Wstęp do serii artykułów CommVault
Wszyscy pamiętamy 11 września 2001 roku i atak Al-Kaidy na USA. To wydarzenie, które przyniosło wiele ofiar i zmieniło historię XXI wieku. Ale 11 września w IT to data innego ataku, który powinien zostać dobrze zapamiętany. Tego dnia , ale już 2023 roku grupa Scattered Spider dokonała udanego „ataku” na jedną z największych sieci kasyn w Las Vegas – grupę MGM. Zainicjowane zostało przez prosty phishing polegający na podszycie się pod pracownika MGM na podstawie danych z LinkedIn i otrzymanie nowego hasła z helpdesku firmy. Z pomocą ransomware zaszyfrowano główną farmę serwerów wirtualnych MGM, ukradziono też dane wrażliwe klientów kasyn. Był więc to tak zwany double extortion attack – kiedy dodatkowym powodem przekonującym do zapłacenia okupu jest groźba ujawnienia skradzionych danych. Nie działał system rezerwacji, jednoręcy bandyci, strona www i wiele wewnętrznych aplikacji. 26 dni zajęło ponowne doprowadzenie systemów do działania. Straty zgłoszone przez MGM do amerykańskiego regulatora wyniosły co najmniej 100mln USD, dodatkowo 10mln USD wydano na zewnętrzne zespoły cyberbezpieczeństwa, prawników, konsulting. Skradziono numery kart kredytowych, numery ubezpieczenia, paszportów i inne klientów z całego świata. Gwałtownie spadła cena akcji MGM. To nie kończy sprawy – przeciwko MGM rozpoczęło się wiele spraw sądowych. Czy można było tego uniknąć ? Na pewno można było ograniczyć skutki i zminimalizować koszty.
Backup – na celowniku hackerów
Od kilku lat, w erze rozkwitu ransomware, systemy backupowe stają się jednym z pierwszych celów ataku. Klient, który nie ma żadnej szansy na odzyskanie danych , jest dużo bardziej skłonny aby zapłacić okup. Kopie zapasowe to także łakomy kąsek dla hackerów wspieranych przez wrogie państwa – jak Rosja czy Białoruś. Dlatego musimy dołożyć wszelkich starań, aby rozwiązanie backupowe, na które się zdecydowaliśmy było w najwyższym stopniu bezpieczne, i gotowe do tego aby nie tylko pozwalać na szybkie odzyskanie danych, ale także na ochronę przed włamaniem i potencjalną reinfekcją, po odtworzeniu zarażonych plików. Warto więc pamiętać, że wiele ataków jest prowadzonych przy pomocy luk w oprogramowaniu firm trzecich – tzw. supply chain attacks. Jeśli korzystamy więc z systemów bezpieczeństwa czy backupowych, których dostawcy są powiązani z Rosją i innymi bandyckimi krajami – sami zapraszamy FSB do infiltracji i szturmu na nasze środowisko.
Cyberodporność systemu backupowego
Zanim zainwestujemy w system backupowy sprawdźmy, jakie posiada zabezpieczenia przed cyberprzestępcami. Czy zbudowany jest w architekturze Zero-Trust, czy posiada wielopoziomową autentykację (Multi Factor Autentication), wieloosobową autoryzację krytycznych działań administracyjnych jak wykasowanie pliku backupowego (Multi Person Authorization). Ważne jest też zarządzanie oparte na rolach (RBAC – role based access control), możliwość korzystania z zewnętrznego systemu zarządzania kluczami, który preferuje klient (KMS – key management system), rozwiązania do wczesnego wykrywania trwającego ataku hackerskiego (cyberdecepcja – deception systems, bazujące na pułapkach udających rzeczywiste zasoby). Pożądane jest wykrywanie anomalii na produkcji i w plikach backupowych, identyfikacja danych wrażliwych przechowywanych w niewłaściwych lokalizacjach (co redukuje ryzyko kradzieży danych i szantażu), skanowanie backupów pod kątem malware w celu niedopuszczenia do ponownej infekcji po odtworzeniu. Konieczne jest posiadanie odseparowanego galwanicznie (air-gapped) repozytorium na złotą, niezmienną kopię danych oraz możliwość regularnego testowania procesu odtwarzania po cyberataku, w bezpiecznym odizolowanym środowisku (Isolated Recovery Environment, Cleanroom) – dająca nam pewność, że poradzimy sobie nawet jeśli całe nasze środowisko będzie zaszyfrowane. I co powinno być pewnikiem – system backupowy umożliwiający działanie zarówno z chmury jak i z lokalnego datacenter, pozwalający na ochronę danych/aplikacji zarówno w chmurze publicznej jak i w odizolowanym od Internetu, wojskowym centrum danych.
Czy system posiadający wszystkie powyższe funkcjonalności jest dostępny na rynku? Platforma Commvault jest spełnieniem wszystkich powyższych postulatów.