[musik]Hallo zusammen und herzlich willkommen zu einer neuen Ausgabe von Netup Kompakt, unserer monatlichen Depast Reihe hier bei Netupp immer an jedem ersten Dienstag im Monat und so auch heute.ist wieder also ein erster Dienstag im Monat und daher auch wieder Zeit für eine Nette kompakt. Das mache ich natürlich nicht immer oder nicht wie immer alleine, sondern ich hole mir jedes Mal Kartkräftige Unterstützung mit dazu. Heute haben wir den Philip Fickert und den Bank Lassen mit dabei. Philip, magst du dich einmal ganz kurz vorstellen? zwei, drei Sätze. Sehr gerne. Philip Fickard, Solutions Engineer bei Netup seit 10 Jahren. Ich beschäftige mich oft und gern mit dem Thema Backup und in letzter Zeit aber auch immer öfter mit dem Thema Ransomware.Perfekt. Und dann Bengt der Mann, der nur schwer ein Foto rausrücken wollte und ich irgendwie ein altes Foto aus, ich glaube, das war eine Insight in Barcelona rauskraam musste. BT, magst du noch mal zwei dre Sätze zu dir sagen? Genau wie der Philip, ein Solution Engineer bei Netup ein zwei Jahre mehr. Ich bin mittlerweile fast 16 Jahre bei Netup, bin bei Netup eingestiegen und grau geworden. Ähm ja, beschäftige mich wieder Philip in der letzten Zeit auch recht intensiv mit allen Aspekten der Ransomb Protection im Kontext hat. Perfekt, vielen Dank. Ja, was uns immer alle ausmacht in dieser Runde hier und das hat sich in den letzten Monaten so eingebürgert. Wir sind eine große Community, egal ob wir mit Net arbeiten, also Kunde oder Partner oder auch bei Netup arbeiten. Ähm, wir sind eine Community am Ende des Tages. In Communities tut's man sich, deswegen ich bin der Bendet. Ähm, ich mache das gleiche wie der Philip und der Bank paar Jahre weniger. Bin aber auch jetzt schon in meinem fünften Jahr bei Netp und ähm würde heute jetzt hier durch diese ja noch verbleibenden wir an der Uhr noch 55 Minuten äh moderieren und inhaltlich wird der Philip und der Bank jetzt dazu beitragen. Bevor sie beiden das aber machen, noch ein bisschen Werbung in eigener Sache. Wem das heute hier gefällt oder auch die letzten Male mitbekommen hat, oh, da ist irgendwas beim Netcompackt. ist doch irgendwie ganzcool. Bitte vormerken, nächste Session 5.7. nächsten Monat natürlich auch wieder der erste Dienstag im Monat, das ist unser großer Hybrid Cloud Lounge. Ähm, ich habe mal so ein bisschen reingeschrieben, was da alles so drin auftaucht. Wir werden sehr viel über Ontab 911 reden, wir werden neue Hardware vorstellen, wir haben Storage Grit etwas abgedatated, wir werden das Astra Control mit neuen Funktionen präsentieren und vielesmehr. Interesse da dran, dann der Link klicken, der sollte im Laufe dieses Tages spätestens morgen, ähm aktualisiert werden, dass man sich dann auch für den 5 anmelden kann. Das wird dann auch etwas länger gehen als heute anderthalb Stunden, weil wir doch eine ganze Menge mehr an Material haben. Wem das heute hier auch gefallen hat und auch alte Folgen vielleicht mal sehen möchte, die kann ich unter netop.tv, TV. Ich habe den Link jetzt mal hier mit der Playlist hinterlegt. Kann man sich die dann raussuchen? Ähm, wenn ich diesen Link folgen möchte, net.tv und dann einfach nach kompakt suchen. Da sind dann alle Folgen aus der Vergangenheit zum wieder anschauen. Unter anderem auch die Version 1 von der heutigen ähm Edition, weil heute werden wir über Ransomware sprechen und die baut so ein klein wenig dann auch auf der Volume 1 auf. Warum haben wir das heute hier so gemacht? Ähm, Hintergrund ist ganz einfach. Der Zuspruch von ein paar Monaten bei dieser ersten Ausgabe war gigantisch groß. Es gab haufenweise Fragen, so dass wir gesagt haben, wir ja gießen das Ganze noch mal ein bisschen oder gleisen das Ganze noch mal bisschen neu auf, bringen ein paar neue Fakten mit hinzu und wer noch mal ja die Volume 1 sich angucken möchte, kann das gerne hier auf der nette.tvseite machen. Dann eine zweite Sache noch als kurze Ergänzung oder äh ineigener Sache. W vielleicht den ein oder die andere dieser Runde, die das erste Macher dran teilnimmt. Wie funktioniert das Ganze jetzt hier? Ähm, das sollte bei euch jetzt auf dem Bildschirm ungefähr so aussehen, hoffentlich. Ähm, ganz egal, ob auf Deutsch oder auf Englisch, das hängt dann von der Browsereinstellung ab.Ähm, bis ins Sprecherbio. Dann haben wir oben die Ressourcenliste, da sind auch die Präsentationsslides drinne zum runterladen. Den Media Player, den werden wir nachher auch ab und zu mal brauchen. Der Band hat eine Demo vorbereitet. Das Bett dann aber alles automatisch groß gezogen, da muss man nichts machen. Die Fenster kann man alle frei bewegen, vergrößern, verkleinern, wie man möchte. und links, das ist so das wichtigste Feld neben natürlich den Folien selber Q&A. Wenn ihr Fragen habt, immer bitte her damit. Äh nicht bis zum Ende warten. Ähm auch wenn wir eine Q&A Session noch am Ende haben, Fragen sofort stellen, sonst sind sie meistens weg und wir beantworten sie dann auch schon während dieser Session, wenn es geht live. Ansonsten schriftlich ähm da nicht irritieren lassen. Ähm kurz Info noch dazu. Wer Fragen stellt, die sind erstmal nicht sichtbar. Die sind dann nur sichtbar, wenn wir antwortenfür alle. Ähm, da nicht wundern, wenn es in dieser Q&A Box erstmal noch nichts auftaucht, da werden schon Fragen gestellt. Ähm, nur tauchen sie erst auf, wie gesagt, wenn wir hier sprechen.Das war's von meiner Seite. Wir können auch hier den ersten Punkt auf der Agenda auch schon einmal abhaken. Vorstellung und Houseeping ist erledigt und ich würde jetzt an den Philip und den Bengt übergeben, die jetzt die nächsten ja 55 Minuten mit Inhalt füllen werden. Stage ist yours. Gut, ich werde als erstes äh ein bisschen was über die äh Nummer, also die Zahlen und die Trends, die wir im Kontext von äh im Ransomware sehen. Also Ransomware ist ja wirklich echt eine Plage. Das äh immermehr und äh man muss sich irgendwie da biss ein bisschen gucken, was es dort als äh als gesamtes gibt. Wir haben hier eine Statistik, die von der Bitcoin äh erfasst worden ist und äh man kann also sehen, dass äh dieses äh Ransomware äh Problem, dass das nicht eine Sache ist, die nur uns betrifft oder wenige betrifft, sondern es betrifft nahezu alle. Also gut, neun von 10 Unternehmen, also 90% aller Leute haben mit unterschiedlichen Cyberangriffen äh als solches zutun. Äh man sieht natürlich, dass die äh dass die unterschiedlichen äh Typen dort aufgeführt worden sind. Die Ransomware ist also seit 2019 war die noch nicht da drin, sondern aber jetzt äh in 2021 macht es ein fünftel aller äh Attacken aus. Und ähm die Problematik mit Ransomware ist, dass sie halt nicht nur einzelne Sachen betrifft, sondern meistens, wenn sie einmal durchschlägt, die gesamte Organisation äh als solches betrifft. Und dann wollen wir mal ganz kurz gucken, was es für unterschiedlichen Typen von Ransomware als solches gibt. Der Klassiker, den es schon seit sehrlanger Zeit gegeben hat, sind die Distribute Denial of Services Attacken. Das heißt, irgendjemand hat gesagt, okay, er hat eine Botfarm sicher organisiert und mit dieser Botfarm geht er dann auf eine IP-Adresse, auf die Zugänge, die Webseite eines Unternehmens los und behämmert die so lange mit Anfragen, bis diese sich dann sozusagen nach hinten überlegt und dann einfach nicht mehr in der Lage ist, da wo denService zu erbringen, der es gedacht ist. Da gibt es natürlich mittlerweile Mechanismen in Form von Content Distribution Networks, die dann so den Denial of Service Attacke dann abfähr. Dann kommt dieser kommen die Bösewichte und stellen sozusagen Forderung sozusagen, wenn ihr jetzt nicht uns Geld zahlt, dann werden wir so lange weitermachen, bis ihr dann