Zaščita varnostnih kopij pred izsiljevalskimi virusi po načelu 3-2-1

Učinkovit sistem za varovanje podatkov je v številnih podjetjih in organizacijah prej izjema kot pravilo. Kot opozarjajo v SI-CERT-u, nacionalnem odzivnem centru za kibernetsko varnost, je prvi in ključni varnostni korak za preprečevanje škode ustrezno varnostno kopiranje podatkov. V primeru, da vam napadalec kriptira podatke ali celo izbriše arhiv, je lahko nastala škoda ogromna, izgubite pa tudi možnost, da se mu zoperstavite in tako podležete denarnemu izsiljevanju.

Vendar tudi za varnostne kopije velja, da jih ne moremo zaščititi stoodstotno. A s sledenjem uveljavljenim praksam močno povečamo možnosti za uspešno restavriranje podatkov z minimalnimi izgubami časa in denarja. Proces ponovne vzpostavitve normalnega poslovanja je lahko tako hitrejši in enostavnejši. Najboljše prakse varnostnega kopiranja in arhiviranja so običajno povezane s precejšnjimi stroški in angažiranostjo IT profesionalcev, ni pa nujno tako. Ukrepi, ki ne ščitijo le pred napadi izsiljevalskih virusov, temveč tudi pred drugimi varnostnimi tveganji, so lahko dosegljivi vsakomur in se v glavnem sklicujejo na načelo 3-2-1. To, da smo premajhni in imamo premalo sredstev za ta namen, tako ne more biti izgovor, da ne poskušamo zmanjšati naše izpostavljenosti varnostnim tveganjem.

Načelo 3-2-1

• tri kopije podatkov
• uporaba dveh različnih medijev
• ena kopija na varni oddaljeni lokaciji
   

Glavni cilj tega načela je maksimiranje možnosti, da so varnostne kopije vedno na voljo. Varnostni inženirji včasih načelo dopolnjujejo z dodatnimi elementi, omenja se princip 3-2-1-1-0, vendar pa so ti v uporabi le v najbolj kritičnih okoljih.

Tudi uveljavljena programska oprema za varnostno kopiranje in arhiviranje sledi temu načelu. Običajno se ena kopija nahaja na primarni lokaciji, denimo v sistemu za arhiviranje, ki omogoča deduplikacijo, ali kar na primarnem ali sekundarnem diskovnem sistemu. Vsaj ena kopija se nahaja na oddaljeni lokaciji, bodisi na dediciranem diskovnem sistemu ali tračni enoti. V zadnjem obdobju je vse bolj zanimivo tudi hranjenje varnostnih kopij v oblaku. Pa vendar naj bi bila ena izmed kritičnih lastnosti tretje kopije (na oddaljeni lokaciji) dejstvo, da gre za »off-line« kopijo, ki ni neposredno dosegljiva preko omrežja, in torej ni izpostavljena napadu z izsiljevalskim virusom. Zaradi tega morda oblačna rešitev ni tako primerna, saj lahko napadalec v skrajnem primeru z ukradenimi gesli dostopa tudi v oblak in povzroči nepopravljivo škodo.

Prav tako pomembna kot sama izbira nosilcev in naprav, je tudi strategija, ki vključuje frekvenco, dolžino hrambe kopij in število kopij v odvisnosti od tega, kako so ti podatki vrednoteni. Vse skupaj pa je odvisno od potreb in zmožnosti organizacije, ne nazadnje pa tudi od zahtev regulatorjev.

»Kreativni« načini pridobitve dostopa do vašega omrežja in podatkov

Načinov, kako se tega lotevajo napadalci, je precej. Od spletnega ribarjenja (»phishing«), okužb z zlonamerno programsko kodo, do RDP-jev oziroma oddaljenega namizja. Slednje omogoča napadalcu dostop do ciljnega računalnika, denimo s pomočjo Windows Remote Desktop programske opreme, kar je, kot pravijo na SI-CERT-u, najpogostejši način za zlorabe.

Zanimiv je phishing oziroma spletna prevara, pri kateri napadalec pridobi občutljive podatke spletnih uporabnikov. Phishing napad največkrat poteka tako, da oseba na elektronski naslov prejme e-sporočilo, katere pošiljatelj naj bi bila spletna banka, pri kateri ima oseba urejeno spletno bančništvo. Napadalec, ki se torej predstavlja v imenu spletne banke, želi prejemnika e-sporočila prepričati, da mora nujno in čim hitreje posredovati uporabniško ime ter geslo za prijavo, saj naj bi prihajalo do nepooblaščenih vstopov.

Včasih poskuša napadalec svojo žrtev zvabiti tudi do lažne spletne strani, zelo podobne originalni spletni strani, kjer se običajno nahaja obrazec, kamor naj bi vpisali svoje uporabniško ime in geslo. Čeprav obstajajo priporočila za celo vrsto varnostnih ukrepov za preprečitev vdorov in napadov, se bomo v nadaljevanju posvetili predvsem napravam za varnostno kopiranje in arhiviranje podatkov, ki omogočajo, da poslovanje čim hitreje vrnemo v svoje tirnice, če do napada dejansko pride.

Tradicionalni in »pravi« pristop s HPE StoreOnce D2D napravami

Tradicionalne rešitve pogosto zajemajo varnostno kopiranje neposredno na primarne diskovne sisteme ali na tračne enote. Oba pristopa imata prirojene pomanjkljivosti in ne zadovoljujeta načela 3-2-1. Zakaj?

