Die Bedrohungslage verschärft sich: Die Allianz bewertet Cyber Incidents als größtes Geschäftsrisiko überhaupt. Das BSI spricht von „massenhafter Verbreitung raffinierter Angriffsmethoden durch Organisierte Kriminalität.“ An vorderster Front stehen hier natürlich IT-Sicherheitssysteme. Aber wie die letzten Angriffe – unter anderem mit Ransomware – zeigten, greifen diese nicht immer. Und dann sind oft sehr viele oder sogar alle Daten inklusive der Backupdaten zerstört. Hier hilft dann nur noch die Daten von einem Physical-Air-Gap-Medium zurückzusichern. Sehen Sie, warum Tape das sicherste Medium ist. Erfahren Sie auch, warum nahezu alle große Cloud-Service-Provider Tape einsetzen. Sehen Sie die zukünftige Roadmap, Produktentwicklung und die weiteren Einsatzgebiete von Tape.
Josef Weingand ist Business Development Manager für Tape Storage bei IBM, zuständig für die DACH-Region. Er hat über 23 Jahre Erfahrung im Tape Storage und arbeitet sowohl im Technical Support als auch im Sales Support für Data-Protection-, Data-Retention- und Tape-Lösungen. Er hat an mehreren IBM Redbooks mitgearbeitet und einige Patente im Storage-Bereich erarbeitet.
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
1. IBM Storage for
Cyber Resiliency
Ohne Air-Gap & Tape sind Sie
verloren!
TAPE $AVES: COST • ENERGY • DATA • COMPANY
Infos / Find me on: weingand@de.ibm.com, +49 171 5526783
Blog http://sepp4backup.blogspot.de/
http://www.linkedin.com/pub/josef-weingand/2/788/300
http://www.facebook.com/josef.weingand
http://de.slideshare.net/JosefWeingand
https://www.xing.com/profile/Josef_Weingand
https://www.xing.com/net/ibmdataprotection
Josef (Sepp) Weingand
Business Development Leader DACH – Data Retention Infrastructure - Tape Storage
The Last Line of Defense!
2. Cyber Resiliency ist die
Fähigkeit eines Unternehmens
trotz Cyper-Attacken die
gewünschten Ergebnisse zu
liefern.
1 : 3
Wahrscheinlichkeit
eines Datenverstoßes
in den nächsten zwei
Jahren
34%
von Datenverletzungen
sind interne Akteure
beteiligt
Planning + Protecting + Testing + Learning
196 Tage
halten sich Hacker im Firmennetzwerk auf
bevor der große Angriff (Big Bang) erfolgt!
Identify
Recover
Detect
Protect
Respond
3. Allianz: Cyberkriminalität weltweites Unternehmensrisiko
Nummer eins
Teure Ransomware
…vor wenigen Jahren 10.000 bis 20.000 Euro übliche Summen, inzwischen werden zweistellige Millionensummen
verlangt.
USA: zwischen Februar 2018 und Oktober 2019 -> 144 Millionen US-Dollar
4. IBM Systems
Unternehmen, die angegriffen wurden:
• Aug, 2020: Confirmed: Garmin received decryptor…the ransom demand was $10 million
• https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/
• Jan., 23th 2020: Schwerer Hackerangriff auf Gedia in Attendorn - Zwangsurlaub für 300 Mitarbeiter
• https://www.lokalplus.nrw/nachrichten/wirtschaft-attendorn/schwerer-hackerangriff-auf-gedia-in-attendorn-zwangsurlaub-fuer-300-mitarbeiter-39871
• Jan., 6th 2020: Bike-Hersteller gehackt Canyon Opfer von Cyber-Angriff
• https://www.mtb-news.de/news/cyber-angriff-canyon/
• Jan., 7th 2020: Travelex being held to ransom by hackers
• https://www.bbc.com/news/business-51017852
• Dec., 13th: Betrieb im Klinikum Fürth nach Hacker-Angriff eingeschränkt
• https://www.sueddeutsche.de/gesundheit/krankenhaeuser-fuerth-betrieb-im-klinikum-fuerth-nach-hacker-angriff-eingeschraenkt-dpa.urn-newsml-dpa-com-20090101-191213-99-127807?fbclid=IwAR270f0HknGRSy7FxZOSvRURT6HbQ2taej03F7iysq1nCxekY6AqL8VwhUw
• Nov., 2019: Ransomware "NextCry" greift Nextcloud-Server an
• https://www.heise.de/security/meldung/Ransomware-NextCry-greift-Nextcloud-Server-an-4588421.html?fbclid=IwAR2WYeuNCPQb70Ie7Rcp4Ued5iSKIqlzPrROeho60gQjoB1ruIiyXLU_gQA
• Oct., 19th 2019: B2B Payments Firm Billtrust
• https://krebsonsecurity.com/2019/10/ransomware-hits-b2b-payments-firm-billtrust/
• Christmas Eve 2018: cloud hosting provider Dataresolution.net
• https://krebsonsecurity.com/2019/01/cloud-hosting-provider-dataresolution-net-battling-christmas-eve-ransomware-attack/
• Sept. 6th 2019 Stadt Neustadt: “Außerdem habe man wieder Bandsicherungen eingeführt: ..Damit könne man nach Notfällen die Grundstruktur
der IT schnell wiederherstellen.“
• https://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html?fbclid=IwAR2ZiQsY0BSkluf5nAnUmW0hQiMjvSxfoe5SIe0e8xAbvffAcuQpM-yOFZo
• May 2019: Die Swisswindows AG meldet Konkurs an und stellt alle ihre 170 Angestellten auf die Strasse. Der Fensterhersteller fällt einer
Cyberattacke zum Opfer. Zwar hätte eine externe IT-Firma täglich Backups durchgeführt, aber auch diese seien durch die Attacke
unbrauchbar geworden.
