einzurichten und auch der Zugriff auf das Ärgerbecker bis jederzeit möglich und die physikalische Bewegung wird überflüssig und trotzdem bleibt die Sicherheit hier erhalten, weil wir durch unser Feature Snaplock entsprechend die ähm Unveränderbarkeit sicherstellen und egal für welche äh Speicherart oder über welche Speicherart wir hier sprechen, egal ob es ZIF, NFS, Eiskasi, Farbechill oder auch S3 ähm in unserem Onte ist, äh können wir hier entsprechend und diesen Service für alle äh Protokollarten entsprechend ähm bieten.Jetzt haben wir uns im Chat auch noch einige Fragen erreicht. Z.B. die Frage, wie integriert sich denn jetzt bitteschön das Cloud Insights mit diesem Feature in Ont? Ähm dazu muss man unterscheiden, dass dieser Cloud Insightsdienst vom Prinzip her erstmal ein Cloud gestützter ähm Dienst ist, den ich mir halt zusätzlich buchen kann. Das heißt, ich habe in meinem Onremise ähmOnremise Infrastruktur hier blau dargestellt, also leichtbläulich eine ein Data Collector Agent, der mir dann entsprechend die Daten ähm sammelt bzw. als Schnittstelle zur Cloud bietet, damit das entsprechend auch abgesichert ist. Die Stückchen Software kommt halt von uns, dieser Data Collector Agent und auch das Cloud Insides wird von uns entsprechend ähm gestellt und den Vorteil bzw. die ähm dieses neue Blocking Feature, was wir jetzt an dieser Stelle zeigen wollen, ähm dazu habe ich noch ein kurzes Video mitgebracht. Ähm, ich dieses Video zeigt eineLive Demo von der Oberfläche. Man sieht hier rechts ähm das Cloud Insights und geht jetzt erstmal los. Ähm wir stellen schauen jetzt erstmal uns die entsprechende Policy an. Wir belleegen hier eine Policy an und sagen, okay, das wird jetzt für ein, dass wir Ransomware Attacken generell erkennen wollen und dass wir auch automatisiert auf diese Ransomware Attacken ähm reagieren wollen. Und dazu simulieren wir gleich eine Ransomware Attacke. Wir stellen jetzt zuerst ein, dass die RansomwaredasMonitoring entsprechend erstmal keine Ransomware Attacke erkannt hatte. Also letzten 24 Stunden hatten wir keine Ransomware Attacke. Dannstarten wir auf der linken Seite ein Script. ähm was eine Ransomware Attacke simuliert. Und man sieht jetzt auch erstmal ähm diese Ransom Bear ähm hat erstmal Erfolg, weil sie erstmal anfängt zu verschlüsseln. Das ist auch prinzipiell unser Ansatz. Nicht, dass wir jetzt ähm die Daten verschlüsseln lassen, aber es kann natürlich auch sein, dass so ein Benutzerzugriff normal ist. Ja, also es kann ja sein, dassdie Anforderung in dem Betrieb ist jetzt viele Dateien anzufassen und viele Änderungen vorzen. Das nicht um das nicht zu blockieren, sind wir vom Prinzip her erstmal nicht direkt auf einen Blockingmechanismus aus, sondern ähm dasSystem benötigt halt auch eine gewisse Zeit, bis es erkennt. Jetzt sehen wir mittlerweile schon, dass entsprechend die dieser Blocking Mechanismus zugegriffen hat. Das Video ist ein bisschen vorgespult worden, damit wir nicht ganz so lange warten müssen. Und wir drücken jetzt äh in unserem Cloud Insites rechts auf ähm auf aktualisieren und sehen jetzt entsprechend hier die, dass eine Ransomware Attacke erkannt wurde. Und wenn wir jetzt auf die Ransom Beattacke drauf klicken, dann sehen wir auch Details. Also wir sehen z.B. welcher User diese Ransomware Attacke ausgeführt hat und welchen Namen diese Ransomware Attacke ausgeführt wurde. In diesem Fall ist es jetzt der Beispiel User Oscar Plank, der entsprechend hier für das Unheil sozusagen besorgt hat. Und wir können jetzt noch mal ähm ein bisschen die Activity Details uns näher ansehen und sehen halt jetzt hier oben auch grafisch aufbereitet ähm entsprechend den Read und den Write Anteil ähm und können das halt granular uns grafisch anzeigen lassen und auch sehen, welche Dateien entsprechend ähm verändert worden sind. Ähm das ist dann beliebig granular