Nový prístup k ochrane firemných dát v piatich krokoch

Zálohovanie dát je dnes len jedným z článkov obranného reťazca. Skutočne účinná ochrana firemných informácií si vyžaduje širší pohľad - a predovšetkým technológiu, ktorá dokáže reagovať na meniace sa prostredie a čoraz sofistikovanejšie typy útokov.

IBM, tradične vnímaná ako dodávateľ hardware, dnes stavia bezpečnosť dát na kombinácii niekoľkých kľúčových prvkov: odolné úložisko, inteligentný software, umelá inteligencia a automatizácia. Výsledkom je konzistentný prístup, ktorý firmám umožňuje nielen chrániť svoje dáta, ale aj rýchlo reagovať, ak dôjde k ich narušeniu.
V tomto článku predstavíme päť základných krokov, na ktorých je táto stratégia postavená - a ukážeme, ako môžu v praxi pomôcť zefektívniť firemnú obranu pred hrozbami vrátane ransomwaru.

Všetci ste už počuli o najrôznejších systémoch na zabránenie útokom na IT infraštruktúru na sieťovej alebo aplikačnej úrovni (EDR, XDR atď.). Na strane produkčného dátového úložiska je v tejto fáze dôležité spoľahnúť sa na celkom výnimočnú hw vlastnosť dátových úložísk IBM vybavených modulmi Flash Core 4. generácie a novšími. Každý FCM disk, ktorý vytvára dátový priestor v dátovom úložisku IBM FlashSystem, je okrem iného vybavený obvodom na detekciu ransomware útokov, ktorý pri ukladaní dát vykazuje odlišné vlastnosti v porovnaní s bežnou prevádzkou.

Výstrahy z každého FCM sa sústreďujú a predspracúvajú v pamäti radiča dátového úložiska a potom sa v pravidelných intervaloch posielajú na nadradený portál IBM Storage Insights Pro, ktorý dokáže spustiť alarm, že úložisko, a teda IT infraštruktúra, je napadnutá.

Okrem analýzy prevádzky na FCM (ako aj na klasických SSD alebo dokonca na rotujúcich diskoch) je dátové úložisko vybavené možnosťou vytvárať snímky dát, tzv. snapshoty. Tie možno v prostredí dátového úložiska uzamknúť, aby ich potenciálny útočník nemohol vymazať, ak sa dostane do manažmentu poľa. Neodstrániteľné snapshoty sa potom používajú na rýchle obnovenie nenapadnutých dát.

Obnova zo snapshotu dátového úložiska je totiž výrazne rýchlejšia ako často zdĺhavá obnova dát zo záloh pomocou zálohovacieho sw a často pomalých úložných zariadení, dokonca aj magnetické pásky môžu byť v porovnaní s produkčným úložiskom AllFlash rádovo pomalšie. Okrem toho sa zálohovanie dát často vykonáva napríklad raz denne, zatiaľ čo snapshoty sa môžu vykonávať častejšie, čo okrem rýchlosti obnovy znižuje potenciálnu stratu dát (bodov obnovy pomocou snapshotov môže byť podstatne viac ako pri tradičnom zálohovaní).

V tejto fáze môžeme na analýzu dát na produkčnom úložisku použiť iné sw systémy. Po prvé, vo virtualizačnom prostredí VMware môžu byť na vybrané virtuálne servery nasadené senzory, ktoré môžu identifikovať možný útok na virtuálny server, a po druhé, ďalší sw komponent môže byť použitý na analýzu snapshotu vytvoreného na úložisku dát a detekciu útoku v celom prostredí VMware. Takisto je možné analyzovať dáta vo vzdialených zálohách.

IBM sa dnes zameriava na riešenia od spoločnosti Cohesity. Ide o softwarovo definované úložisko (SDS), ktoré využíva interné disky v klasických serveroch x86 na vytvorenie potrebného priestoru na ukladanie záloh a ich následnú kontrolu na obsah fragmentov ransomware útoku. Výhodou SDS je, že sa dá ľahko rozšíriť dvoma spôsobmi - zväčšenie diskového priestoru možno vykonať buď pridaním ďalších diskov do každého servera, alebo pridaním ďalšieho celého servera. To má následne vplyv na zvýšenie výkonu zálohovacieho riešenia. Zväčšovanie objemov zálohovaných dát totiž často vedie k neúmernému zväčšeniu tzv. zálohovacieho okna na akceptovateľnú hranicu. Zvýšenie výkonu zálohovacieho prostredia môže tomuto faktu čeliť.
Translated with www.DeepL.com/Translator (free version)

Výpadky informačných systémov sú vždy problémom. A dlhodobé výpadky sú neprekonateľným problémom. Ako ich skrátiť? Napríklad obnovením dát z vyššie uvedených snapshotov - to je najrýchlejší spôsob. Kontrola dát zo snapshotov, ale aj kontrola záloh bezprostredne po ich vytvorení je ďalším spôsobom, ako urýchliť prípadný proces obnovy dát. Pred obnovou nie je potrebné najprv overiť, či sú použiteľné (skontrolované).

Ako vidíte, celá koncepcia by mala byť dotiahnutá do pomyselného vrcholu, keď sú opísané systémy vzájomne prepojené, dopĺňajú sa a reakcie na rôzne podnety sa dajú automatizovať. V podaní IBM sa toto darí dosiahnuť, nástroj sa nazýva IBM Storage Defender. Sústreďuje informácie z IBM Storage Insights Pro, a teda z FCM, ďalej zo senzorov, z IBM Sentinel a tiež z IBM Defender Data Protect, čo je vyššie opísaný systém zálohovania dát. Storage Defender dokáže nielen vyhodnocovať informácie z jednotlivých komponentov celého ekosystému, ale čo je dôležitejšie, dokáže tieto informácie navzájom porovnávať a hľadať najpravdepodobnejšie vysvetlenie.

Nie každý signál musí znamenať, že sme pod kybernetickým útokom. Až séria vyhodnotených korelácií vedie k eliminácii zbytočných falošných poplachov a väčšiemu pokoju správcov IT systémov, vďaka čomu sa majitelia firiem môžu viac sústrediť na chod svojej firmy. A IBM Defender sa okrem všetkého spolieha aj na AI Watson, umelá inteligencia v tomto prípade pomáha chrániť.