Pre vyhľadávanie sú vyžadované aspoň 2 znaky
kyber odolnost disaster recovery cyber

25. októbra 2022 Prístup Dell Technologies k ochrane dát a kybernetickej odolnosti

Kybernetická bezpečnosťProduktRady a tipy

Donedávna boli počítače či notebooky zaujímavým cieľom útočníkov. Systémy na detekciu a reakciu na koncové body (EDR) zlepšujú účinnosť detekcie škodlivého softvéru (malvéru) v systémoch Windows, preto aktéri hrozieb presúvajú svoje úsilie na vývoj a nasadzovanie malvéru v iných systémoch. Medzi ne patria sieťové zariadenia, diskové polia, servery alebo aj zálohovacia infraštruktúra.

Útoky ransomware sa zameriavajú na primárne úložné zariadenie, kde sa šifrujú dáta, ktoré sa stávajú nepoužiteľnými. Stratégia útočníka sa však môže zamerať rovnako aj na zálohovaciu infraštruktúru. K úplnej paralýze a neschopnosti obnoviť produkčné dáta prichádza, keď sú zálohované dáta rovnako zašifrované. Preto sa zálohovacia infraštruktúra stáva ďalším terčom útočníkov.

Kybernetický útok môže mať vážne dôsledky na každú spoločnosť, vrátane straty údajov, poškodenia dobrého mena, nákladov na obnovu a značných prestojov v podnikateľskej činnosti.

Kyber hrozby súčasnosti definujú nový pojem ochrany voči kybernetickým útokom a hlavne obnovu po ňom. Ide o Cyber Recovery metodológiu.

Cyber Recovery metodológia a infraštruktúra musí poskytovať nasledovné funkcionality:

  • Izolácia – fyzické a logické oddelenie produkčných a zálohovaných dát,
  • Imutabilita – zachovanie pôvodnej integrity dát,
  • Inteligencia – ML (machine learning) a analytika pre identifikáciu hrozieb zálohovaných dát.
test alternativny

Vektor útokov sa rozrastá a útočník sa dostane všade kde má po sieti prístup. Na tomto fakte stavia ochrana Dell EMC Cyber recovery, ktorá fyzicky oddeľuje zálohovaciu infraštruktúru od produkčnej. Vault alebo bunker je oddelený pomocou jednosmernej diódy a jediný styčný bod s produkčnou infraštruktúrou je IP adresa a port na nadefinovanom Dell EMC DataDomain replikačnom vzťahu.

Dátové diódy sú hardvérové elektronické zariadenia kybernetickej bezpečnosti navrhnuté s dvoma samostatnými okruhmi – jeden na odosielanie a jeden na príjem – ktoré fyzicky obmedzujú prenos údajov iba jedným smerom.

Výrobcovia zariadení OWL (one way link) majú široké portfólio produktov. Viac informácií o produktových radách určených ako owl nájdete na tomto odkaze.

Kam sa útočník alebo škodlivý softvér nedostane, tam nemôže škodiť.

Dell EMC Cyber Recovery

Dell EMC je jedným z výrobcov s najrozsiahlejšim portfóliom zálohovacích zariadení a zálohovacieho softvéru. Ransomware ochrana v ponímaní Dell EMC je založená na produktovej rade PowerProtect (známej ako DataDomain) a MTree replikácií.

cyber recovery dell emc

Replikácia MTree synchronizuje údaje medzi produkčným prostredím a izolovanou sieťou (air-gap) Cyber Recovery  trezorom. V CR trezor (vault) ​​sa vytvárajú nemenné ochranné zálohy vybraného setu produkčných dát. Samotná nemennosť prenesených dát do záložnej lokality je zabezpečená softvérovou vlastnosťou DataDomain Retention Lock.