bzw. zeigt halt jede einzelne Feilaktivität auf. Und im zweiten Schritt kommen wir jetzt gleich dazu, wie das Ganze erkannt wurde, bzw. was die Maßnahme eigentlich war.Dazu gehen wir noch mal ähm ja tiefer in die Detailanalyse hinein und schauen uns den User noch mal detailliert an. Ähm, man sieht jetzt auch hier, dass ähm dass das Cloud Insights recht tief mit dem Active Directory integriert ist. Mankann wirklich jeden einzelnen User sehen. Das muss man sich vielleicht auch so ein bisschen muss man sich vielleicht bisschen frei von machen, weil natürlich auch das natürlich ausenschutzrechtlichen Gründen ausenschutzrechtlichen Gründen ausenschutzrechtlichen Gründen vielleicht auch verboten ist, aber auf der anderen Seite ähm ist das vielleicht auch ein Punkt äh den man sich wo man vielleicht generell umdenken muss, um entsprechend zu schauen ähm dass man diesenDatenschutzmechanismus entsprechend nicht aushebelt, aber entsprechend ähm ein bisschen aufweicht. ähm so dass es entsprechend hier zu ähm das ist das in gewisser Weise auch ein Umdenken stattfindet, weil man entsprechend hier durch die Detailanalyse natürlich auch ähm entsprechende Vorteile sich ähm für seine Daten entsprechend einkauft. Ähm, um jetzt noch mal einen Blick auf diese Ransonware Attacke ähm abschließend zu werfen, ähm schauen wir jetzt ähm gleich noch einmal ähm abschließend ähm ja auf den Benutzer drauf. sehen halt hier auch äh, dass wir das entsprechend ähm reinzoomen können und sehen auch, dass um 11:02 Uhr diese Attacke gestartet ist und um 11:3 Uhr bereits dieser Blocking Mechanismus ähm entsprechend gegriffen hat.Und bevor ich dann jetzt auch ende und noch an meinen Kollegen Martin übergebe, schauen wir uns noch ganz kurz an diesen Vergleich zwischen Antiansomware in Ontap und Cloud Secure, weil das vom Prinzip ja zwei unterschiedliche Mechanismen sind. Wir sehen hier ganz schön, dass der Ontap Mechanismus ein bisschen eher reagiert hat als der Cloud Secure äh entsprechende Mechanismus, der die beide unabhängig voneinander hier ein Snapshot in der Umgebung ähm erzeugt haben. Und es war auch eine Frage im Chat ähm wie die Administratoren benachrichtigt werden. Es ist halt so möglich z.B. hier eine E-Mailbenachrichtigung einzustellen und die hat bereits um 11:05 Uhr entsprechend den Administrator erreicht. Das in aller Kürze ähm die Demo hier zu Cloud Insights. Äh wenn Sie gerne mögen, ähm schauen Sie sich oder nehmen Sie unseren Labs teil. Da können Sie das Ganze selber auch noch mal ausprobieren und auch da beantworten wir noch mal tiefergehende Fragen. Ähm Martin, genau. Ja, dann danke schön. Guten Morgen aufon meiner Seite. Martin Heiß hier. Ja, ich möchte Ihnen gerne das Net Data Protection and Security Assessment kurz vorstellen. Das ist ein Service, der von unserem eigenen Consulting Team, von Net Professional Services für unsere Kunden erbracht wird. Und dieser Service ist aus meiner Sicht ein wirklich sehr guter Einstieg äh in das ganze Thema Renumwerprotection,weil es nämlich die Bereiche, die meine beiden Kollegen äh gerade vorgestellt haben, sehr gut aufgreift. Ähm, was machen wir da? Wir decken im Grunde genommen zwei wichtige Bereiche ab, nämlich den Bereich Protect. Wir schauen uns auf der einen Seite an, sind die Systeme, die Sie äh von uns in Betrieb haben, so konfiguriert, dass sie den äh Netepadening Guidelines entsprechen, sprich, um sich dann möglichst wen so gut davor zu schützen, dass die Angriffsfläche für Rensenwehr möglichst klein ist. Und der andere Bereich geht in das in den Bereich Backup rein. Wir schauen, sind die Snapshots auch so eingerichtet, dass sie im Fall der Fälle, dass sie doch eine Rennenwehrattacke gehabt haben, auch schnell wieder recovern können. Ähm, viele Kunden, die das sehen, kriegen dann am Anfang ein Schreck und sagen, oh, da haben wir gar nicht so die Zeit, uns da so