Varnostno kopiranje na datotečni sistem primarnega diskovnega sistema se izvaja na isti tip medija, zato so podatki še vedno izpostavljeni izsiljevalskim napadom, saj lahko zlonamerna programska koda zaklene varnostno kopijo na enak način kot primarne podatke. Varnostne kopije tudi zasedajo dragoceni prostor na primarnih diskovnih kapacitetah, ki niso optimirane za izdelavo in hranjenje varnostnih kopij.

Po drugi strani varnostno kopiranje na tračno enoto zadosti omenjenemu načelu, saj je varnostna kopija na drugem tipu medija in neredko na oddaljeni lokaciji. So pa tudi s tračnimi enotami povezane pomanjkljivosti, kot so ročna manipulacija in prenašanje tračnih nosilcev. Trakovi ne podpirajo deduplikacije podatkov, njihova zanesljivost se sčasoma zmanjšuje, zato je treba poskrbeti za sistematično in redno prenašanje podatkov na novejše nosilce. Tračne enote imajo še eno pomanjkljivost – zaradi počasnega zapisovanja so časovna okna za arhiviranje sorazmerno kratka, restavriranje pa dolgotrajno in ne vedno uspešno.

Omenjenim pomanjkljivostim se lahko uspešno izognemo z nakupom namenske »disk-to-disk backup« naprave, kot je HPE StoreOnce. Gre za komercialno zelo uspešno platformo s podporo deduplikaciji in kompresiji podatkov za optimizacijo in konsolidacijo varnostnih kopij. Te običajno vsebujejo večje število instanc identičnih datotek, ki po nepotrebnem zasedajo diskovni prostor, poleg tega se kopije datotek pogosto prenašajo na druge lokacije z namenom varnostne replikacije. HPE StoreOnce nam s konsolidacijo omogoča, da shranimo kar do 20-krat več podatkov na enoto diskovja kot bi jih sicer, seveda v odvisnosti od tipa podatkov. To posledično pomeni nižje stroške, možna daljša obdobja hrambe brez potrebnih nadgradenj, manjša varnostna tveganja, povezana z nerazpoložljivostjo podatkov ter zagotavljanje boljšega in hitrejšega dostopa do izgubljenih ali poškodovanih datotek.

Optimizirana WAN replikacija podatkov med HPE StoreOnce napravami omogoča učinkovito vzpostavitev oddaljenih lokaciji za varnostno kopiranje in hrambo podatkov, brez zahtev po visoko zmogljivih povezavah med lokacijami. Pomembno vlogo pri tem igra HPE StoreOnce Catalyst, ki omogoča premikanje dedupliciranih podatkov neposredno iz arhivske aplikacije med StoreOnce sistemi, brez potrebe, da bi jih pred tem »rehidrirali«, torej spravili v izhodiščno stanje. StoreOnce Catalyst prav tako omogoča replikacijo podatkov iz ene lokacije na več lokacij hkrati in kaskadiranje podatkov med lokacijami v deduplicirani obliki (izraba povezav z ozko pasovno širino).

HPE StoreOnce naprave, ki temeljijo na preizkušeni HPE ProLiant strežniški platformi, so podprte s strani vseh uveljavljenih razvijalcev arhivskih aplikacij (Veeam, Commvault, Veritas, Micro Focus ...) in omogočajo različne možnosti izbire med NAS (CIFS/NFS) in/ali VTL cilji. Naše podatke, do katerih ni mogoče dostopati neposredno s standardnimi protokoli za dostop do datotek, HPE StoreOnce naprave ščitijo, pred že omenjenimi izsiljevalskimi napadi, z dodatnim mehanizmom za preverjanje pristnosti. Tako imamo vselej na voljo varne kopije podatkov, ki jih lahko hitro restavriramo in nadaljujemo z minimalno prekinitvijo poslovanja. Naprave omogočajo neposredni ali omrežni priklop na tračno enoto za stroškovno učinkovito dolgoročno arhiviranje podatkov na trak.

V primeru, da že imamo proste diskovne kapacitete, lahko izberemo programsko HPE StoreOnce VSA rešitev in jo implementiramo kot virtualni strežnik. Zanimiva je tudi kombinacija s HPE Cloud Bank Storage oblačno rešitvijo, ki omogoča enostavno kopiranje in arhiviranje dedupliciranih podatkov v javni oblak. Trenutno velja posebna akcijska ponudba StoreOnce naprav skupaj z licencami za oblačne kapacitete po promocijskih cenah. Na voljo so izvedenke s kapacitetami od 31,5TB do 63TB. Omeniti velja še tesno integracijo s HPE 3PAR, HPE Primera in HPE SimpliVity sistemi, Oracle, SAP HANA ter Microsoft SQL strežnikom.

Razmišljajte celostno

Četudi imate natančno razdelano varnostno strategijo in sprejeto vrsto ukrepov, ki naj bi preprečevali možnost izsiljevalskega napada, lahko do njega kljub temu pride. Varnostne kopije torej niso samo eden od kamenčkov v mozaiku ustrezne zaščite podatkov in zagotavljanja kontinuiranega poslovanja, so eden njenih najpomembnejših elementov.

O podjetju ATR.SIS d. o. o.

V podjetju ATR.SIS vam nudimo celovit nabor storitev vzpostavitve in vzdrževanja IT infrastrukture ne glede na velikost vašega podjetja. Za več informacij ali za ponudbo nas pokličite na 01/620 2250 ali nam pišite.

Mitja Koželj
ATR.SIS