X
Bezpieczeństwo.
Zaszczepiliśmy się nową szczepionką, więc jesteśmy bezpieczni.
Opłaciliśmy ubezpieczenie mieszkania, więc jesteśmy bezpieczni.
Takich "więc jesteśmy bezpieczni" jest wiele w naszym życiu.
W branży IT również pojawiają się tego typu „oczywistości”.
Kupiliśmy nowy firewall, więc jesteśmy bezpieczni.
Mamy zasilacz awaryjny, więc jesteśmy bezpieczni.
Robimy kopie zapasowe, więc jesteśmy bezpieczni.
Pośród wielu opowieści o informatykach jest jedna, dzieląca informatyków na tych co robią kopie zapasowe oraz na tych co będą robić kopie zapasowe. Marka Veeam, kojarząca się z oprogramowaniem do wykonywania kopii zapasowych, zwraca uwagę na dodatkowy aspekt: będziesz sprawdzał, czy jesteś w stanie odtworzyć środowisko z kopii zapasowej.
Kopie zapasowe to nasza jedyna szansa na odzyskanie naszej pracy. Co jednak, gdy doszło (co jest czynione przez atakujących coraz częściej) do ingerencji w kopie zapasowe? Jak się bronić przed atakiem na naszą ostatnią linię obrony?
Odpowiedzią i rozwiązaniem jest najnowsze oprogramowanie marki Veeam: Veeam Backup&Replication w wersji 12.1. Firma Veeam zaprezentowała całościowe rozwiązanie bezpieczeństwa pod nazwą Veeam Data Platform 23H2.
Na to rozwiązanie składają się takie produkty jak:
Veeam Backup & Replication v12.1 – kopie zapasowe,
Veeam ONE v12.1 – monitorowanie,
Veeam Recovery Orchestrator v7 – automatyzacja odzyskiwania po awarii (dla środowisk opartych o wirtualizator VMware vSphere).
Ransomware i inne cyberataki to problem dla organizacji, ze względu na rosnącą popularność takiego ataku i ciągle zmieniający się typ zagrożenia.
Wykonywanie kopii zapasowych to podstawowa metoda. Utwardzone repozytorium to kolejny etap zabezpieczenia. Wykorzystanie odłączanych nośników w postaci taśm LTO zapewnia fizyczne zabezpieczenie danych poza terenem organizacji. W przypadku maszyn wirtualnych, można wykonywać replikację tychże, co przekłada się na skrócenie czasu przywrócenia do pełnej funkcjonalności. W ten sposób znika potrzeba czasochłonnego odtworzenia maszyn wirtualnych z kopii zapasowych. Nowością w Veeam Data Platform jest Inline Malware Scanning. Skanowanie w poszukiwaniu ransomware jest wykonywane podczas tworzenia kopii zapasowych. Kopia zapasowa, w której bloki danych będą odpowiadać wzorcom zaszyfrowanych danych, zostanie oznaczona jako podejrzana.
Inline Malware Detection potrafi wykryć całkiem nowe wzorce szyfrowania. Powtarzalną cechą zaatakowanego środowiska są pliki tekstowe zawierające żądanie okupu, linki do sieci TOR, adresy Bitcoin. Oprogramowanie skanujące analizuje dodatkowo ponad 4000 rozszerzeń plików (na przykład takie rozszerzenia jak: .encr, .wiaw, .wisz, .cdxx). Inline Malware Detection analizując różnice pomiędzy kolejnymi kopiami zapasowymi ostrzeże nas również, gdy zostanie wykryte kasowanie dużej liczby plików. Dodatkowo, Veeam Data Platform wykorzystuje bezpłatne narzędzie o otwartym kodzie źródłowym o nazwie YARA. Zadaniem YARA jest pomaganie zespołom ds. bezpieczeństwa w wykrywaniu i klasyfikowaniu nie tylko złośliwego oprogramowania, ale w odszukiwaniu zadeklarowanych wzorców danych. Można w ten sposób odszukać zapisane jawnym tekstem numery dowodów osobistych, albo numery pesel.