im Detail mit zu beschäftigen. Da brauchen sich auch keine Sorgen zu machen. Das ist so äh aufgesetzt das Ganze, dass wir den Großteil der Arbeiter für sie übernehmen. Es gibt am Anfang eine kleine Einstiegssession ähm wo wir uns darauf vorbereiten, dass wir Remote ihre Systeme entsprechend auslesen können, was das Hardening angeht und auch was das Einrichten derganzen Snapshots angeht. wir uns zurück, machen die Analyse und dann gibt's noch einen Abschlusspräsentationstermin,äh wo wir Ihnen in einer Übersicht ähm die ganzen Ergebnisse dann darstellen und sie bekommen dann noch Dokumente an die Hand, wo das Ganze dann ausflieben ist und wo wir dann natürlich gerne im Nachgang auch sehr gerne helfen überte Professional Services dann in die Remediation zu gehen, da wo wir entsprechend was gefunden haben. ähm, dass sie mal ein Gefühl dafür kriegen, wie sieht das dann aus in der Abschlusspräsentation?So ein Scorecard System, da sehen Sie halt entsprechend die Systeme, die wir analysiert haben. Gab's da im Bereich Harden Punkte, wo sagen, oh, da müssen wir ganz dringend dran gehen oder äh ist das System entsprechend gut aus unserer Sicht aufgesetzt oder gibt es da Punkte, ja, die sicherlich zur Diskussion stehen, ob man die jetzt einsetzt oder nicht? Das heißt, kriegen ja sehr schnell schon mal einen guten Überblick. Ähm Grundlage für die äh ganze Analyse ist wie gesagt das Hardening Guideline, was wir von Netapp veröffentlichen und auch regelmäßig analysieren. Und äh nach der Abschlusspräsentation können Sie sich das Dokument, was wir mit dazu legen, noch mal genau anschauen, wo wirklich jeder einzelne Punkt aus dem Hen Guideline noch mal aufgeführt ist, das entsprechend umgesetzt wurde oder nicht.Wenn Sie dann in die Remediation gehen möchten, entweder mit unserer Hilfe oder aber auch mitPartnern von uns, haben Sie auch die Möglichkeit, sich hier noch mal eine Hilfe geben zu lassen, wie man da die Remediation am besten umsetzt und das dann auch noch in so einer Excel Tabelle, das jetzt hier sehr klein, äh das auch wirklich noch mal nachzufassen, damit Sie auch keinen der gefundenen Punkte vergessen. Im Bereich Data Protection sieht es dann so aus, dass wir in dem Erstworkshop, den wir mit Ihnen durchgehen, uns noch mal genauer anschauen, welche Art von Daten haben Sie denn jetzt eigentlich auf Ihren Systemen drauf und klassifizieren die auch ein Stück weit und gehen mit ihnen durch, na ja, wenn es jetzt z.B. sehrhochwichtige Daten sind, wie gehen Sie dann d mit dem ganzen Thema Snapshots und Aufbewahrung der Daten am besten um? Wenn das dann einmal so definiert ist, prüfen wir das dann entsprechend in dem Assessment ab, ob das dann auch so umgesetzt ist oder eben nicht. Das soll Ihnen eben gutes Gefühl dafür geben. Sind Sie im Rennenwerfer dann doch wirklich gut mit unseren Snapshots abgesichert und dann auch entsprechend die Daten wieder recovern zu können? Ähm, ich kürze das jetzt hier an der Stelle mal ein Stück weit ab. Es gibt da auch wieder wie eben beim Hardening Guide entsprechende Dokumente, wo alles noch mal bis auf Volume Ebene runtergebrochen ist, wo sich das alles noch mal anschauen können und wie gesagt dann auch entweder eigenständig oder mit unserer Hilfe dann in die Remediation einsteigen können und ähm ja, bieten auch generell sehr gerne Unterstützungsleistung an, wenn es auch um die ganzen Themen geht, die wir Ihnen eben auch noch vorgestellt haben. Z. Einrichten von Cloud Secure. Wenn Sie da Hilfe benötigen, helfe Ihnen auch gerne weiter und können Sie gerne mit ihrem Net Accountaufnehmen, dann helfen wir Ihnen auch mit Angebotserstellung weiter und dann gebe ich mit Blick auf die Zeit schnell zurück zu Chris. Super, danke,[gelächter] dass du das so flott gemacht hast. Äh, wir haben nämlich noch ein paar Fragen im Chat. Äh, nicht zu wenige, äh sind ja auch aufen Leute da