• https://www.blick.ch/news/schweiz/ostschweiz/swisswindows-ag-macht-per-sofort-dicht-170-mitarbeiter-entlassen-hacker-angriff-versetzte-den-todesstoss-
id15771321.html
• Sept. 2 2017, cloud hosting provider Cloudnine Real Time
• https://www.accountingtoday.com/opinion/the-tech-take-what-happened-at-cloudnine
• Payroll software provider Apex Human Capital Management
• https://krebsonsecurity.com/2019/02/payroll-provider-gives-extortionists-a-payday/
• Cyberangriff bei Pilz - Major German manufacturer still down a week after getting hit by ransomware
• https://t3n.de/news/cyberangriff-pilz-komplette-1209802/
• https://www.zdnet.com/article/major-german-manufacturer-still-down-a-week-after-getting-hit-by-ransomware/
• April 2019: Cleveland Hopkins International Airport suffered a ransomware attack.
• April 2019: Augusta, Maine, suffered a highly targeted malware attack that froze the city’s entire network and forced the city center to close.
• April 2019: Hackers stole roughly $498,000 from the city of Tallahassee, Florida’s employee payroll system.
• March 2019: Albany, New York, suffered a ransomware attack.
• March 2019: Jackson County, Georgia officials paid cybercriminals $400,000 after a cyberattack shut down the county’s computer systems.
• March 2018: Atlanta, Georgia suffered a major ransomware attack.
4
5. IBM Systems
Ransomware
• Ransomware bedroht das Überleben von Unternehmen
• https://www.zdnet.de/88379349/ransomware-bedroht-das-ueberleben-von-unternehmen/
• „ Mehr als 1.000 börsennotierte Unternehmen in den USA sehen Ransomware mittlerweile als
ernstzunehmendes Risiko für ihr Geschäft an. Die Schadenssummen haben enorme
Dimensionen angenommen, sowohl durch die geforderten Lösegelder als auch durch die
Ausfallzeiten bei einer erfolgreichen Ransomware-Attacke.“
• „ ... Selbst wenn Unternehmen die Lösegeldforderung bezahlen, dauert die Entschlüsselung der gesperrten Daten in der
Regel Tage, die Datenwiederherstellung weitere Tage oder Wochen. Unternehmen müssen also durch den Ransomware-
Angriff mit Ausfallzeiten von Wochen oder Monaten rechnen.“
– „Der Aluminiumhersteller Norsk Hydro meldete Kosten von über 75 Millionen Dollar für die Datenwiederherstellung und den Produktionsausfall
während eines zweimonatigen Zeitraums.“
– „Travelex benötigte Wochen für den Neustart seiner Services nach dem Ransomware-Angriff im Dezember 2019 und wurde anschließend von
der Covid19-Krise getroffen. Das Unternehmen steht nun zum Verkauf, da die Aktien in den Keller gingen und die Verluste zunahmen.“
6. IBM Systems
Attacken werden aggressiver
▪ Hackers betreiben Social-Engineering
▪ Hackers bekommen Zugriff zum Netzwerk durch Tronjaer
• Meist mit Emutet (in vertrauenswürdiger Email)
▪ Hackers durchforschten Hackers das Netzwerk und suchen
nach wertvollen Zielen
• Hackers sind im Durchschnitt ca 200 Tage im Netzwerk
▪ Hackers zerstören Backupdaten
• Container Pools, Storage Pools, Disk Backups
• Backup Appliances (e.g. DD)
• Snaps (SnapVaults, offline Snaps, etc.)
