Jeżeli powiedzie się atak typu ransomware, ale Ty jednak masz bezpieczną kopię swoich danych i aktualne procedury Disaster Recovery (DR) to szansa na zapłatę okupu przez Twoją firmę dla grupy hakerów maleje niemal do zera. Właśnie dlatego w czasie tego typu ataku kopia zapasowa jest jednym z głównych celów.

Czy gdyby (oby się to nigdy nie wydarzyło, ale patrząc na statystyki jest to niestety bardzo prawdopodobne) Twoja firma padła już ofiarą ataku i dysponujesz kopią zapasową, masz przećwiczone i udokumentowane aktualne procedury DR istnieje ryzyko, że podczas odtwarzania danych ponownie wprowadzimy zainfekowane dane?

Raport „Sophos Whitepaper, March 2024” pokazuje branże, które padły ofiarą celowanego ataku właśnie na Systemy Kopii Zapasowych.

W jaki sposób chronić swoje backupy? Czy możesz polegać na kopiach zapasowych? W jaki sposób możesz przywrócić funkcjonowanie usług firmy w jak najkrótszym czasie i to wszystko pod presją i w atmosferze walki o przetrwanie swojego biznesu?

Cyfrowy Bunkier

Jedną z zaawansowanych strategii obrony przed atakami ransomware jest budowa tzw. Cyfrowego Bunkra.

Wielu producentów dla zbioru funkcjonalności i technologii tzw. Cyfrowego Bunkra używa zamiennie nazw również takich jak: Cyber Recovery, Digital Vault czy Cyber Vault.

Najogólniej jest to rozwiązanie, które zapewnia maksymalną ochronę danych w sytuacjach kryzysowych, takich jak:

• ataki ransomware,
• katastrofy naturalne,
• błędy ludzkie.

Poniżej opiszę, czym jest Cyfrowy Bunkier, jak działa, dlaczego jest kluczowy w strategii backupu i archiwizacji, oraz w jaki sposób chroni przed ransomware, daje gwarancję odtworzenia a co za tym idzie czyni organizację odporną na szantaże i próby wyłudzenia okupu w przypadku zaszyfrowania.

Czym jest Cyfrowy Bunkier?

Podstawową ideą Cyfrowego Bunkra jest stworzenie środowiska, które jest odporne na ataki cybernetyczne, w tym szczególnie na ransomware, oraz inne zagrożenia związane z naruszeniem bezpieczeństwa danych poprzez wydzielenie odizolowanego miejsca przechowywania danych, od reszty systemu IT organizacji.

Najważniejsze cechy Cyfrowego Bunkra to:

• Izolacja. Cyfrowy Bunkier jest oddzielony od głównej infrastruktury IT. Ma ograniczony dostęp z zewnątrz a czasami jest całkowicie odłączony od sieci (tzw. air-gapped).
• Bezpieczeństwo. Dane są przechowywane w bezpieczny sposób a dostęp do nich jest kontrolowany przez ścisłe procedury bezpieczeństwa i autoryzacji.
• Backup niezmienny. Tworzone kopie zapasowe są niezmienne (immutable lub WORM), co oznacza, że nie mogą być modyfikowane, usuwane ani nadpisane przez atakującego.
• Automatyzacja. Cyfrowe Bunkry często korzystają z zautomatyzowanych mechanizmów monitorowania i odtwarzania danych, co skraca czas reakcji na incydenty bezpieczeństwa.
• Weryfikacja jakości danych. Dane, które stanowią kopie zapasowe, są przysłowiową „ostatnią deską” ratunku dlatego muszą być pewnie. Cyfrowe Bunkry często korzystają z mechanizmów weryfikacji danych, przeszukiwania repozytoriów danych pod kątem anomalii. Wszystko po to, aby zidentyfikować zainfekowane dane oraz wspomóc administratora backupu w decyzji „z jakiej kopii się odtwarzamy?”.

źródło: https://infohub.delltechnologies.com

Cyfrowy Bunkier jako element strategii backupu i archiwizacji danych

Skuteczna strategia backupu to kluczowy element zabezpieczenia danych. Jednak tradycyjne systemy kopii zapasowych mogą być podatne na ataki, zwłaszcza jeśli są one stale podłączone do głównej infrastruktury IT. Repozytoria na kopie zapasowe w postaci udziałów sieciowych kompletnie się nie sprawdzają w kontekście odporności na ransomware.