heute. Ähm, ich fange mal äh mit der einfachsten Frage an. Ähm, kann man die Slides im Anschluss bekommen? Ja, sollten eigentlich jetzt schon unter Medien, da haben Sie eigenen Bereich auf der Oberfläche äh herunterladbar sein. Sollte das nicht klappen, sagen Sie uns noch mal Bescheid. Ansonsten können Sie das ganze Recording ist natürlich umständlich äh unter TVnetcom ansehen oder Sie schreiben uns einfach kurz noch mal an. Dann ist eine Frage, ähm kann man feststellen, welche IP bzw. PCN von wo die Attack ist Frage an Philip oder Jens. Ja, mitCloud Insights ist es möglich auch die IP-Adresse des entsprechenden Angreifers ähm sich anzeigen zu lassen. Daswird auch auf AP Ebene entsprechend getrackt bzw. Weise der Mechanismus funktioniert dieser Stelle auch so, dass ähm das unter anderem auch die IP für das Storage System geblockt wird. Mhm. Dann war eine Frage zu Active IQ. Ähm wenn jemand Active IQ, das sind ja die meisten unserer Kunden angeschaltet hat, sieht man da ein Alerting? Meiner Meinung nach geht's nur ein Alerting, wenn die Snapshots heftig anwachsen, also eine indirekte Anzeige. Ist da sonst noch was zu sehen? Bei Attacke meine ich jetzt. Ja, im Active IQ isteinedirekte Ransomware Attacke nicht zu sehen. Das ist dasist ja eher einen ein passives Monitoring. Ob jetzt best practices eingehalten werden, dass da so ein grobes Monitoring drin. Habe ich mich um Ransonw gekümmert, ja oder nein? Aber es ist nicht dafür da, um sich da von über eine aktuelle Ransomware Attackebenachrichtigen zu lassen. S dazu wäre dann wirklich dort ins also wir sehen es dort nur indirekt quasi. über den an über das Anwerksen von Snapshots und das ist dann ehrlich gesagt ein bisschen spät auch wenn man da regelmäßig reinguckt und sich Alerts setztal auch der Autosupport nur einmal am Tag gesendet wird und das wäre dann auch nicht wird dem auch nicht gerecht werden können. Also das ist tatsächlich an der Stelle nur für Konfigurations Dinge gedacht. Man muss vielleicht noch unterscheiden zwischenActive IQ und einem Active IQ Unified Manager. Ja, Active IQ ist tatsächlich unser Telemetrie Serviceportal und der Unified Manager, der hat eine Integration von Active IQ und da könnte ich dann auch sehen äh wie Chris gerade sagte, wenn jetzt irgendwie Bereich auf einmal Schark anwächst, das wäre dann der Unifi Manager.Sehr gut. Genau. Äh, dann noch eine Frage zu Snapblock. Also, einerseits kann man bestehende Volumes in ein Snaplock Aggregat umwandeln und ähm ja, im Prinzip das betrifft beide Fragen, die da gestellt wurden. Ähm, richtig. Also mitder neuen Onvion 9191 gibt es jetzt Unified Aggregate. Das heißt, es ist nicht mehr auf Aggregatebene zu entscheiden, muss es jetzt ist es jetzt ein Snaplock oder ist es ein nicht Snaplock, sondern ist alle Aggregate haben jetzt prinzipiell die Möglichkeit Snaplock anzubieten und es wird quasi bei uns jetzt auf das Volume Level gehoben. Das heißt, ich kann jetzt pro Volume einstellen, aber vorher schon kreierte Volumes kann äh kann man vorher schon kreierte Volumes oder Aggregate konvertieren? Äh ja, ein an mich ein Konvertierungsvorgang ist auch vorgesehen. Ja. vorgesehen.Ja. Okay.Cool. Dann ähm Dann ähm Dann ähm genau das mit dem Unifight Manager hast du gerade noch mal gesagt, Jens. Äh, dann die Erkennung ist auch noch mal äh hat, glaube ich, mehrere Fragen aufgeworfen. Ihr habt erzählt, dass wir eine entrophiebasierte Erkennung von Ransomware Attacken machen. Ähm, gibt's dann auch einen Abgleich mit schon vorhandenen bekannten Ransomware äh Attacken und Mustern oder läuft es quasi separat pro Umgebung? Ähm für den Ontap Teil läuft das tatsächlich äh aut für die Autak für die Umgebung. Ähm weil das entsprechend der Lokal auf dem Ontap entsprechend der Machine Learning Mechanismus das entsprechendlernt und ja auch entsprechend lernen muss, was ist ein normaler Zugriff