▪ Danach kommt es zum „Big Bang“ und die Daten werden
verschlüsselt
| 6
7. IBM Systems
warnt vor gezielten Angriffen auf Unternehmen
• „Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte
Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren….“, so BSI-Präsident
Arne Schönbohm.
• ….Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden
Zielen koordiniert Ransomware auf den Computersystemen aus. …aufwändige Vorgehen können Angreifer deutlich
höhere …zunehmend auch IT-Dienstleister betroffen..
• Es droht ein kompletter Datenverlust
…gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr
zur Wiederherstellung der Systeme .., können die Angreifer wesentlich höhere Lösegeldbeträge fordern. .., die
über keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf
externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle bekannt, bei denen die Verschlüsselung aller
Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die
betroffenen Unternehmen alle Daten verloren haben.
• https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/BSI_warnt_vor_Ransomware-Angriffen-240419.html;jsessionid=79E52BD70F262A8D8DF94C72D4CCDE49.1_cid351 24.04.2019
▪ BSI Leitfaden „Ransomware“:Dabei liefern Snapshots bzw. Backup-to-Disk …auch das Risiko, dass sie selbst der
Verschlüsselung zum Opfer gefallen sind
• 5.2 Backups / Datensicherungskonzept: Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten
gewährleistet ist. ...Insbesondere müssen die Daten in einem Offline-Backup gesichert werden, da viele Ransomware-Varianten auch Online-Backups, … verschlüsseln.
• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf;jsessionid=79E52BD70F262A8D8DF94C72D4CCDE49.1_cid351?__blob=publicationFile&v=6
| 7
Ohne Tape verlieren Sie all Ihre Daten!
=> Erweiteren Sie jetzt Ihre Backupumgebung mit Tape!
8. IBM SystemsIBM Systems
Beispiel: Unternehmen in DACH!
▪ Börsengelistetes Unternehmen mit ca 15 000 Mitarbeiter und 4 Millarden € Umsatz
▪ Setzt Spectrum Protect mit Disk Container Pools ein
• Backup der Disk Container Pools auf Tape
• Auf Grund der neuen Disk Backup Umgebung wurde die Tape Hardware verringert
▪ Kommunikationssystem wurden bereits 3 Monate vorher befallen
▪ 3 Monate später:
• Alle Daten wurden verschlüsselt bzw. zerstört
• Kriminalbehörden empfahlen kein Lösegeld (Ransomware) zu bezahlen
• Kunde war nicht mehr in der Lage zu kommunizieren, Rechnungen zu bezahlen, Aufträge
anzunehmen, Löhne zu bezahlen, etc.
• Der einzige Weg das Unternehmen vor dem Konkurs zu bewahren, war der Restore der Daten von
Tape
• Durch die verringerte Tape-Infrastruktur hätte der Restore der Daten von Tape bis zu 4 Wochen
gedauert
• Kurzfristig konnte zusätzliche Tape Hardware installiert werden und das Unternehmen war nach 2
Wochen wieder online!
| 8
9. IBM SystemsIBM Systems
Tape ist das einzig Wahre Air-GAP!
▪ Tape ist offline
▪ Tape ist ein sequentielles Medium
• Nur ein User/Job zur gleichen Zeit
▪ Daten auf Tape können nicht gelöscht
werden
▪ Daten auf Tape können nicht geändert
werden
▪ Daten auf Tape können nur überschrieben
werden
• Dauert pro Kasset zw. 8-14h
| 9
Online disk data is
exposed to corruption
Use offline tape storage
for outstanding protection
The Last Line of Defence!
10. IBM SystemsIBM Systems
Zusammenfassung Cyber Resilience
▪ Die Sicherung der Daten auf ein Air-Gap Medium, wie Tape, ist heute unumgänglich. Da nur Tape ein
Restore der Daten nach einem umfangreichen Hacker-Angriff ermöglicht. Nach einem Hackerangriff
muss man derzeit vom schlimmsten Desaster ausgehen, sprich alle Daten sind entweder
verschlüsselt, bzw. mutwillig zerstört.
▪ Deshalb ist eine Sicherung der Daten auf Tape lebensnotwendig. Auch die Spectrum Protect DB
muss auf ein "Air-Gap" gesichert werden.