Najprościej - po to, aby sprawdzić, czy kopie wykonały się prawidłowo. Testowo odtwarzając dowiemy się na przykład czy nasza baza danych jest spójna i czy jest do niej dostęp. Również po to, aby mieć aktualną informację ile czasu zajmuje takie odtworzenie. A tym samym, czy przestój w pracy będzie trwał 2h czy też 8h.
Veeam Data Platform oferuje przetestowanie, w dowolnym momencie, repozytorium pod kątem zainfekowanych przez ransomware kopii zapasowych. Dzięki temu rozwiązaniu wiemy, które z punktów przywracania zostały zainfekowane. Unikamy więc żmudnego odtwarzania i weryfikowania naszych backupów.
Oprogramowanie Veeam Data Platform wdraża zasadę "czterech oczu" (Four Eyes Principle). Jest to zasada bezpieczeństwa znana też jako "zasada dwóch osób", która gwarantuje, iż żadna osoba nie ma pełnej kontroli nad systemami organizacji. Chroni przed działaniami niosącymi ryzyko dla organizacji, takimi jak przypadkowe lub złośliwe usuwanie krytycznych danych, kopii zapasowych, repozytoriów, poprzez wymaganie zatwierdzania działania przez dwie osoby. Zasada ta obowiązuje w sytuacji zmian uprawnień użytkowników konsoli Veeam. Samo wyłączenie dodatkowej autentykacji również wymaga drugiego administratora kopii zapasowych. Powiadomienia dotyczące zaistnienia zdarzenia objętego zasadą „czterech oczu” są raportowane za pomocą email. Znacząco wzmacnia to bezpieczeństwo w zakresie ochrony kopii zapasowych przed wrogim działaniem za pomocą przejętego konta.
Oprogramowanie Veeam Backup&Replication w wersji 12.1 posiada też zaktualizowany moduł do weryfikacji konfiguracji serwera kopii zapasowych. Moduł "Best Practices Analyzer" został zastąpiony przez moduł "Security&Compliance Analyzer". Dziewięć sprawdzanych punktów w poprzedniej wersji zostało rozszerzone do 31 w obecnej. Moduł pozwala każdego dnia o ustalonej godzinie wykonywać test zgodności, a wynik wysyłać za pomocą email do określonych odbiorców. Dzięki temu zwiększa się świadomość środowiska IT. Jest to również jeden z mechanizmów kontroli i wykrywania niezamierzonych zmian w środowisku.
Nowością jest mechanizm Quick Backup. Jest to przyrostowa kopia zapasowa VM, wykonywana w utworzonym wcześniej zadaniu (zadanie musi posiadać pełną kopię zapasową). Idea Quick Backup jest taka, że w przypadku wykrycia ataku ransomware – IOCs – "Indicators od Compromise" – do oprogramowania Veeam Backup&Replication jest przekazywane polecenie wykonania kopii wskazanych maszyn. Posiadamy wtedy backup z chwili ataku, co pozwala zminimalizować straty danych i ułatwia analizę powłamianiową. W nowej wersji VBR również jest dostępna opcja repozytorium utwardzonego (Hardened Repository), w którym są tworzone niezmienne kopie zapasowe. Takiej kopii nie można modyfikować, usuwać ani zmieniać w żaden sposób przez określony z góry czas. Veeam Data Platform oferuje wsparcie dla natywnych mechanizmów ochrony przed zmianami działającymi w takich rozwiązaniach jak DELL Data Domain lub HPE StoreOnce.
Wdrożenie powyższych elementów pozwala zredukować do minimum czas potrzebny na odszukanie w repozytorium bezpiecznej kopii zapasowej, wolnej od wrogiego oprogramowania. Veeam Data Platform pozwala odtworzyć maszyny wirtualne jak i całe środowisko, w stanie wolnym od infekcji.
Podsumowując: W środowisku pracowników IT zmienia się podejście do ataków ransomware. Zamiast pytania „czy atak nastąpi?”, teraz pytamy „kiedy dojdzie do ataku?”. Ważne jest być przygotowanym na to, co nieuniknione. Nowoczesne oprogramowanie marki Veeam, Veeam Data Platform 23H2, stanowi rozwiązanie przewidziane na tego typu zagrożenia. Jest to narzędzie pozwalające przejść bezpiecznie i szybko przez kryzys wywołany atakiem.