Zaščitite se pred zašifriranjem podatkov

Kibernetski napadalci z zašifriranjem podatkov lastnikom ali uporabnikom sistema onemogočijo dostop do podatkov. Ko šifriranje zaključijo, od »žrtve« zahtevajo odkupnino v zameno za šifrirni ključ ali geslo, ki omogoča vnovičen dostop do podatkov.

Vse bolj pogosto se dogaja, da gre za dobro organizirane in sofisticirane, napredne napade, ko se napadalci po žrtvinem sistemu dobro razgledajo, preden ta izve, da so jo napadli. To obdobje je lahko tudi daljše od pol leta.

Zakaj so kopije podatkov v primeru kibernetskega napada ključne?

Zastavlja se vprašanje, kako integrirati strojno in programsko opremo ter voditi procese tako, da skupaj zagotavljajo učinkovito obrambo pred kibernetskimi grožnjami in da nam zlonamerna koda trajno ne okuži podatkov. Rešitev je periodična izdelava kopij podatkov (varnostna kopija, časovni posnetek stanja podatkov) – le tako jih bomo lahko v primeru katastrofe povrnili v svojo prvotno neokuženo obliko. IBM Safeguarded Copy (SGC) je funkcionalnost v programski opremi IBM Storage Virtualize, ki teče na pomnilniških sistemih IBM FlashSystem in SVC. Omogoča periodično ustvarjanje kibernetsko odpornih kopij podatkov (kot časovnih posnetkov stanja podatkov), ki jih ni mogoče spremeniti ali izbrisati zaradi napak uporabnika, zlonamernih dejanj ali napadov z izsiljevalsko programsko opremo.

Kako deluje IBM Safeguarded Copy?

SGC ustvari navidezno zračno vrzel (ang. “air gap”) med izvornimi podatki pomnilniškega sistema ter strežniki na eni strani in nespremenljivimi (ang. »immutable«) kopijami izvornih podatkov na drugi strani. Strežniki do teh kopij podatkov nimajo dostopa, upravljalec pomnilniškega sistema teh kopij podatkov ne more izbrisati ali jih spremeniti.

Sistem se integrira z orodjem IBM Copy Services Manager (CSM), ki omogoča nastavitev urnika izdelave kopij podatkov in koordinacijo s strežniki za zagotovitev konsistence podatkov na ravni aplikacij. V orodju CSM lahko oblikujemo več politik, ki za izbrane logične pomnilne enote (ang. »LUN«) ali skupino enot določa urnik izdelave kopij in časovno obdobje hrambe kopij. Ko ta čas poteče, programska oprema potekle kopije izbriše. Kopije podatkov se hranijo na istem pomnilniškem sistemu, zato v primeru kibernetskega napada podatke iz varovanih kopij lahko obnovimo v nekaj minutah – v nasprotju s sistemi varnostnega kopiranja podatkov, kjer se čas povrnitve podatkov meri v urah ali celo dnevih. SGC po uspešnem kibernetskem napadu torej omogoča zelo hitro okrevanje in ponovno vzpostavitev poslovanja.

V CSM s funkcijo kloniranja kopij lahko dosežemo tri cilje, izvedemo: testiranje povrnitve izvornih podatkov, povrnitev izvornih podatkov, forenzično analizo posameznih kopij podatkov. Na ta način lahko ugotovimo, kdaj so bili podatki še nedotaknjeni oz. nespremenjeni ter kdaj so nastale zlonamerne spremembe in kakšne so te spremembe.

Forenzična analiza je ključnega pomena za razumevanje vzrokov in ustrezen odziv na kibernetski napad, saj lahko celovito sliko o poteku in posledicah izvedenega kibernetskega napada ter možnostih za okrevanje po napadu pridobimo le, »ko povežemo informacije iz različnih virov (sledi o aktivnosti napadalcev v aplikacijah in strojni opremi, dnevniški zapisi aplikacij, strežnikov in požarnih pregrad, sistemi SIEM in EDR, stanje datotečnih sistemov). Le tako lahko sprejmemo ustrezne ukrepe za obvladovanje in odpravo posledic tega napada«, pojasnjuje tehnični svetovalec za infrastrukturne rešitve Tadej Bregar.

Kako je mogoče mehanizem nadgraditi?

Za še bolj poglobljeno razumevanje narave napadov in izboljšanje obrambne strategije pa je mogoče »mehanizem Safeguarded Copy razširiti oz. nadgraditi z IBM QRadar Suite, ki z vgrajenimi mehanizmi strojnega učenja omogoča samodejno analizo dogajanja na pomnilniških sistemih in avtomatizirani odziv na zaznane anomalije zaradi zlonamernega delovanja«, dodaja tehnični svetovalec za infrastrukturne rešitve Tadej Bregar.

Če želite izvedeti več o rešitvah za sodobne in učinkovite podatkovne centre, obiščite spletno stran https://kontron-slovenia.com/sl/resitve/it-resitve/ (P.R.)