sozusagen konkurs geht. Ähm die zweite Variante ist äh sozusagen Datax Filtration. Das heißt, man versucht Daten aus dem Kontext oder von der Firma zu entziehen, rauszuholen, dieses dann äh entweder zu nehmen, um dann mit diesen Daten äh weiter äh weiter äh weiter äh also weiter zu verkaufen oder explizit das Geheimnisse aus der Firma herauszuziehen oder als Drittes und das ist das was ja meistens durch die Medien geht diese Den Service ran und da geht es also effektiv darum, dass man die Daten, die man in der Firma hat äh oder dieInfrastruktur derFirma äh Lahm legt, indem man eine Verschlüsselung durchführt. Und um es nicht um es wirklich dann so hässlich genug zu machen, man hat ja dann gemerkt, man kann ja beides tun. Man extrahiert erstmal die Daten und dann verschlüsselt man sie. Das heißt, also man kann also im Prinzip äh beides Zeichen durchführen. Also wieso schon mal eine doppelte ähm eine doppelte Erpressung, die dahinter steckt. So. Ähm jetzt ist die Frage, wiewass was sind die Angriffsvektoren, die man dort an der Form als solches sehen kann? Und der Klassiker ist wiegesagt immer noch und immerwieder das E-Mail über E-Mail kommen dann irgendwelche Links rein. Man installiert sich dann irgendwas auf dem Rechner und dann geht die äh dann gehtder Spaß los und äh man hat natürlich gibt es auch ä die Variante, dass man einzelne entfernte Server versucht zu greifen. Die wie gesagt der E-Mail Link oder die E-Mail Attachment, wenn man die beiden zusammenlegt, dann sind wir bei 45%. Das ist also schon wirklich mehr als die Hälfte äh der ganzen kommt dann über ausgewählte äh andere Sachen gibt es äh, dass man sagt USB Medien sind am kleinsten bei der ganzen Geschichten Supplier, das ist immer so eine Frage, wenn man ein Supplier hat, dann gibt's also Supply Chain Attacke, das heißt, dass man irgendwo sehrfrüh in die anderen Softwaren reinkommt. Da war jetzt mit Solar Winds vor einiger Zeit eine von diesen etwas größeren Sachen, die da passiert sind. dass das nicht nur sozusagen so äh Hersteller äh Hersteller äh Hersteller äh ähm wie heiß es Hersteller äh Fad sein sollte,man mal gucken. H haben wir zwei Exempel, die ja nur aus diesem Jahr gekommen sind. Also immer auf den Kliniken am Boden sehe, ist eine Attacke durchgeführt worden. Was da genau hintergekommen ist oder wer da was damit erreicht worden ist, das ist ähm momentan zum Zeit dieser unserer Präsentation nicht bekannt oder das gleiche sozusagen auch jetzt hier so größeres äh Öllager, die ist da dann von betroffen worden und da ist im Prinzip die ganze Logistik dahinter äh betroffen gewesen. Das heißt, also wenn man so schaut, das sind also zwei Dinger, die wirklich ganz schön reinhauen können. Auf der einen Seite keine ähm keine Software, also keineSaftbare, also keine kein Öl, das ausgeliefert werden kann bzw. Krankenhäuser, die dann die natürlich auch sehr stark mittlerweile auch auf Krankenformationssysteme dann aufsetzen und wenn das im Prinzip lahm gelegt wird, dann muss man also dann geht einiges an dem Plan weiter. Das nur sozusagen so als Einstieg, was es damit eigentlich auf sich hat an diesen ähm mit diesen ähm äh ransomware Thematiken. Das ist jetzt nur sozusagen noch mal eine kurze Zusammenfassung vom letzten Mal. und würde an dieser Stelle dann jetzt ein Philip übergeben, der dann jetzt äh mit den ersten Techniken äh anfängt zu präsentieren, wie wir da unterstützen können. unterstützen können. unterstützen können. Genau. Vielen Dank. Und das schauen wir uns jetzt an. Wie kann Netap hier helfen? Und bevor wir uns das anschauen, ein paar Worte noch mal zur Wiederholung. Wie sieht denn so der typische Angriff aus? Also, es geht immer los mit einem, also meistens mit einem kompromitettierten User Account. Klar kann der User sein, der ein Attachment klickt, haben wir alles gehört. Kann auch Remote Server Attack sein. Dann kommt ein zweiter Punkt, der ist ganz wichtig. Ja, Antivirus. Ja, Antivirus. Ja, Antivirus. Manchmal kommt da die Frage, na ja, wieso? Ich habe doch Antivirenhersteller.Dermuss es doch eigentlich allesabfangen. In einer idealen Wert Weltfre. Aber beim letzten Mal hat der Kollega schon erwähnt, es werden pro Tag mehrere hundertta000 verschiedene Variationen an Ransomware auf die Welt losgelassen. Und dass ein antivieren Scanner alle Signaturen kennen würde, das glaube ich kann man ausschließen. Das heißt, es wird irgendwann dieser Punkt eintreten hier. Die Mailware wird installiert, sie wird ausgeführt und beginnt dann ihr Werk in ihrem Netzwerk. Das heißt, die vermehrt sich. Und jetzt kommt's ein bisschen drauf an, über welche Art von Ransonwer sprechen. Es gibt die Variante, die einfach wirklich ja völlig automatisiert versucht möglichst alles, wo sie Schreibrechte hat zu verschlüsseln. Ist auch so ein bisschen die fast die harmlosere Variante. Und dann kann man sich natürlich aber auch vorstellen, dass es in eine Mailware gibt, die vielleicht eher unentdeckt im ja, im Netzwerk herumlungert, sich ein bisschen umsieht, irgendwann den heimischen Server kontaktiert und weitere Instruktionen empfängt, die dann natürlich maßgeschneidert sind. für ihre Umgebung. Das macht es dann sicherlich noch etwas gefährlicher. Irgendwann wird diese Melwe ja anfangen zu verschlüsseln und dann am Ende einen Erpress Brief ausliefern. Vorher noch eigentlich an der Stelle, wenn wir uns mal versetzen in den Angreifer. Als Angreifer will ich ja nur eines und das ist das Lösegeld. Und wenn Sie noch ein intaktes Backup haben, dann werden sie wahrscheinlich nicht bezahlen. Das heißt, ich muss als Angreifer mich auf jeden Fall den Backup irgendwie widmen. Entweder es wird mitverschlüsselt oder gelöscht oder sonst irgendwie anderweitig unschädlich gemacht. Wichtig ist, Backup muss natürlich auch weg, sonst zahlt keiner Lösegeld.Ja, warumNetup kriege ich manchmal die Frage, warum machen wir eigentlich jetzt hier was? Wir sind da jetzt kein Antivierenhersteller, das ist relativ einfach zu beantworten. Ransonware hat ja ganz unmittelbar was mit Daten zu tun. Ja, Daten hier werden verschlüsselt und da ja, wo liegen ihre Daten drauf? Natürlich idealerweise auf einem cloud integrierten modernen Ontab System. Das heißt, wir bzw. Diese Ont ist ganz nah an diesen Daten und wir können ohne Aufwand, sprich ohne irgendwie CPU großartig aufzufahren oder Ressourcen, können wir Manipulationen an den Daten feststellen. Daher finde ich es eigentlich sehr naheliegend, dass wir ja von Netup hier Tools bauen, um solche Manipulationen, die halt von einer Rensware stammen können, gleich im System zu entdecken. Ich äh unterteile das jetzt mal in zwei Klassen von Mechanismen. Also zwei Klassen von Mechanismen. Die erste Klasse würde ich bezeichnen als Detection and Prevention. Da geht's um eines. Da geht's darum, den Ransomwarefall zu bemerken. Es ist ganz elementar, dass man das möglichst schnell merkt und in nicht erst irgendwie zwei Monate später. Da gibt's aktive Mechanismen, die stellen wir im Anschluss vor. Ja, und der zweite Teil ist Remediation Restoration, denn die Ransomware wurde ja schon ausgeführt, sonst hätten wir sie ja nicht finden können. Das heißt, es ist irgendwas passiert, es wurden Dateien verschlüsselt und bei Remediation Restoration geht's darum, wie kommen wir wieder an die unverschlüsselten Daten ran, wie ja stellen wir das wieder her. Es geht ganz klar irgendwie Richtung Backup oder irgendwas mit vielleicht unveränderbaremBackup. An der Stelle muss ich mal ein Autovergleich bemühen. Im Auto haben sie ja nicht nur Bremsen, sondern sie haben ein ABS, sie haben einen Gurt, sie haben ein Airbag und wahrscheinlich einen Auffahrwaren Assistenten. Das sind alles völlig verschiedene