Ťažisko implementácie je založené na vytvorení izolovaného air-gap prostredia, ktoré prijíma zálohované dáta z produkčnej lokality. Okrem zálohovaných dát je distribuovaný aj zálohovací katalóg. Celý proces je riadený Cyber Recovery softvérom, ktorý manažuje proces nemenných záloh uložených na Dell EMC DataDomain. Tieto zálohy sa môžu použiť na obnovu prostredia v oddelenom trezor prostredí. Cyber Recovery je integrované s produktmi Networker, Avamar a PowerProtect Data Manager, Veritas NetBackup.

cyber recovery dell emc

Softvér Cyber ​​​​Recovery riadi synchronizáciu dát z produkčného prostredia do prostredia CyberRecovery Vault. Po dokončení počiatočnej synchronizácie, kedy sa kopíruje celý set dát, každá nasledná operácia synchronizácie kopíruje iba nové a zmenené segmenty údajov.

Cyber Recovery je možné ďalej integrovať so CyberSense. CyberSense pridáva inteligentnú vrstvu ochrany a analýzu záložných kópií v trezore podporovanú s Machine Learning štatistikami založenými na kontrole obsahu, ktorá zisťuje známky poškodenia od škodlivého softvéru.

Strojové učenie CyberSense skúma viac ako 100 štatistických údajov založených na obsahu dát. CyberSense zisťuje hromadné mazanie, šifrovanie a iné podozrivé zmeny. Keď dôjde k podozrivému nálezu, CyberSense poskytuje forenzné správy po útoku na ďalšiu diagnostiku kybernetického útoku.

obnova po kyber utoku dell alanata

Obnova po kyber útoku

V prípade kybernetického útoku na produkčnej infraštruktúre je obnova vykonávaná v CR vaulte, ktorý spravidla obsahuje subset minimálnej infraštruktúry na prevádzku životne dôležitých služieb spoločnosti.

Viac informácií o opísanej referenčnej architektúre nájdete na priloženom odkaze.

Disaster Recovery nie je Cyber Recovery

Nasledujúca tabuľka zobrazuje kategorický prehľad a porovnanie Disaster Recovery a Cyber Recovery metodológie ochrany dát.

KATEGÓRIA DISASTER RECOVERY CYBER RECOVERY
Čas obnovy Limitne blízke Spoľahlivé a rýchle
Bod obnovy Ideálne nepretržite Primárne denné
Povaha katastrofy Povodeň, výpadok elektriny, počasie Kybernetický útok, cielený
Vplyv katastrofy Regionálne Globálne
Topológia Prepojená Izolovaná
Objem dát Komplexné, všetky údaje Selektívny, zahŕňa základné/nevyhnutné služby
Obnova Štandardný DR proces/failover,
failback etc./
Iteratívne, selektívne zotavenie; časť CR

Zhrnutie

Sumarizujme tipy a rady na ochranu pred ransomwarom (nezabránia útoku, ale môžu zmierniť potenciálne škody) a všeobecnej kyberhygieny zálohovacieho prostredia:

  • zálohujte a diverzifikujte ukladacie pamäťové médium, aby ste predišli jedinému bodu zlyhania (SPOF),
  • nasledujte princíp ukladania záloh 3-2-1, ktorý hovorí o troch kópiách dát (1 x produkčné dáta a 2 x zálohované kópie) na dvoch rôznych médiách (napr. disk a páska) s jednou kópiou mimo primárneho dátového centra na obnovu po havárii,
backup strategy dell emc alanata
  • aktualizujte SW serverov, aby ste používali najnovšie patche a firmware,
  • implementujte zásadu najmenších oprávnení pre používateľské účty,
  • sledujte sieťovú aktivitu a systémové protokoly,
  • sledujte záznamy o udalostiach, aby ste identifikovali anomálie,
  • použite kombináciu filtrovania IP, systému detekcie narušenia (IDS) a systému prevencie narušenia (IPS),
  • implementujte segmentáciu siete a rozdeľovanie údajov, aby ste minimalizovali vplyv potenciálneho útoku ransomware,
  • auditujte systémy v pravidelných intervaloch.

Ochrana dát spoločnosti začína na perimetri, pokračuje edukáciou zamestnancov, monitorovaním anomálií a disaster recovery a cyber recovery plánom.

Avatar photo
Autor
Štefan Varga
Pracujem ako vedúci oddelenia Presales v spoločnosti Alanata. V odvetví IT sa pohybujem 20 rokov a vždy sa poteším novým výzvam či projektom, na ktorých sa môžem podieľať.
Všetky články autora (2)

Mohlo by sa vám páčiť

Všetky novinky