Cyfrowy Bunkier zbudowany w oparciu o dedykowane urządzenia backupowe (ang. Backup appliances) odgrywa kluczową rolę oferując dodatkową warstwę ochrony. Jego główne cechy to:

1. Izolacja fizyczna i logiczna. W odróżnieniu od standardowych kopii zapasowych, które mogą być łatwo dostępne dla cyberprzestępców (np. poprzez zainfekowanie sieci ransomware), dane w Cyfrowym Bunkrze są całkowicie izolowane od głównego systemu. Może to być fizyczna separacja wspomnianych apliansów backupowych, jak air-gapping, która uniemożliwia bezpośrednią komunikację między bezpiecznym bunkrem a pozostałą częścią systemu.
   
   
2. Backup niezmienny i wersjonowanie. Niezmienność danych to jeden z głównych filarów Cyfrowego Bunkra. Kopie zapasowe w nim przechowywane nie mogą być zmieniane ani kasowane, co zapewnia, że nawet w przypadku włamania lub nieumyślnej modyfikacji, firma dysponuje nienaruszoną wersją danych. Wprowadzenie mechanizmów wersjonowania sprawia, że można przywrócić dane z dowolnego punktu w przeszłości, co jest kluczowe podczas rekonstrukcji po ataku ransomware. Takie funkcjonalności otrzymujemy na etapie definicji zbiorów backupu i nadawania im atrybutów WORM. Niemal każdy dostawca urządzeń backupowych oferuje taką funkcjonalność. Czasami taka restrykcja WORM na przechowywane zbiory nadawana jest raz i nie jest możliwa jej zmiana, w innym przypadku jej modyfikacja wymusza współdziałanie 2 lub więcej administratorów backupu czy tzw. Security oficerów.
   
   
3. Automatyczne testowanie i odtwarzanie. Cyfrowy Bunkier nie tylko przechowuje dane, ale również może zapewniać nam automatyczne lub ręczne wykonywane przez administratora testowanie swoich danych i ciągłą aktualizację procedur odtwarzania. To podejście minimalizuje ryzyko, że kopie zapasowe okażą się bezużyteczne w momencie ich odtworzenia a w połączeniu z:
   
   
4. Weryfikacja jakości danych. Cześć systemów, z których można zbudować Cyfrowy Bunkier dostarcza nam zaawansowaną analizę danych pod kątem ich jakości. W szczególności mamy do dyspozycji zaawansowane metody analizy przy wsparciu AI w poszukiwaniu anomalii w naszych backupach. W przypadku podejrzenia ataku ransomware, metody takie jak analiza entropii, sprawdzanie sygnatur plików, porównywanie haszy, analiza różnic oraz monitorowanie operacji na plikach mogą skutecznie pomóc w identyfikacji zaszyfrowanych plików. Analiza entropii jest szczególnie efektywna, ponieważ zaszyfrowane pliki charakteryzują się znacznie wyższą losowością, co można precyzyjnie wykryć za pomocą odpowiednich narzędzi. Większość producentów stosuje kombinację wielu technik, aby uzyskać pełen obraz sytuacji i skutecznie wykryć zainfekowane dane. Co zarazem prowadzi do sytuacji, że jeżeli już dojdzie do zaszyfrowania danych na produkcji, system ułatwia przywracanie danych co do których mamy pewność iż nie są zainfekowane.

źródło: https://www.ibm.com/flashsystem

Powyżej przytoczyłem chyba najważniejsze cechy Systemu Kopii Zapasowych jakie taki system powinien mieć, aby można o min powiedzieć, że jest Cyfrowym Bunkrem.

Czy zatem wszystkie w/w funkcjonalności musimy posiadać? Odpowiedz brzmi „Nie”. W idealnym przykładzie posiadamy system kopii zapasowych, który składuje nasze dane produkcyjne np. na aplajansach backupowych z uwzględnieniem metod redukcji danych. Wszystkie dane lub np. cześć uznanych za krytyczne są replikowane do bliźniaczego urządzenia backupowego w innej lokalizacji właśnie z uwzględnieniem „air-gappingu”. W tej drugiej lokalizacji, naszym bunkrze wszystkie dane są zapisywane jako WORM, dysponujemy silnikami analitycznymi ukierunkowanymi na wykrywanie zaszyfrowanych plików w naszym backupie lub po prostu uczących się historii naszych backupów i ukierunkowanych na wykrywanie anomalii w danych. Dodatkowo posiadamy infrastrukturę (np. w Bunkrze), na którą odtwarzany nasze dane z produkcji testując procedury DR oraz aktualizując plany RTO i RPO dla kluczowych systemów. Takie podejście jest chyba najbardziej dojrzałym i w pełni wyczerpuje definicję składowania danych w Cyfrowym Bunkrze.