Mechanismen, die aber eine Aufgabe haben, eine gemeinsame, nämlich die Sicherheit zu erhöhen. Und so ist es hier leider. Muss man sagen auch. Es gibt nicht den einen großen grünen Knopf, da drücke ich drauf und alles ist super, sondern es geht hier um mehrere Mechanismen, die in Schichten sozusagen übereinander liegen und in Summe einen möglichst guten Schutz gegen Ransomware dann bieten. Ja, und mit einer dieser Schichten, die Reihenfolge ist willkürlich, fangen wir gleich mal an. Das ist unser Ontap Antiansomware, unsere Analytics Engine, die in Ontap integriert ist seit der Version 19. Ich hole vielleicht noch mal kurz aus. Sie erinnern sich früher mit Locky und Warner Crine, wie sie hießen, da war das ja verhältnismäßig einfach. So ein Locky, der hat, wenn er Dateien verschlüsselt hat,er sie umbenannt nach Punktlcky. Das heißt, sobald man da eine Datei hatte, die da irgendwas Punkt Locky hieß, wusste man, ah, das ist Locky. Äh, so leicht ist es halt heutzutage leider nicht mehr. Es gibt natürlich immer noch diese wellknown ransomware, die halt vielleicht mit statischen Dateiendungen arbeiten. Dagen kann man sich super leicht schützen, indem man einfach in Ont mit FPCy haben viele Kunden gemacht diese Endungen sperrt. Das ist schon mal gut, aber es reicht halt heute einfach nicht. Moderne Ransomware arbeitet mit zufälligen Endungen und das ist schon mal ein Punkt, wo dieser Mechanismus dieses Ontap Antiransomware ansetzt, der monitort unter anderem Dateiendungen. Das heißt, wenn Dateiendungen auftauchen, vermehrt vielleicht sogar, die unbekannt sind, dann wird das Tool hellhörig. Das Ganze ist kombiniert mit File Activity, also File mit einem File Activity Logger. Das heißt, der schaut auch noch zusätzlich ins Dateisystem. passiert irgendwas, was vom normalen Workload abweicht. Gerade so Dinge wie ja read und override, solche typischen, ich verschlüssel irgendwas, muss ich erstmal lesen und dann überschreibe ich es. Ähm, das ist ein weiterer Mechanismus, der hier aktiv ist und das Ganze noch mal kombiniert mit einem Entropy Calculator, was jetzt, was ist das schon wieder? Also Entropie,erkläre ich vielleicht kurz, ist eine Maßzahl für die Zufälligkeit von Daten. Man hat hier so ein bisschen, man hat's hier so ein bisschen angedeutet.Wenn Daten sehr zufällig sind, nach Hausen sind, also verschlüsselt oder komprimiert, dann ist die Entropie hoch. Kann man berechnen, dazu muss man das Fall nicht verstehen, einfach drüber scannen und weiß, ah, dieses Fall ist nicht mehr komprimierbar. Ähm, hohe Entropie. Auf der anderen Seite habe ich hier niedrige Entropie. Ein Pfeil hat Kompressionspotential.Man könnte es weiter komprimieren. Und dieses Tool geht jetzt also her und kombiniert einmal ähm ja vielleicht abweichende unbekannte Endungen mit verdächtiger Pilaktivität bei gleichzeitiger Erhöhung der Entropie. Das heißt, Files werden überschrieben und haben danach eine hö höhere Entropie, sind also verschlüsselt.Ähm, dann habe ich hier auf jeden Fall Anzeichen für einen Ransomware Angriff. Und was das Tool dann macht, ist als erstes immer mal ein Snapshot machen. Das ist sehen wir nachher noch, aber das ist ein wichtiger Punkt. immer ein aktuellen Snapshot haben. Danach untersucht er noch ein bisschen weiter und wenn er der Meinung ist, ähm ja, das äh ist ein Angriff, dann werden die Administratoren benachrichtigt. Der IO wird nicht unterbrochen hier. Ähm die Admins müssen dann entscheiden, was zu tun ist. Das ist ein Ontafe Feature, wird lizensiert und ist wie gesagt eine Schicht, kann Leben mitnehmen oder zusammen mit den anderen Sachen, die dann noch kommen als ein Mechanismus. Ransomware ist ja eine Sache, die natürlich in der Cloud genauso stattfindet. Das heißt, unsere Cloud Offerings, Data Services, FSXN z.B. für Amazon oder Cloud Volumes Ontub für alle Hyperscaler sind der Ontub Instanzen in der Cloud, da ist es auch supported, da funktioniert es genauso, denn ja Ransomware ist ja in der Cloud natürlich genauso präsent wie on premise. Das noch mal hier zusammengefasst, also mit Ontab 19 ist es reingekommen relativ neu. Es ist ein Machine Learning Algorithmus. Das heißt, sie müssen dann nichts konfigurieren. Das ist einfach ein Schalter. Sie schalten es ein. Wenn das eingeschaltet ist, dann läuft das erstmal im Learning Mode. Das heißt, der alarmiert hier noch nicht, sondern er lernt den Workload. Was ist so der normale Workload auf dem jeweiligen Volume? Das sollte man mindestens eine Woche eher ein bisschen länger laufen lassen. Dann hat die Maschine den Workload gelernt und dann schalten sie das scharf, indem sie in den aktiven Modus schalten und sobald ja ein Verdacht auf Ransonware besteht, werden sie hier alarmiert. Das habe ich schon gesagt. Performance Impact ist vernachlässigbar einstelligen vernachlässigbar einstelligen vernachlässigbar einstelligen Prozentbereich hängt natürlich immer davon ab, wie viel wird geschrieben, also auf welchen Volumes schalte ich das ein.Und noch mal, es ist eine zusätzliche Schicht, eine von diesen Schichten. Es gibt so sieht das aus im System Manager. Wie gesagt, einfach einschalten, falls Sie vorhaben irgendwie hostseitig viel zu verschlüsseln oder wo sie schon wissen, ah, ich mache jetzt irgendwas, das sieht ja aus wie ransomware, weil ich jetzt wahnsinnig viel hostseitig zippen möchte z.B. oder so, gibt's hier auch eine Pausetaste. Da können Sie das dann ja für die Zeit äh in der Sie irgendwie verschlüsseln oder komprimieren hostzeitig auch aktivieren, dann sparen sie sich den Alarm. Das ist also eine dieser Schichten und für die nächste übergebe ich wieder zurück an den Bent. Genau,das was wir gerade gezeigt bekommen haben, das ist also eine Onbox, also sprich auf dem Storage System laufende Lösung die also wo das System, das wird auch als autonomes Ransomware Protection bezeichnet. Daher gibt es also keine Konnektion oder irgendwas Konnotation, werda alles am Arbeiten ist oder wer das vors s mandetektiert das auf dem Verhalten, dass da passiert und äh versucht dann zu verhindern, dass da irgendwas weiteres äh passiert. hat man mehr so die Anforderung zu sagen, okay, ich möchte jetzt gucken, wie der wer das ganze gemacht hast, dann geht man also auf Box, das heißt, man geht also von der Maschine selbst und muss eine wie auch immer geartete Instanz haben, die dann in der Lage ist größere Analysen durchzuführen. Das ist genau da, wo dann das sogenannte Cloud Secure zum einsatz kommt. Cloud Secure ist ähm das ä unser äh als SAS gehostetes Lösung für solche Anforderungen, wenn man hier in dieser Grafik sieht, ähm es läuft unter dem Schirm der des Cloud Insights, in dessen in dessem Kontext wird das Ganze durchgeführt. Ganze durchgeführt. Ganze durchgeführt. Man installiert hinter, sei es jetzt in der Cloud oder auch in seinem Onpremises Rechenzentrum wird ein Dat also Datensammlungsagent installiert. Dieser führt die Daten, also die Aktivitäten, jede von den von einer Pilaktivität auf dem Netupsystem erzeugt ja über die Folcy Schnittstelle. ein Message Pass. Dieser wird vom von diesem Agenten subscribed und diese Informationen äh diese Informationen werden dann an Cloud Inside weitergeleitet. Man koppelt dieses dann effektiv dann noch mal um oder man kann es dann entsprechend mit dem Active Directory Zugriff koppeln, um dann im Prinzip zu sagen, okay, wer ist denn dieser Benutzer? Kann ich damit was anfangen? Das heißt, jetzt bekomme ich im Prinzip Aktivitäten von einem User, einem Account, wer auch immer das jetzt ist. Ich weiß, wer es ist und ich habe über die Laufzeit, wie das Ganze funktioniert, habe ich ähm ein ganz normalesBenutzer verhalten. Das heißt, also jemand, der in den in der Buchhaltung sitzt, der wird sich mit Buchhaltungsdatenbeschäftigen.