▪ Folgende Punkte sollten kurzfristig überprüft werden sollte:
• a) Regelmäßige Sicherung der volhist und der Device Config auf ein "Air-Gap" Medium
• b) Sicherung des disaster recovery manager (DRM) auf ein "Air-Gap" Medium
• c) Sinnvolles Einsetzen von Colocation um ein schnelles Restore von Tape zu ermöglichen
▪ Des weiteren sollten RTO bzgl eines kompletten Datenverlust hinterfragt werden. Ev sollte hierzu ein
RTO' definiert werden und die Prioritäten der Restorereihenfolge.
| 10
11. IBM SystemsIBM Systems
0.01
0.10
1.00
10.00
100.00
1000.00
1989
1991
1993
1995
1997
1999
2001
2003
2005
2007
2009
2011
2013
2015
2017
2019
2021
2023
2025
2027
ArealDensity(Gbits/in2)
Year
HDD demos 2008-2015
16%/year
2015-2025 INSIC
Tape Roadmap
33.3%/year
Tape Products
1994-2018
34%/year
HDD Products
1991-1998
55%/year
HDD Products
1998-2002
108%/year
HDD
Products
2003-
2009
39%/year
HDD Products
2009-2018
7.6%/year
HDD demos
1991-1998
39%/year
HDD demos
1999
199%/year
HDD demos
2000-2008
34%/year
Tape
Demos
34%/year
201 Gbit/in2
sputtered tape
~2028
123 Gbit/in2
BaFe tape
Tape
▪ Exponentielles Datenwachstum, aber nur noch geringe
Steigerungsraten bei HDD
▪ < 10% CGR
▪ Tape: Kapazitätswachstum 40% pro Jahr
▪ Heute 20 TB … in 10 Jahren 330 TB
▪ Sehr lange Lebensdauer von über 30 Jahren
▪ Zuverlässigkeit
▪ Bit-Error-Rate wesentlich besser als HDD
▪ Tape ist offline => Tape Air-Gap
▪ Tape ist sehr schnell
▪ 1,4 TB/h –mit 20 Drives bis zu ~700 TB/d
▪ Energieeffizient und schützt das Klima
▪ Kein Energie notwendig nachdem die Daten geschrieben wurden
▪ Hohe Speicherdichte, spart Stellfläche - 20 PB/m²
▪ Nur 1/5 der TCO von Disk – wird sich bis auf 38x in 2025 verbessern
| 11
The main net advantage
of tape is low cost !
Online disk data is
exposed to corruption
Use offline tape storage
for outstanding protection
Tape is the Last Line of Defense!
PAUKER Alena
12. IBM SystemsIBM Systems
IBM Forschungslabor Rüschlikon: Tapetechnologie
Demonstration August 2017
Areal recording density :
201 Gb/in2
20x TS1155 areal density
→ 330 TB cartridge capacity
Mit dieser Demonstration zeigt IBM das Potential
zur Steigerung der Kapazität für Tape auf!
CAGR 30-40 %
Derzeitige HDDs: kleinere Steigerungsraten des Kapazitätswachstum
10TB Drive (2015) 7 platters - CAGR 29%
14 TB 9 platters (2017) – CAGR18%
15 TB 9 platters (2018) – CAGR 7,1%
16 TB 9 platters (2019) – CAGR 6,6%
18 TB (2020) – CAGR 8%
Kostenvorteil von Tape wird sich vergrößern!
13. IBM SystemsIBM Systems
Tape Renaissance: Datenwachstum und die Lücke mit Disk
Bisher war die Kapazitätssteigerung auf den Disk größer als das Datenwachtum. In Zukunft wird aber das
Datenwachstum wesentlich größer sein!
Bedeutet wir müssten mehr Disk/HDDs installieren oder mehr auf Tape setzen!
Wir sollten die „Tape is dead“ Diskussion endlich begraben!
14. IBM Systems
Tape Drive History and Roadmap
LTO
Generations
LTO-5 LTO-6 LTO-7 LTO-8 LTO-9 LTO10
Capacity
(Native)
1.5 TB 2.5 TB 6 TB 12.0 TB 18 TB Up to 36 TB
Other Format
Capacities
800 GB
(400 GB R/O)
1.5 TB (L5)
(800 GB R/O)
2.5 TB (L6)
(1.5 TB R/O)
9 TB (M8)
6 TB (L7)
12 TB (L8) Up to 18 TB (L9)
Native Data Rate 140 MB/s 160 MB/s 300 MB/s 360 MB/s Up to 400 MB/s Up to 500 MB/s
Any statements regarding IBM's future direction and intent are subject to change or withdrawal without notice, and represent goals and objectives only.