Z drugiej strony, w najprostszym wydaniu można powiedzieć, że kopia migawkowa tzw. snapshot zapewnia niezmienność i wersjonowanie. Na rynku są dostępne rozwiązania pozwalające na tworzenie kopii migawkowych typu WORM wolumenów z produkcyjnych macierzy dyskowych. Kopie są tworzone w oparciu o kalendarz i składają się na historię zmian wolumenu produkcyjnego. Kopie migawkowe następnie poddawane są analizie właśnie pod kątem szyfrowania plików a taka analiza dotyczy danych na macierzach produkcyjnych a nie w backupie. Plusy oczywiste to: wczesna wiedza o zaszyfrowanych danych na macierzy produkcyjnej a poprzez analizę AI, wiedza z jakiej kopii wolumenu możesz odtworzyć wolumen produkcyjny. Wada – w jakimś stopniu analiza AI obciąża wolumeny produkcyjne a może akurat tego chciałbyś uniknąć?

A co na przechowywanie kopii migawkowych wolumenów produkcyjnych macierzy dyskowej na aplajancie backupowym? Też są takie technologie. Do tego kopia migawkowa w aplajansie backupowym może być WORM i jest poddawana analizie pod kątem wyszukiwania zainfekowanych plików.

Czy taśma LTO typu WORM albo nawet niekoniecznie WORM, przechowywana poza biblioteką taśmową np. w sejfie organizacji spełnia wymagania stawiane w kontekście Cyfrowego Bunkra? Jakkolwiek ogłaszany był zmierzch taśmy LTO, to akurat w kontekście Cyfrowego Bunkra oferują one niezwykle efektywne i bezpieczne rozwiązanie dla organizacji, które chcą chronić swoje dane przed zagrożeniami cybernetycznymi, takimi jak ransomware, oraz przed innymi rodzajami katastrof. Dzięki fizycznej separacji, długoterminowej trwałości, niskim kosztom oraz odporności na manipulację, taśmy LTO WORM wciąż są jednym z kluczowych elementów nowoczesnej strategii backupu. Z oczywistych powodów czas dostępu do danych na takich taśmach będzie wielokrotnie większy niż do danych na aplajansach backupowych. Czas dostępu faktycznie może być wykluczającą przeszkodą dla wielu potencjalnych klientów ale warto zwrócić uwagę na kolejne generacje LTO Ultrium i chociażby na to, że w generacji 12 pojemność jednego nośnika to już aż do 360 TB z kompresją.

źródło: https://www.lto.org/roadmap/

Zalety wdrożenia Cyfrowego Bunkra

Wdrożenie Cyfrowego Bunkra może przynieść organizacjom wiele korzyści:

1. Bezpieczeństwo danych krytycznych. Cyfrowy Bunkier zapewnia, że najbardziej kluczowe dane firmy są zawsze bezpieczne, niezależnie od tego, co stanie się z główną infrastrukturą IT.
2. Elastyczność i skalowalność. Dzięki nowoczesnym technologiom, Cyfrowe Bunkry mogą być łatwo skalowane w zależności od potrzeb firmy, umożliwiając elastyczne zarządzanie kopiami zapasowymi i danymi archiwalnymi. Umożliwiają replikację danych backupowych do wielu kolejnych lokalizacji.
3. Ochrona przed różnymi scenariuszami awarii. Cyfrowy Bunkier chroni nie tylko przed cyberatakami, ale także przed katastrofami naturalnymi, awariami sprzętu, czy błędami ludzkimi.

Podsumowanie

Cyfrowy Bunkier to zaawansowane rozwiązanie, które stanowi kluczowy element strategii backupu, archiwizacji i ochrony danych przed ransomware. Jego izolowana i niezmienna struktura sprawia, że dane są odporne na ataki cybernetyczne i inne zagrożenia, oferując jednocześnie możliwość szybkiego odtwarzania po awarii. W dobie rosnącego ryzyka związanego z cyberprzestępczością, wdrożenie Cyfrowego Bunkra staje się coraz popularniejszym i efektywnym rozwiązaniem wśród firm, które chcą zapewnić bezpieczeństwo swoich najważniejszych zasobów.

Wybór technologii jest bardzo szeroki. Od prostych we wdrożeniu metod typu kopie migawkowe WORM, poprzez replikacje pomiędzy aplajansami backupowymi zlokalizowanymi w różnych ośrodkach. Wdrażanie procedur weryfikacji danych czy automatyzację odtwarzania.