Ähm je, wenn der jetzt plötzlich anfängt in Bereiche zu gehen, äh in die eigentlich äh nicht normalerweise sich befindet, sei z.B. z Engineering, sei es imumfeld oder was auch immer, äh dann ist das ein Verhalten, das nicht normal ist. Und das ist einer von den Kriterien, die dann zum Tragen kommen, wenn man anfängt sogenannte Anomalie äh Entdeckungen durchzuführen. Das heißt, man macht also eine Benutzerkennung oder Benutzer ähm Verhalten. Das ist in Deutschland natürlich immer so ein bisschen muss man natürlich auch gucken. Äh da gibt es sowas wie Betriebsräte und ähnliches, aber das kann man immer in der Betriebsvereinbarung entsprechend auch handeln. Aber und das der Punkt ist, man versucht über diese über dieses Verhalten des Benutzers äh herauszubekommen, ob ähm das, was jetzt äh passiert, ob das jetzt normal ist oder ob das nicht normal ist. Und in dem Moment, wenn jetzt eine Anomalie passiert, also wenn irgendwas äh in der Form passiert, dann wird anhand dieser Variante wird eine Aktivität durchgeführt. Als allererstes natürlich wie immer grundsätzlich wird ein Snapshot erstellt. Also das ist die Basis ab dem Moment, wenn es detektiert worden ist, äh erzeugen wir die erzeugen wir den Snapshot und können dann gleichzeitig weitere Aktivitäten durchführen. Unter anderem z.B. für das Blocken der IP-Adresse dieses Nutzers. Das hier ist jetzt sozusagen die erste Iteration davon und es wird immer in also immer ähm intrikater werden, welche Mechanismen wir hier zur Verfügung stehen haben, um dann äh an der Stelle äh Aktivitäten durchzuwenden. Seiß z.B., dass man nicht nur den Benutzer über die IP blockt, sondern andere äh Aktivitäten äh durchführen kann. So. Ähm So. Ähm So. Ähm das Ganze basiert also im Prinzip auf der also Gefahrenanalyse, die dahinter steckt. Also wir identifizieren, welche Art des Risks der Gefahr passiert. Also wir machen, ist es eine potenzielle Attacke oder ist einfach false positive? Also spricht ist es einfach nur was ist es? Dann wird identifiziert, wer es ist, also welcher Benutzer. Voraussetzung natürlich die Kopplung an ein AD und dann die QuelleIP, woher es kommt, wann es passiert ist. Also wirklich jetzt das ist eine Sache, da wir ja kontinuierlich über die Policy schnittlich permanent den die den ähm Überblick bekommen, ähm wird äh wird an der Stelle dann äh direkt auch äh ans System zurückrapportiert System zurückrapportiert System zurückrapportiert und äh wird dann dementsprechend auch als nah nahzchtzeit äh alsoid I identifizierung durchgeführt und dann wird identifiziert, also wer oder welche Volumes und welche Fil sind explizit davon betroffen. Man bekommt also im Prinzip eine Liste raus, wer alles getan hat. Das Ganze befindet sich ja, also kann man über ein entsprechender ähm GUI sich dann anzeigen lassen und dann entsprechend die Analysen durchzuführen, um dann äh an der Stelle wirklich zu sagen können, was ist denn da eigentlich los, was passiert da, um dann die entsprechenden Schritte äh durchzuführen. Natürlich kann man nicht permanent selber dann ein Auge drauf haben und deswegen gibt es sogenannte automatische Response Policies und diese Response Policies sind also hier auf der linken Seite einfach mal dargestellt. Ähmda wird das im Prinzip erstmal jetzt mit den Fähigkeiten erstmal hinterlegt, was passiert werden soll. Als allererstes z.B. äh in diesem Fall hier erzeuge einen Snapshot. Man kann es natürlich auch ohne machen, aber es wäre als absoluter Blödsinn. dann auch hier den Benutzer die IP-Adresse, sei es für eine Zeit oder sei es für ewig, bis man es zurückgesetzt hat zurückgesetzt hat zurückgesetzt hat zu blocken. Und das ist also im Prinzip so die Basis und da kann man nicht nur eine einzelne Policy, sondern man kann jetzt und das wird auch in Zukunft kommen, kann man etwas komplexere [gelächter]Responses damit äh loslegen. Was natürlich passiert ist, man bekommt natürlich eine ähm eineBenachrichtigung. ähnlich wie jetzt Philip Brier gezeigt hatte, haben benachrichtet das System über die äh über die po über die äh über den Süslock und über den Messages wird es gesagt. Genauso wird es hier kann man natürlich entsprechend auch Mail äh Mails generieren, die dann an den Administratorn äh weitergereicht werden.Nachdem das Ganze passiert ist, habe ich ja die ganzen Daten und kann dann anfangen im Hintergrund eine Analyse zu machen. Also im Prinzip eine forensische Untersuchung von dem, was dort passiert ist. Wir halten also die Daten bis zu 13 Monate vor. Das heißt, man kann auch wirklich, selbst wenn es etwas länger gedauert hat, bis man identifiziert hat, kann man dann gucken, okay, ab wann geht den der ganze Spaß los, damit man nicht komplett von irgendwo sehralles zurücksetzen muss, sondern dass man wirklich sagen kann, okay, ab hier fängt der ganze Spaß als solches äh an. Diese beiden zwei Sachen, die sollen wir sollten also am besten miteinander äh ich sag mal im Zusammenarbeit agieren. Auf der einen Seite sozusagen, dassdieKiste als erste Front selbst agiert, wenn irgendwelche Sachen merkwürdig sind und dann hier ein Analysetool, mit dem man von außen drauf gucken kann und auch über sehen kann, was dort äh im großen also im großen Bild äh dann passiert.So, Philip, an der Stelle würde ich an dich dann weitergeben. Ah, ne, Chuldigung, sorry, ich hab ja noch eine Demo.genau. So, nee, das war die falsche Schön. Falscher. So, was wir jetzt hier sehen, ist genau diese allgemeine, also wenn man Cloud Insight geht und dannbekommt man das im Prinzip gezeigt, wie welche Aktivitäten regelmäßig als solches passieren. Da sieht man also einen ganz normalen Tagesablauf in Anführungszeichen. Da sieht man also welche Art und Weise welche Typen von Aktivitäten passieren, welcher welche Art Dokumente wird hier angefasst. Das sind also das im Prinzip die Aktivitäten hier passieren. Das ist also, sagen wir so ein ganz normaler Tagesablauf. Nichts besonderes passiert. Jetzt geht kommt die Situation, dass jemand anfängt zu sagen: "Okay, ich möchte ich möchte jetzt ähm ich möchte jetzt äh oder ich komme in die Situation, dass jemand anfängt eine Attacke zu führen." Wir simulieren das jetzt hier in dieser Zeichnung in dieser Demo, indem ein Skript losgelaufen wird, geht das genau diese Aktivität durchführt. Das heißt, also der Kollege, der diese Demogemacht hat, der startet also ein Skript, der dann anfängt die Dateien, die auf die er jetzt zu Zugriff hat, zu verändern in einer Form, dass das Ganze äh dass das System dann anfängt zu sehen. Dann bekommen wir nämlich erstmal jetzt mal re die letzten Verstanden, dann erkennt man also hier jetzt fängt langsam hier was an, was nicht irgendwo so normal ist. hat und dapassiert eine Aktivität und jetzt sehen wir an der Stelle passieren also eine Menge Aktivitäten, die dann äh diein so Richtung dann man readen, man fängt also in Read, man macht ein Rename, man write und so weiter. Das was nicht normal das ist, was man im normalen Verhalten hätte. Es läuft noch weiter durch. Und das System als solches identifiziert also eine Anormalität. Jetzt ist genau dieser Kollege der Kagal, der ist hinterlegt als der Admin. Das kann natürlich auch nicht nur ein Admin, es kann natürlich eine Funktionskonto sein. Der bekommt danndementsprechend Zusammenfassung, was da passiert, nämlich, dass der User in diesem dieser anis McDonald äh das Verhalten ist identifiziert worden als Ransomware Attacke. Das heißt also, weil im Prinzip die Change gegenüber dem, was sie normal wirklich hier an im äh tausendfachen über dem, was normalerweise anliegt. Und das ist ein Status, der ist also noch nicht ähm nicht irgendwo weiterlaufen, sondern