אבי שוורץ, משתף בתובנות ויכולות הגנת הסייבר שלנו בנוגע לנתונים קריטיים. איך נראית ההגנה הטובה ביותר שמספקת מענה מלא וכולל לשמירת הנכסים הקריטיים ביותר לעסק? בואו לקרוא
מאמר מאת: אבי שוורץ, Account Executive ב-Dell Technologies ישראל
שמחתי לפגוש רבים מכם בכנס השנתי הישראלי ה-Dell Technologies Forum ולשוחח על נושאי הסייבר, האיומים המתרבים, התחכום במתקפות והיכולות המקיפות שיש לנו להציע לחברות וארגונים אל מול אתגרים אלה.
בעידן של ימינו אין שאלה בכלל לגבי הצורך בהגנת סייבר, לכן מה שנותר לכם לבחון זה האם ההגנה שלכם לא רק מספיק טובה לשגרה, אלא מסוגלת גם לספק לכם מענה מעולה להתאוששות מהירה ומניעת נזק לפעילות העסקית השוטפת.
איך מקדמים הגנה טובה יותר והתאוששות מהירה? כל המידע במאמר.
כשמדובר בנתונים הקריטיים שלך, 'מספיק טוב' זה לא מספיק טוב
שחזור ממתקפת סייבר, ובפרט כופרה, הוא ללא ספק היכולת הקריטית ביותר שכל מקבל החלטות בתחום ה IT חייב לקחת בחשבון כאשר הוא מחפש לאפשר מודרניזציה והגנת הנתונים כדי להתמודד עם איומי הסייבר של ימינו. יצרנים של מוצרי גיבוי מציעים מספר יכולות הגנה ושחזור כנגד כופרה בתוך המוצרים שלהם, אבל חשוב לדעת שלא כל המוצרים מספקים הגנה שווה.
הסתפקות ב'מספיק טוב' אינה גישה מקובלת בכל הנוגע להגנה על הנתונים הקריטיים ביותר של החברה שלך מפני מתקפת סייבר. האם הייתם מסתפקים בבטיחות 'מספיק טובה' ברכב שלכם? האם הייתם מסתפקים בביטוח 'מספיק טוב' כדי להגן על הבית או המשפחה שלכם מפני אובדן אישי? אם התשובה היא לא, אז בכל הנוגע לנתונים ולאפליקציות ששומרים על העסק שלכם פועל וחי, מדוע 'מספיק טוב' מקובל?
חלק מהיצרנים טוענים שתכונות או אסטרטגיות מסוימות 'מספיק טובות' להתמודד מול מתקפת סייבר, אבל הם לא יהיו אלה שיישארו לענות על השאלות הקשות לאחר מתקפה שלא מאפשרת לשחזר את הנתונים הקריטיים. זה יהיה אתם, המנכ"ל, סמנכ"ל הכספים וה CISO שלכם שיצטרכו לספק תשובות. זו הסיבה שאם הייתי מעריך פתרונות שחזור סייבר, הייתי מתמקד בשלושת עמודי התווך שאפרט מטה כדי לראות אילו יצרנים באמת עוזרים להגן על הנכסים הקריטיים ביותר של החברה שלכם.