und was ist ein nicht normaler Zugriff. Hier ist auch so ein bisschen der Punkt, da geht es halt auch um Anomalieerkennung. Ja, es geht nicht nur um Ransom Erkennung, sondern grundsätzlich auch da darum einfach ähm zu klassifizieren, ist mein äh mein Datenzugruchsverhalten jetzt in Anführungszeichen normal oder ist es halt nicht normal und das ist natürlich das quasi hochindividuell pro Umgebung zu sehen, ob es normal ist oder wasjetzt aus der Norm rausfällt, das kann man sozusagen nur individuell kenntlich machen. Wunderbar. Jens, weißt du, ob wir für Storage Grid ähm auch Pläne haben, Ransomware Schutz damit reinzubauen oder ob man da auch eine Hilfestellung geben kann?Habe ich bis jetzt noch nicht zu gehört. Kann ich leider nicht beantworten. Äh, ich melde mich bei Ihnen. Äh, derjenige weiß, wer gemeint ist. Wirkommen noch mal auf sie zurück und mitder Beantwortung dieser Fragen. Und dann war eine Frage, die liegt auch relativ vielen Leuten auf dem Herzen. Äh, wenn ich dann ein Restore mache, Recovery mach, ist es dann immer gleich der komplette Snapshot oder ist ähm es möglich einzelne Falls zurückzuholen? Also, wenn ich so Volumebene mache, ähm dannist es so, ähm dann würde ich das komplett zurücksetzen, auch möglicherweise in nicht befallene Fils. Ich kann natürlich auch äh Single Item oder ein Single File Restore machen. Ähm,das ist natürlich entsprechend aufwendig, michdann dadurch zu suchen. Ähm, also aus Zeitgründen würde man jetzt mit Ontop Bardmitteln wahrscheinlich das Volume zurücksetzen. Mhm.Ähm, genau. Ähm, genau. Ähm, genau. Danke dir. Und dann gibt's noch die Frage zu dem Impact an Performance. Wenn ich äh quasi eine Erkennung mitlaufen lasse, ähm die kann ich gleich mit bei ein äh beantworten. Leistungseinbußen sind nicht zu erwarten, außer sie sind mit dem System schon am Limit dessen oder am nahe am Limit dessen, was das System zu leisten im Stande ist. Ansonsten ist der Performance Impact nicht messbar, nicht spürbar zumindest und ähm kann absolut vernachlässigt werden, vor allem im Hinblick auf was es bringt. Genau. Nehmen wir noch eine Frage rein. Ähmdie äh dieses Learning, dasMitlernen muss man manuell aktivieren. Korrekt, Jens? Korrekt, Jens? Korrekt, Jens? Das ist richtig. Ja, ist defaultmäßig nicht an. Genau. Mhm. Gut. Ah, und auch noch die Frage, wo werden die Daten aufbewahrt äh über diesen Lernprozess? Wopassiert denn das Ganze? Ich habe die Frage eben auch schon im Chat verfolgt. Ähm ichwürde das abchecken. Ja.Weil der ähm die weitergehende Frage ist dann im Hinblick auf Headup Upgrades oder Swaps. Nach dem Motte dasSystem hat ja schon mal gelernt, wenn ich da ein Headswap mache und ein Teag Refresh oder sowas, dann wäre es natürlich toll, diese Daten auch mitzunehmen. Dem gehen wir nach. Äh, der Kollege weiß, wer gemeint ist. Da kommen wir noch mal drauf zurück. Sollten wir noch Fragen ausgelassen haben, ich glaube, das größte haben wir jetzt beantwortet. äh kommen wir auf Sie zurück im Anschluss und schicken Ihnen dann noch mal eine Mail, sollten wir was äh vergessen haben. Ansonsten ähm würde ich jetzt sagen, in anbrachter Zeit recht herzlichen Dank fürs vorbeischauen. Ähm schön, dass Sie da waren. Ich möchte noch mal drauf hinweisen auf die Recordings, die es immer wieder dann im Anschluss paar Tage geben uns noch Zeit für das Recording von heute, aber sonst finden Sie alle Recordings auf TV Netup kommen mit dem entsprechenden Suchbegriff und ähm schauen Sie auch nächstes Mal nächsten Dienstag, nächsten ersten Dienstag im Monat wieder rein, wenn es heißt Netup Kompakt SP von Spezialisten für Spezialisten und wir freuen uns ähm sie wiederzusehen. Bleib's gesund. Und sicher. Danke schön. Danke schön. Danke schön. Tschüss.[musik]
Immer cleverer ausgeführte Attaken und immer neue Angriffs-Vektoren ermöglichen der Cyberkriminalität den Weg in die Unternehmen.