der ist einfach sozusagen als neu identifiziert worden. Genau. Und Genau. Und darauf beginnend kann man dann sagen, okay, jetzt sehen wir Aktivitäten, die dann passiert sind. Das heißt, also wir erkennen,wir erkennen hier, dass es losging, dass diese Anis McDonald jetzt in diesem Fall waren knapp 100 Fils, die verschlüsselt worden sind und also das ist also sodiedasKriterium, bei dem es äh losgelingen undes ist also schon bei 100 Dateien hat das Ding schon getriggert und es wird also allererstes mal als Aktion ist hinterlegt machen Snapshot Genau. Und wenn man sich das dann einzelnen anschaut, dann kann man also gucken, okay, ich folge diesem den Event und sieht, okay, ist in diesem Fall das Resultat, das wir hier hatten, es war ein einzelnes Volume, das begriffen worden. Es wurden keine Dateien gelöscht, aber es wurden in diesem Falle 213 Dateien wurden in Summe identifier oder verschlüsselt. oder verschlüsselt. oder verschlüsselt. Ähm und man kann also im Prinzip hat dann im Prinzip danacher auch sousagen, wer es war und kann dann dementsprechend ziemlich schnell dann auf die äh auf den nächsten dann losgehen und äh die entsprechenden Aktivitäten durchführen. Schauen wir mal Hand, wo die Analysen sind. Genau. Und wenn man jetzt genau diese Analyse als solches hat, dann kann man also gucken, was genau passiert ist an dem. Also wir sind, wir machen also ein Drill Down. Das heißt, wir kommen dann sagen, okay, es ist wirklich hier so ein Verhalten. Wir hatten ja vorher gesehen, war es eher sozusagen tendenziell eher ein Read, aber hier haben wir genau sozusagen so ein Pattern, Lesepattern, das eher dementspricht das Ransomware betreffend äh ist. Das ganze kann man dann, nachdem Ransomware Attacke dann identifiziert worden ist, haben wir jetzt einen sehr noch ein redumentären Workflow dahinter. Das heißt, ich kann diesen ähm diesen äh nachdem ich das angefangen habe zu bearbeiten, kann ich den Status versehen, dass ich sage, okay, ich bin an in der Analyse und äh mit dem kann ich dann entsprechend auch mein andere Kollegen dann auch drauf warten, würden signalisieren, dass die ganze Arbeit nicht noch mal äh gemacht werden muss. Die Demo, die ist eine öffentlicheDemo und die kann dann jetzt im Nachgang, wenn sie das gegebenfalls noch mal nachschauen, inklusive Ton noch mal angeschaut werden. So, an der Stelle würde ich dann an dich übergeben, Philip,bevor du das machst, eine Frage, die aufgekommen ist, Bengt da in dem Produkt der eine Cloud auftaucht, werden hier Daten irgendwie übertragen von A nach B, also Richtung Cloud, oder ist es so, dass nur die äh diese, dass der Algorithmus selber das Maschinenlearning mit der ganzen GUI etc. auf der Cloud Ebene läuft? Ebene läuft? Ebene läuft? Also die GUI als solches plus der Algorithmus, der läuft also wie ich in der einen Slide gezeigt hatte, wenn man hier genau noch mal guckt in Z, dann die Daten, die werden hier im Cloud Inside gesammelt. Ähm, sie werden über den Data Collector Agent dorthin transportiert, aber es werden keine Dateien übertragen, sondern es gibt nur die Möglichkeit die Möglichkeit die Möglichkeit ähm oder es werden nur die Zugriffe als solches drüberen. Das heißt, also über die FPcycnittelle wird gesagt, dieser Benutzer macht dieses Datei auf oder macht diese Aktivität mit der Datei. Das ist also im Prinzip die Information, die übertragen wird. übertragen wird. übertragen wird. Alles klar? Vielen Dank. So, Entschuldigung, da müssen wir noch maldann machen wir weiter beim Teil Remediation und Restoration. Bevor wir das anschauen, kurz noch mal die Zusammenfassung hier. Sie kennen diesen mittleren Teil schon bis dahin. Jetzt haben wir zwei Mechanismen kennengelernt, gerade eben von Bank Cloud Insights User Monitoring auf Userbene und das, was ich vorher erzählt habe hier auf Ontab Ebene. Das sind schon mal zwei aktive Mechanismen, um so einen Ransomware Angriff zu erkennen. Erstmalwenn Sie den dann erkannt haben, hoffentlich schnell dank dieser Mechanismen und natürlich auch beseitigt haben. vorher müssen wir nicht mit der Wiederherstellung anfangen. Dahelfen Ihnen diese Tools ja aber auch. Also, sie kriegen ja äh bei Cloud Inside z.B. den User bei Ont haben Sie auch Möglichkeiten äh herauszufinden, woher der Angriff kommt. Beseitigen Sie die Quelle dessen und dann geht's also hier irgendwie an die Wiederherstellung. So, es wird also irgendwas in Richtung Backup sein oder viel mehr Restore aus dem Backup und das schauen wir jetzt uns mal näher an. ist immer so, wenn ich irgendwas über Backup sage und dann kommt was mit Snapshot, dann kommt meist der Aufschrei. Ja, ein Snapshot ist ja kein Backup. Stimmt natürlich. Stimmt natürlich. Stimmt natürlich. Snapshot an sich ist kein Backup, aber wir reden ja hier jetzt auch nicht über Disaster, sondern über Ransomware. Ich behaupte mal, im Falle von Ransomware ist einaktueller Snapshot so ziemlich das Beste, was man haben kann, denn die Maschine läuft ja noch, es ist ja nichts kaputt und wenn ich die Daten selbst dann noch auf der gleichen Maschine habe, dann spare ich mir schon mal das Übertragen übers Netzwerk. Ich habe ja alles da. Und das Beste an den Snapshots ist eigentlich im Zusammenhang mit Ransomberg, dass sie also nicht nur Performance neutral sind bei Netup undwenig Speicherplatz brauchen in Abhängigkeit der Datenänderungsrate, sondern vor allem Snapshots sind immer read only. Das heißt, weder eine Ransomware noch ein Admin oder sonst irgendwer, niemand kann den Inhalt eines Snapshots verändern. Das heißt, so eine ja, sag mal, so eine Wald und Wiesen Ransomware, wie wir sie öfters sehen, die wird schon an den Snapshots scheitern, denn die sind read only. Wir haben einige Kunden äh die haben sich, also deren Backups wurden zerstört, also die richtigen Backups, aber die Snapshots auf den Netaps waren noch da, die haben ja sie gerettet in dem Fall haben wir schon paar mal beobachtet. Den roten Punkt schauen wir uns gleich noch mal an. Wichtig beim Snapshot ist, ich habe, wenn es darum geht, die gesunden Dateien wieder rauszuholen. Ich habe zwei Möglichkeiten, das zu tun. Das eine ist hier gekennzeichnet mit Rapid Recovery. Also, das geht sehr schnell. Ich kann bei Netup innerhalb von 2 Sekunden ein gesamtes Volume auf den Stand eines Snapshots zurücksetzen. Dabei spielt es keine Rolle, ob das Volume jetzt 1 TB hat oder 100 TB. Das sind alles Metadaten Operationen, das geht in 2 Sekunden und sie sind in dieser Zeit dann auf dem Stand vorance w. Das würde man wahrscheinlich machen, wenn man das sehr schnell gemerkt hat. Ähm weil ja der Nachteil ist, man setzt halt ein ganzes Volume zurück und nicht nur die Dateien, die verschlüsselt wurden. Daher die zweite Möglichkeit geht natürlich auch. Sie können hostseitig in die Snapshots hineingreifen und nur die Dateien rausholen, die verschlüsselt sind. Die vorher genannten Tools helfen Ihnen dabei mit entsprechenden Listen an verschlüsselten Dateien, sodass Sie das auch bequem automatisieren können. Äh, das erwähne ich jetzt hier nur noch am Rande. Falls Sie keinen dieser Mechanismen haben, was ich nicht empfehlen würde, gibt's aber auch die Möglichkeit einfach nur die Snapshotgrößen in unserem Unified Manager zu monitoren, denn die Größe eines Snapshots spiegelt unmittelbar die Datenänderungsrate wieder. Datenänderungsrate wieder. Datenänderungsrate wieder. Wenn Sie eine Verschlüsselung haben im Hintergrund, dann haben Sie eine hohe Datenänderungsrate.Klar ist natürlich jetzt nicht so schnell wie die anderen Sachen, aber wenn Sie bevor Sie gar nichts haben, einfach mal vielleicht indie Snapshot Datenänderungsraten mal reinschauen und wenn Sie da eine Veränderung sehen, die Sie sich