2008
2010
2011
2013
TS1130 TS1140 TS1150 TS1155 TS1160 TS1170 TS1180
New Format
Capacity (Native)
1 TB (JB)
640 GB (JA)
4 TB (JC)
1.6 TB (JB)
10 TB (JD)
7 TB (JC)
15 TB (JD)
20TB (JE)
15 TB (JD)
7 TB (JC)
Up to 60-40 TB
(JF)
Up to 25 TB (JE)
15 TB (JD)
Up to 120-80 TB
(JG)
Up to 50 TB (JF)
Other Format
Capacities (Native)
700 GB (JB)
500 GB (JA)
300 GB (JA)
1 TB (JB)
700 GB (JB)
(All JA R/O)
4 TB (JC) 7 TB (JC)
4 TB read only (JC)
10 TB (JD)
7 TB (JC)
4 TB (JC)
10 TB (JD) JE / JF
Native Data Rate 160 MB/s 250 MB/s 360 MB/s 360 MB/s 400 MB/s
FC-16
Up to 500 MB/s
FC-16
Up to 1000 MB/s
FC-32, 25 GibE
2014
2015
2017
2017
2018
Media Investment
Protection
next tape drive
generation re-writes
JE-media with 50%
more capacity and
reduce €/GB by 50%
LTO9+6-12 months LTO10+6-12 months
15. IBM Systems
IBM Tape Storage
Tape Drives Tape Libraries Tape Virtualization & D2D
TS7700
• VTS für zOS
TS31/3200
• 22 / 44 Slots
TS2900
• 9 Slots
1 HH
128
Media
LTO 7
•6 TB
• 300 MB/sec
IBM Spectrum Protect / IBM Spectrum Archive
TSLM
TS4500
• 100 – 23 170
Slots
TS1150
• 10 TB
• 350 MB/sec
LTO 6
• 2500 GB
• 160 MB/sec
TS1155
• 15 TB
• 350 MB/sec
TS4300
• 40 – 280 Slots
• bis zu 21 Drives
21 HH
LTO8
• 12 TB
• 360 MB/sec
Whats new!
Mai 2017
TS1155 Tape Drive: 15 TB / 360 MB/sec
Juli 2017
TS4300 Tape Library: 280 Slots / 21 LTO Drives
Oktober 2017
LTO 8: 12 TB / 360 MB/sec
November 2018
TS1160: 20 TB / 400 MB/sec
Oktober 2019
TS7770: Power9, Cloud-Tiering
TS1160: Ethernet-Anschluss
März 2020
TS7770: Rackmount-Option
Juli 2020
TS1160: SAS Anschluss
TS1160
• 20 TB
• 400 MB/sec
16. IBM SystemsIBM Systems
SAS Anschluss für Enterprise Tape
▪ Größeres Interesse nach kostengünstigen Anschluss für Tape
• Besonders für Hyperscale Datacenters
▪ SAS Connection im Mid-Range Tape Umfeld schon lange verfügbar (TS4300)
▪ SAS Anschluss für Enterprise Tape seit August 2020
• SAS full-high Tape Drives: TS1160 und (demnächst) LTO-9 in TS4500
▪ SAS Connection
• Nachteile: Kabellängen, Switching
• Server/Datamover „nah“ an der Tape Library
• Top-Rack-Frame 5U & 10U
| 16
17. IBM Systems
Josef (Sepp) Weingand
Business Development Leader DACH – Data Retention Infrastructure - Tape Storage
Infos / Find me on: weingand@de.ibm.com, +49 171 5526783
Blog http://sepp4backup.blogspot.de/
Facebook https://www.facebook.com/Sepp4Tape/
http://www.linkedin.com/pub/josef-weingand/2/788/300
http://www.facebook.com/josef.weingand
http://de.slideshare.net/JosefWeingand
https://www.xing.com/profile/Josef_Weingand
https://www.xing.com/net/ibmdataprotection
20. IBM SystemsIBM Systems
Trademarks
▪ The following terms are trademarks or registered trademarks of the IBM Corporation in either the United States, other countries or both.
– IBM, GDPS, Spectrum Storage, Spectrum Archive, Spectrum Scale, System Storage, System z, Virtualization Engine
▪ Linear Tape File System, Linear Tape-Open, LTO, the LTO Logo, Ultrium, and the Ultrium logo are trademarks of HP, IBM Corp. and Quantum in the U.S. and other countries.
▪ Other company, product or service names may be trademarks or service marks of others