Nový přístup k ochraně firemních dat v pěti krocích

Zálohování dat je dnes jen jedním z článků obranného řetězce. Skutečně účinná ochrana firemních informací vyžaduje širší pohled – a především technologii, která umí reagovat na proměnlivé prostředí a stále sofistikovanější typy útoků.

IBM, tradičně vnímaná jako dodavatel hardwaru, dnes staví bezpečnost dat na kombinaci několika klíčových prvků: odolného úložiště, chytrého softwaru, umělé inteligence a automatizace. Výsledkem je konzistentní přístup, který firmám umožňuje nejen chránit svá data, ale také rychle reagovat, pokud dojde k narušení.
V článku představíme pět základních kroků, na kterých je tato strategie postavena – a ukážeme, jak mohou v praxi pomoci zefektivnit firemní obranu proti hrozbám, včetně ransomwaru.

Všichni už jste určitě slyšeli o nejrůznějších systémech pro zabránění útokům do IT infrastruktury na síťové nebo aplikační vrstvě (EDR, XDR apod.). Na straně produkčního datového úložiště je důležité se v této fázi opřít o zcela výjimečnou hw vlastnost datových úložišť IBM vybavených Flash Core Moduly generace 4 a novějšími.Každý FCM disk, který vytváří v datovém úložišti IBM FlashSystem prostor pro data, je vybaven kromě jiných obvodů také obvodem pro detekci ransomware útoku, ten se při ukládání dat projevuje odlišnými charakteristikami oproti běžnému provozu.

Výstrahy z každého FCM se soustředí a předzpracují v paměti řadiče datového úložiště a v pravidelných intervalech pak přeposílají do nadřazeného portálu IBM Storage Insights Pro, který je schopen spustit alarm, že je úložiště a tedy IT infrastruktura pod útokem.

Kromě analýzy provozu na FCM (ale i klasických SSD či dokonce točivých discích) je datové úložiště vybaveno schopností vytvářet snímky dat, tzv. snapshoty. Ty lze v prostředí datového úložiště uzamknout, aby je případný útočník nemohl smazat, pokud by se dostal do managementu pole. Nesmazatelné snapshoty pak slouží k rychlé obnově nenapadených dat.

Obnova ze snapshotu datového úložiště je totiž významně rychlejší, než často zdlouhavé obnovování dat ze záloh za pomoci zálohovacího sw a často pomalých úložišť, mohou to totiž být i ve srovnání s AllFlash produkčním úložištěm řádově pomalejší magnetické pásky. Navíc zálohování dat se často děje například jednou denně, kdežto vytváření snapshotů může probíhat častěji a tím se kromě rychlosti obnovy zmenšuje i případná ztráta dat (bodů obnovy pomocí snapshotů může být významně více, než klasických záloh).

V této fázi můžeme využít dalších sw systémů pro analýzu dat na produkčním úložišti. Jednak lze v prostředí VMware virtualizace nasadit do vybraných virtuálních serverů tzv.senzory, ty dokáží identifikovat případný útok na virtuální server, jednak lze pomocí jiné sw komponenty analyzovat vytvořený snapshot na datovém úložišti a detekovat útok v celém prostředí VMware. Stejně tak je možné analyzovat data ve vzdálených zálohách.

IBM se dnes soustřeďuje na řešení od společnosti Cohesity. To je software definované úložiště (SDS) využívající interní disky v klasických x86 serverech k vytvoření potřebného prostoru pro ukládání záloh a jejich následnou kontrolu na obsah fragmentů ransomware útoku. Výhodou SDS je jeho jednoduchá rozšiřitelnost ve dvou směrech – navýšení diskového prostoru lze provést buď přidáním dalších disků do každého serveru nebo přidáním dalšího celého serveru. To pak má dopad i do nárůstu výkonnosti zálohovacího řešení. Narůstající objemy zálohovaných dat vedou totiž často k neúměrnému zvětšování tzv. zálohovacího okna na akceptovatelnou mez. Navýšení výkonu zálohovacího prostředí může toto potlačit.

Odstávka běhu informačních systémů je vždycky problém. A dlouhodobá odstávka pak problém nepřekonatelný. Jak jí zkrátit? Například tím, že se nám podaří obnovovat data ze zmiňovaných snapshotů – to je nejrychlejší způsob. Kontrola dat snapshotů, ale i kontrola záloh bezprostředně po vytvoření je další způsob, jak případný proces obnovy dat urychlit. Není nutné je před obnovou nejprve ověřovat, jsou-li použitelná (zkontrolovaná).

Jak je vidět, celý koncept by měl být dotažený až do pomyslné špičky, kdy se popisované systémy vzájemně propojí, doplňují a reakce na nejrůznější podněty mohou probíhat automatizovaně. V podání IBM se totoe daří, nástroj se jmenuje IBM Storage Defender. V něm se soustřeďují informace z IBM Storage Insights Pro a tím z FCM, dále pak ze senzorů, z IBM Sentinelu a také z IBM Defender Data Protect, což je výše popisovaný systém pro zálohování dat. Storage Defender dokáže vyhodnocovat nejenom informace z každé komponenty celého ekosystému, ale především tyto informace vzájemně porovnávat a hledat jejich nejpravděpodobnější vysvětlení.

Ne každý signál musí znamenat, že jsme pod kybernetickým útokem. Teprve řada vyhodnocovaných souvztažností vede k eliminaci zbytečných falešných poplachů a většímu klidu administrátorů IT systémů a majitelům společností umožní více se soustředit na chod firmy. A IBM Defender se ke všemu opírá o AI Watson, umělá inteligence v tomhle případě pomáhá chránit.