nicht erklären können, dann vielleicht mal ein bisschen tiefer reinschauen. Ein Punkt habe ich hier rot angemalt. Ja, Snapshots sind treat only, das ist super. Man kann sie halt löschen. Ja, ein Admin kann natürlich Snapshots löschen. Das soll er ja können. Äh soll ja Platz frei machen können, oder? Und jetzt kommt's wieder ein bisschen drauf an, über welche Ranson wer reden will. Ja, wenn wir jetzt über Locky reden, die normale Variante, dann äh ist wird da nichts passieren. Aber wenn wir jetzt über eine Ransomware reden, die versucht Admin Passwörter zu erbeuten und wo dann dahinter sich ein Team befindet, die vielleicht wissen, wo sie hinfassen müssen, sie sehen dann, ah, ich habe hier Beam Comwt, Veritas, Netup, was auch immer. Und ich kann, dann könnte der natürlich theoretisch mit Admin Passwörtern Snapshots löschen und das würde der sicherlich auch machen, wenn er sich auskennt. Dann ist also die Frage, wie verhindern wir das? Wie verhindern wir, dass Snapshots gelöscht werden? Und ein ganz neues Feature, was uns da sehr gut helfen kann, ist unsere Multiadmin Verification. Bitte nicht verwechseln mit Multifaktor Authentication, das haben wir schon länger. Multiadmin Verification ist was anderes. Es gibt eine Liste, das die ist natürlich viel länger in Wahrheit an Kommandos. Das sind so Security Modifikationen, aber natürlich auch so ja, Volume Delete, Snapshot Delete, also Kommandos, die Schaden anrichten können in den falschen Händen. falschen Händen. falschen Händen. Die kann man auch verändern, da kann man welche rein oder rausnehmen. Und wenn jetzt also ein Admin hier in dieser Skizze, wenn dieser Admin jetzt versucht ein Volume zu löschen, dann wird Ontab dieses Volume erstmal nicht löschen, sondern Ontab schickt eine Anfrage an Gruppe von Administratoren. Erst wenn eine von ihnen definierte Anzahl dieser Admins die Löschung bestätigt, dann wird sie auch durchgeführt.Das heißt, ein einzelner Admin oder eine Ransomware, die einen Admin Zugang hat, kann hier keinen oder wenig Schaden ein anrichten. Hübscher Nebeneffekt des Ganzen ist natürlich, dass wenn jemand oder eine Ransomware versucht irgendwas zu löschen, dass die das alle hier natürlich mitkriegen, weil ständig irgendwelche Anfragen kommen. Volume löschen, Volume löschen und die wundern sich vielleicht wieso äh warum. Und auf die Art und Weise kann man also die Löschung von Snapshots zumindest sehrstark erschweren, denn manche sagen vielleicht, ja ist ja jetzt aber ein organisatorischer Overhead, dann ist ja der im Urlaub und dann kann ich ja gar nichtsmehr machen. Ja, muss man natürlich organisiert, wenn sie sagen, ich will das ein bisschen einfacher noch haben. Die Variante gibt's auch und die heißt Snaplock.kennt man aus dem Archivierungsbereich, wo es darum geht, also Dateien so zu locken, dass sie unveränderbar gespeichert werden. Stichwort revisionssichere Archivierung. Snaplog kann man aber nicht nur auf Dateien anwenden, sondern auch auf Snapshots. Und wenn man das macht, dann werden die Snapshots vollständig unlöschbar. Also, dann kann weder ein Admin noch eine Gruppe von Admin, dann kann einfach niemand mehr diese Snapshots löschen. Natürlich wird man das nicht auf 10 Jahre dann einstellen, sondern vielleicht ein paar Wochen. Aber in dieser Zeit kann man sicher sein, dass kein Snapshot verloren geht. Muss es halt einfach nur rechtzeitig entdecken. Für die,Snaplock kennen, hier noch ein kleiner Hinweis. Seit Onp 19 brauchen wir keine dedizierten Aggregate. Das bedeutet dediziertes Aggregat heißt da immer eigene Raidgruppe, da sind immer Parity Platten drin. Das war bei kleinen System bisschen ineffizient manchmal. Das ist jetzt vorbei. Sie können jetzt jedes Aggregat hernehmen und da drauf Snaplock machen.Ja, dann müssen Sie nur noch die Ransomware rechtzeitig finden sozusagen. Denn wenn Sie das auf vier Wochen gestellt haben, mal angenommen und Sie bemerken es erst nach 6 Wochen, dann äh hilft das natürlich auch nichts. Und dann müssen wir ans richtige Backup. Und da schauen wir uns jetzt eine, wie ich finde, sehr elegante Möglichkeit an. Bevor ich jetzt zum Cloud Backup Service ähm was näher was sage, ganz allgemein erstmal das Thema Backup wirklich ganz high level und in Kürze. Thema Backup Performancehängt immer von zwei Faktoren ab. Einmal dieScanzeit, wie lange brauche ich festzustellen, wie viel hat sich geändert und einmal dann die eigentliche Datenmenge, die ich transportieren muss in mein Backup Target. Das sind die beiden Sachen. Die Scanzeit hängt gar nicht so sehr von der Datengröße ab, sondern von der Anzahl der Objekte. Tieferzeichnisbäume, Millionen von Objekte dauert Scantime ewig. Wie gesagt, ganz kurz, drei so verschiedene Arten, wie man Daten transportiert im Backupumfeld. Full Copy macht heute eigentlich keiner mehr. Früher war das durchaus üblich. Was wir oft sehen, ist hier in der Mitte dieses File Level Incremental Copy. Das heißt, ich kopiere nur die Dateien, die sich geändert haben, aber halt ganze Fals. Und Sie ahnen es schon. Das effizienteste Verfahren hier natürlich ist Block Level Incremental Copy. Das heißt, ich kopiere nur die einzelnen Blöcke, die sich geändert haben. geändert haben. geändert haben. Noch mal ein Blick äh zurück in die Vergangenheit. Früher war das ja so m bisschen provokativ. Jetzt unten habe ich immer irgendwie ein Storage System und dann habe ich hier Backup Server. Ja, meistens nicht nur einen, sondern mehrere Mediaagenten. Da brauche ich richtig Power, weil der zieht ja von dem Storage System richtig ordentlich Daten weg. Das heißt, ich habe hier viele Media Agents oft, weil das über Media Agents skaliert. Dann lege ich das Backup irgendwo auf dem Secondary System an, ziehe es durch das Netzwerk und belaste hier auch noch mein Storage System.Ja, spätestens wenn das Backup in der Nacht nicht fertig wird,das dann etwas anstrengend, wenn das Storage System in der Früh immer noch belastet ist. Aber dagegen gibt's ja durchaus ja Mechanismen. Netupkunden kennen das. Warum sollte ich das alles durch den Backup Server Zus Storage System belasten, wenn ich von einem System zum anderen direkt replizieren kann auf Block Level inkrementeller Ebene. Ähm den Backup Server da oben, den lasse ich nicht ganz weg. Der hat immer noch Aufgaben. Erstens habe ich natürlich weiterhin meineBackup GUI, aber der Backup Server orchestriert eigentlich nur noch diese Replikationsbeziehung.und macht natürlich so Dinge wie äh Applikationen in den konsistenten Zustand bringen. Das Lock Handling bei Datenbanken, das macht immer noch hier mein Backup Server, aber das Ganze ist schon vieleffizienter. Bisher war das so, manche kennen es unter dem Namen ja Snapvult oder Snap Mirror. Das war bisher eigentlich immer eine Ontab zu Ont Replikation. Das Schöne war auch, das ist Effizienzerhalten. Das heißt, alles, was Sie hier auf der linken Seite an äh Compression deed Application haben, wird komplett erhalten. Geht so über die Leitung. Sehr effizient, aber war halt immer Ont zu Ont, ne? Wobei, wo diese Ontubs sich befinden, das hat spielt schon seit vielen Jahren keine Rolle mehr. Jetzt auf dieser Folie habe ich das so, dass das rechte Ont sich in der Cloud befindet. Also bei AWS, Microsoft oder Google spielt keine Rolle. Das ist das gleiche Ont mit allen Funktionalitäten. Es gibt hier ein Tiering in ein Object Store, wenn man ähm ja kalte Daten rausziehen will. Die heißen Daten liegen hier auf Disk. Wie gesagt, Hybrid Multicloud spielt keine Rolle, wo das Zeug steht, aber ich habe diese effiziente Replikation. Und jetzt kommt die Neuerung oder eine Neuerung. So,neu ist es auch nicht mehr, aber wenige kennen es, wenn sie jetzt die rechte Seite sich anschauen, die linke bleibt gleich, aber die rechte Seite ändert sich jetzt. Mit diesem Cloud Backup Service haben wir jetzt die Möglichkeit,nicht von Ont zu Ont, sondern von Ontab direkt in einen S3 Bucket zu schreiben. Bitte verwechseln Sie das jetzt nicht mit dem Tiering, das hat damit gar nichts zu tun. Das ist jetzt wirklich Backup. Das heißt, das was hier über die Leitung geht, also Ont schreibt jetzt das Backup direkt in S3. Das, was ich hier in dem Bucket habe, ist dann ein selbstbeschreibendesBackup. Das heißt, wenn diese Ont Maschine mir hier zerstört wird oder von Ransomware komplett zerlegt wird und ich habe das wirklich so aufgebaut wie hier mit Cloud, dann könnte ich sofort beispielsweise mir hier ein Ontab provisionieren und gleich mit dem Restore aus dem Object Store beginnen. Also, wenn man es so aufbaut, äh ziemlich einfach alles. Das Backup ist selbstbeschreibend, habe ich gesagt. Das heißt, ich brauche einfach nur eine zweite Ont Instanz, um wiederherzustellen. Und das Ganze bringt noch ein paar Vorteile mit sich. Ich hole mal kurz aus. Es hat sich ja so in den letzten Jahren so ein bisschen die 321 Regel im Backup etabliert. Kennen das wahrscheinlich diese 321 Regel besagt. Man soll insgesamt drei Kopien haben, davon zwei in unterschiedlichen Brandabschnitten und einen Medienbruch. Ja, Medienbuch. Ich weiß, da kann man vortrefflich stundenlang drüber diskutieren. Das machen wir heute nicht, aber das ist so die 321 Regel. Ist sicherlich eine solide Basis für eine Backupstategieund äh wird von vielen Kunden umgesetzt. Und diesesdieser Cloud Backup Service, der hat halt die Eigenschaft, dass er schon zwei von in zwei Aspekte dieser 321 Regel automatisch mitbringt und zwar die etwas nervigen, nämlich erstens habe ich hier natürlich automatisch immer eine Offside Kopie, weil Cloud, wenn ich das so aufwäers als onbrem, das heißt, ich habe schon mal die räumliche Trennung und ich habe den Medienbruch, denn das, was hier über die Leitung geht, das ist nicht mehr das Waffelformat hier in Ont, ne? Das Format wird komplett in ein S3 selbstbeschreibendes Backup Format umgewandelt. Das heißt, ich bin auch aus der Ont Welt hier raus. Also sicherlich äh sehr gut, umdie um zu helfen, diese Regel umzusetzen. Außerdem, und das beobachten wir bei Kunden auch manchmal, oft werden ja äh Verträge geschlossen jetzt auch in Deutschland immer mehr mit Hyperscalern, Amazon, äh Google und Microsoft und in den Verträgen steht halt drin, ja, wir äh kommitten uns in den nächsten, also als Kunde, in den nächsten 5 Jahren so und so viel zu konsumieren bei Microsoft AWS Google und dann stehen oft die Fachabteilungen da und denken sich so, ja, okay, was mache ich denn jetzt? äh waskonsumiere ich denn? Klar kann man anfangen Applikationen in die Cloud zu werfen, geht alles. Aber was man auch unbedingt, finde ich im Blick haben sollte, ist das Thema Backup, denn das ist halt ziemlich einfach, ja, so eine so eine Replikationsbeziehung als Backup einzurichten, das geht super simpel und schafft die Möglichkeit, diesen Hyperscaler Burndown in diesen Konsum halt schon mal einfach reinzugehen und man hat gleichzeitig eben noch diese 321 Regel ganz gut abgedeckt. Zurück zu Ransonb. Ähm, wenn einer hier dieses Ontapsystem zerstört,logisch, dann ist das Maximum, was der noch machen kann, hier diese Replikationsbeziehung zu löschen. Da kommt er erstmal nicht hin. Ja, also das ist auch ein guter Schutz. Object Storage, andere Welt unlocking, dasist in Arbeit, aber auch jetzt schon haben sie dann eine gute Trennung, weil ja Object Storage anderer Bereich. Ganz kurze Frage, weil sie gerade wunderbar reinpasst. Magst du noch mal ein zurückgehen, auch wenn wir so ein bisschen aus der Zeit laufen? Ähm, wie muss der S3 Storage beschaffen sein? Muss es ein Cloud S3 Storage sein oder geht dafür auch ein Onprem S3? In der Mitte sieht man das hier schon. Magst du da noch mal zwei, drei Sätze zu sagen?Da geht natürlich auch einäh lokaler Object Store, wie z.B. Unser Storage Schritt ähm ist halt dann natürlich dann nicht mehr Cloud. Dann muss ich dann schauen, dass das Storage dann auch irgendwie georedundant aufgebaut ist, damit ich hier Redundanz ranbringe. Aber grundsätzlich geht es natürlich schon, natürlich schon, natürlich schon, aber auch nur mit Storageit, das heißt andere onprem S3 Derivate werden aktuell nicht heute stand heute nicht. Genau, stand heute nicht. Okay. Und weil die Frage auch dazu passt, wie wird das Cloud Backup lizensiert? auch das ist aufgetaucht gerade.Ähm das Cloud Backup wird lizensiert nach den Frontend Terabtes. Ja, also spielt keine Rolle, wie viel sie aufheben, wiedie Retention ist. Äh es geht nur um die hostseitigen Frontend Terabtes, die Sie da sehen oder ihr da seht. [gelächter] seht. [gelächter] seht. [gelächter] Alles klar. Vielen Dank. Okay, dann ganz kurz zum Cloud Manager. Ich habe gesagt, dieser Cloud Backup Service wird orchestriert aus dem Cloud Manager. Der Cloud Manager, ich schiele jetzt mal ein bisschen auf die Zeit ist so das zentrale Management Tool für ihre Cloud Data Services sehen oder man sieht hier diese einzelnen Wolken, das sind alles Ontab Instanzen und ja, das hier ist z.B. eine Onprem Instanz, also auch die kann man hier importieren in den Cloud Manager. Das andere sind vielleicht Cloud Instanzen. Ich sehe hier die Replikationsbeziehungen, alles schön high level. Ich kann hier eben so Dinge wie Backup Replikation oder auch Cloud Insights sehr elegant konfigurieren. Und das Wichtige ist, man muss halt hier kein Experte sein, um da irgendwas zu machen.Ich gehe mal weiter. Wenn Sie das sehen wollen, sich das anschauen wollen, empfehle ich einen Blick in unsere Hands onlabs. Da gibt's einen Lab Katalog. Der ist natürlich viel länger als das, was ich jetzt hier kopiert habe. Da können Sie wirklich da sich durchklicken. Das sind so einfache Dinge, wie einfach ich klick mal im neuen System Manager rum oder aber Dinge wie ich schaue mir Automatisierung mit Python und Dress API an. Das Schöne ist, da sind immer echt ausführliche Labguides drin und da steht drin dahin klicken, das ankreuzen. Das heißt, also ich habe da schon mich öfters durchgeklickt, ohne zunächst wirklich zu wissen, was ich da eigentlich mache, bis dann irgendwann kommt, ah ja klar, jetzt habe ich das und das gemacht, man kann da sehr viel auch lernen und äh ein gutes Gefühl einfach für diese Tools bekommen. Link ist drauf. Ähm, ein paar Worte. Da haben wir im letzten Vortrag wurde ja schon ziemlich eingegangen auf den Bereich Data Protection Assessment. Ich will noch mal kurz hinweisen, unsere Professional Services helfen Ihnen bei der Umsetzung, was auch immer Sie vorhaben. Ganz neu ist jetzt diese Ransomware Protection and Recovery Service. Da werden Sie in den nächsten Tagen was davon hören. Der hat wirklich den Fokus ja ransom. Beim letzten Mal wurde schon das Data Protection Security Assessment vorgestellt. Da kriegen sie dann viele bunte Tabellen, wo drin steht, wo noch Justierungsbedarf ist, um insgesamt sicherer zu werden. Und äh das Dritte, auf dass ich hier hin auf das ich hinweisen will, ist äh das äh Sicherheitskonzept für BSI Grundschutzanforderung.Das ist sozusagen die Übersetzung dieser festgelegtenBSI Vorgaben, die ja auch nicht immer so ganz leicht äh zu verstehen sind. Ich fasse zusammen. Wir sind fast am Ende der Zeit. Das Thema ransom werden. Ja, erster Punkt klingt jetzt ein bisschen platt. Ich muss trotzdem sagen, die Frage ist nicht, ob, sondern wann. Irgendwann wird jeder damit in Berührung kommen. Wichtig dabei erstens rechtzeitig entdecken. Dazu haben wir zwei aktive Mechanismen. Der eine arbeitet auf Ontab Ebene, der andere hat der Bank vorgestellt arbeitet auf Userbenen. Damit finden Sie schon mal raus, okay, ich habe einen Befall. Und wenn Sie dann den beseitigt oder erstmal bemerkt und beseitigt haben, geht's an die Zerstörung. Nein, geht's an die Wiederherstellung der zerstörten Daten. Das machen wir mit Snapshots. Den Löschung verhindern wir mit Multiadmin Verification. Wir können unlöschbare Snapshots mit Snaplog machen und wenn Sie wollen noch ein sicheres Offside Backup in der Cloud oder Premis. Aber in der Cloud bietet sich natürlich schon ein bisschen an mit Cloud Backup Service.Damit äh können wir, denke ich, zum Q&A Teil gehen. Ich will nicht den Teufel an die Wand malen. Ich denke, wenn Sie die Punkteberücksichtigen, sind Sie gut gerüstet für das, was auf Sie zukommt. Dann gehen wir auch mal gleich zur Q&A rüber. Wir haben oder wir waren fleißig, muss man glaub ich eher so rum ausdrücken und haben doch eine ganze Menge Fragen live beantwortet und auch im in der Q&A Funktion selber. Wenn jetzt noch Fragen auftauchen, wir sind noch paar Minuten hier und gerne jetzt rein damit in den Chat wollte ich schon sagen, den gibt's ja hier in diesemTool nicht in die Q&A Box und wir können dann noch Fragen beantworten.Ansonsten kann ich an der Stelle parallel wie gesagt etwas Werbung machen für den nächsten Monat. Das wird eine ziemlich große Veranstaltung. Das wird unser größter Lounge diesesJahr da. Wie gesagt OnP 911 mit neuen Funktionen auch im Antians be Umfeld. Wir werden neue Hardware vorstellen. Storage Grid 116 bringt eine Menge an neuen Funktionen mit. Aster Control auch der Cloud Manager, den du eben gezeigt hast, Philip, ähm werden wir da noch mal vorstellen mit neuen Funktionen etc. pp. Also, das wird sich definitiv lohnen und da werde ich sogar auch nach München für fahren, ähm weil das ganze wollen wir diesmal so ein Hybridmodell ausprobieren, das heißt mit ein wenig Onprem Publikum und äh den Rest dann in die Republik dannrausstreamen. Mal gucken, wie das nächsten Monat wird. Ja, wie gesagt, angemeldet werden kann sich dafür in der in den nächsten äh Stunden Tagen äh ich werde jetzt schnellst möglich zusehen, dass wir den Link dann einmal aktualisieren, dass man sich dann dafür diesen Hy Clown Launch anmelden kann. Das ist soweit im Hintergrund alles fertig und wer die alte Netup Kompaktfolgen sehen möchte, kann dies auf net.tv TV tun, da einfach nach kompakt suchen oder einfach hier diesem Link folgen. Wem es gefallen hat, kann sie das gerne runterladen. Ganz oben rechts äh sind die Slides als PDF hinterlegt mit allen äh Informationen und ja Links dahinter. Wir bleiben noch, wie gesagt, ein paar Minutenhier äh beantworten Fragen, so wenn sie auftauchen und ansonsten vielen Dank für die Teilnahme wieder. Vielen Dank dafür, dass ihr uns eine Stunde eures Tages äh der Zeit ähm geopfert habt in Anführungszeichen und kann an der Stelle unter sagen, tschüss, auf Wiedersehen und bis dann zum 5.7. mit dem Hy Cloud Loungch. Ich wollte an dieser Stelle ein zwei Fragen, die gekommen sind, doch mal vielleicht herausstellen und zwar es kamen solche Sachen, ob der Funktionalität die ob das Cloud Inside oder Cloud Secure das schon hat. Das ganze ist eine SAS, also Software Service Lösung, die gehostet ist. Ähm im Gegensatz zu den klassischen Installationen, die man onbrem hat und selber aufdatieren muss, ist das eine Sache, die passiert regelmäßig. Das heißt, es passieren regelmäßige Updates, äh funktionale Updates, Sicherheitsupdates und ähnliches. Das ist also eine Sache, da hat Netup die Finger drauf oder unser Betriebsteam hat die Finger drauf. Das heißt, einige von den Funktionalitäten, die gefragt worden sind und dagegen ist aber hauptsächlich in Richtung Integration in andere Managementlösungen oder Managementlösungen oder Managementlösungen oder Sicherheitsmanagementlösungen oder in Monitoring Lösungen, die sind per se jetzt im ersten Release noch nicht prioritiert priorisiert worden. Es gibt auch keine wirklich konkrete Roadmap, die wir zeigen können, aber das sind solche Sachen, solche Informationen, die jetzt kommen, die werden wir nehmen und zurück an das entsprechende Team geben. Ähm, das ist also ein ganzwichtiger Aspekt. Also, das ist eine sehr dynamische Plattform. Da wird sich sehr viel nach und nach äh ändern, inklusive solche Sachen, die das unterstützten, dass man nicht irgendwo manuell die Dateien zurückholen kann, sondern da wird es mittelfristig auch dazu kommen, dass man sagen kann, okay, jetzt habe ich ein kann ich eine Datei markieren und sagen, die will ich zurück haben. Z.B. wenn es die identifiziert worden ist, dass sie verschlüsselt worden ist. Dann können wir noch mal auf die Fragen eingehen, die jetzt noch offen sind hier in der Q&A. Multiadmin Verification. Muss das lizensiert werden oder ist das out of the box mit bei Ontap dabei? Ich denke, das ist out of the box, aber ich würde das gerne prüfen noch mal. Gibt es gut, dann reichen wir das nach als Antwort. Ja, reicht mir nach. Aber esgibt noch hier die Frage, ob das Backup Tool Snapshots löschen kann oder wurde es von beantwortet. Äh, nee, ohne eine Admengruppe zu fragen. Das sieht so aus, als eine Frage auch zu Multiadmin Verification. Ähm, also die Multiadmin Verification kann nicht umgangen werden. Das äh wenn sie das äh mit einer Backup Software, also ich weiß z.B. Bei Comwt ist das Supported mit Snaplock zusammen. Das heißt, Comwt ähm kommt mit dem Snaplock Mechanismus klar, aber das ist natürlich die Variante, wo die Snapshots dann gar nicht gelöscht werden können. Also da muss man, denke ich, schauen, wie man das sinnvoll kombiniert. Vielleicht muss man auch an einerseits vielleicht nochein Einwand dazu sagen, also die Kombination mit Snaplock,die funktioniert ja nur in Kombination mit Snap World. Das heißt, es ist nicht sozusagen der primäre Snapshot, um den es jetzt geht, den das kannst du nicht machen. Du kannst nicht ir auf dem Volume auf dem aktiv gearbeitet wird auch gleichzeitig eine Autoit äh also aus dem Volume ein Snaplock Volume machen und dann ein Autocommit für die Snapshots machen. Dasfunktioniert nicht, sondern es ist nur die Kombination aus primär Volume, auf dem ich ganz klassisch meine Snapshots habe. Diese könntenüber die ähm äh Admin Verification vor dem Schutz, also vom vorzeitigen Löschen, also nicht automatisierten, sondern vorzeitigen Löschen geschützt werden. Und dann ist dann das mit der Retention ist eine Sache, die dann einer Replikationsdestinationzuschlägt und dort kann man sagen, okay, ich repliziere von einem primären Volume in ein Snaplock Volume. Das ist dann äh das dann ähwas dann äh dass man dann gegebene Fleiß nicht über die Admin Verification, sondern einfach nur über die Retention dann äh lösen würde. Beantwortet die Frage. Okay. Feedback ist hier ein bisschen schwer. Ja. Gut,da keine Fragen mehr offen sind, würde ich jetzt die Runde hier schließen. Wenn nochFragen auftauchen sollten im Nachgang, gerne bei uns melden in der Runde bzw. beim Net Ansprechpartner des Vertrauens, der in der Regel auch bekannt ist und dann kann man sich das Ganze auch mal im Detail angucken. Daher BT Philip, vielen Dank auch für eure Zeit. Und damit würde ich die Runde hier schließen und dann sehen wir uns alle hoffentlich in größerer Runde, weil das nächsten Monat wird uns richtig groß aufgezogen denn wieder mit einer ganze Reihe an Themen denn wieder in dem Sinne noch einen entspannten Restdienstag und eine entspannte Restwoche ist ja nur noch eine kurze Arbeitswoche. In dem Sinn danke und tschüss.[musik] H [musik]
Immer cleverer ausgeführte Attacken und immer neue Angriffs-Vektoren ermöglichen der Cyberkriminalität den Weg in die Unternehmen.