נעילת עותקי המידע- Retention Lock-
נעילת המידע, כלומר מניעת שינוי או מחיקה של נתונים למשך תקופה המוגדרת מראש על ידי המשתמש, מהווה צעד ראשון מצוין עבור חברות המעוניינות לשפר את חוסן הסייבר. רוב היצרנים, כולל Dell Technologies, מציעים את יכולת ההקשחה הזו. אנחנו ב Dell Technologies לוקחים את יכולת ההגנה הזו אפילו רחוק יותר. יכולת נעילת המידע במערכות Dell EMC PowerProtect (תואמת לתקן SEC 17a-4(f)) מגיעה בשני מצבים: Governance and Compliance mode. בשימוש ביכולת Governance, הנתונים נשמרים לתקופת זמן מסוימת, אך עדיין ניתן לעקוף או לשנות אותם על ידי מנהל מערכת עם אישורים מתאימים- יכולת זו בעלת ערך במקרים מסוימים של שימוש כמו legal hold. אופציית Compliance, לעומת זאת, מחמירה הרבה יותר, ואפילו מנהל עם אישורים (מתקדמים) לא יכול לערוך או למחוק נתונים במהלך תקופת השמירה שנקבעה מראש. בפתרון PowerProtect Cyber Recovery נעשה שימוש במצב Compliance, עבור נתונים המוגנים בתוך הכספת כמאפיין סטנדרטי. זאת ללא עלות נוספת או פגיעה בביצועים. ב-Dell Technologies, אנו כמובן תומכים ב-Retention Lock בשני המצבים שתוארו. אך זהו רק שלב אחד בהקשחת ההגנה כחלק מאסטרטגיית שחזור הסייבר שלכם.
בידוד המידע 'מחוץ לרשת' Air Gap-
הטכניקות של האקרים מתפתחות ללא הרף והופכות מתקדמות יותר. ברוב המקרים, האקרים יחדרו לרשת וימפו את הסביבה עוד לפני שהם פותחים במתקפה עצמה. ברגע שהאקרים נכנסים לרשת הארגונית, הם מבטיחים שכאשר הם תקפו, לא תוכלו להתאושש. הם עושים זאת על ידי הצפנת שרתי הגיבוי/הקטלוג, שינוי שעוני NTP, הצפנת שיתופי גיבוי של CIFS ו-NFS, וכן הלאה. זו הסיבה שכל כך הכרחי להחזיק עותק של המידע מחוץ לרשת, כדי להבטיח שיש לכם עותק מוגן זמין גם במקרה של התקפה.
אם תחפשו פתרונות המספקים יכולת Air Gap באינטרנט, תראו את רוב היצרנים בשוק הטוענים שהם מציעים פתרון כלשהו, אבל השטן נמצא בפרטים הקטנים. לכל אחד יש הגדרה שונה של Air Gap, כולל פשוט שמירת המידע על קלטות ושליחתם אל מחוץ לאתר. אמנם נכון ששליחת קלטת אל מחוץ לאתר מספקת עותק מנותק עם Air Gap, אבל זה מגיע עם פשרות רבות. במקרה של מתקפת כופר כל דקה חשובה, והזמן המושקע באחזור קלטות ממתקן מחוץ לאתר ולאחר מכן שחזור כל סביבת הגיבוי מהקלטת יהיה ארוך ויקר. סיכון נוסף הוא שקטלוג הגיבוי עלול להיפגע כחלק מההתקפה, מה שיהפוך את הקלטות הלא מקוונות לחסרות תועלת לשחזור או יהיה צורך באינדקוס מחדש, מה שמוסיף זמן שחזור משמעותי.
יתרה מכך, תלוי בת כמה הקלטת, האם ניתן בכלל לשחזר אותה? כולנו יודעים שקלטת מתכלה עם הזמן. מדוע תרצה להסתכן בהצבת הנתונים הקריטיים ביותר של החברה שלך במדיה שאתה יודע שהיא חשופה לכישלון?
לאחרונה, חלק מהיצרנים אף מיצבו את הרעיון של שליחת עותקים לענן ציבורי כפתרון ליישום Air Gap. הנתונים הנשלחים לענן עשויים להיות בלתי ניתנים לשינוי, אבל חשבון הענן שלך בהחלט לא. כל מה שנדרש הוא מנהל מערכת עם האישורים הנכונים (שסביר להניח שיש לתוקף מכיוון שהוא כבר פרץ לרשת הארגונית שלך) כדי למחוק את חשבון הענן שלך לגמרי, ואז כל היתרון ב Air Gap בענן נעלם.
פתרון Dell EMC PowerProtect Cyber Recovery, לעומת זאת, מספק יכולת Air Gap אוטומטי מחוץ לרשת המספק בידוד מלא למידע. פתרון PowerProtect Cyber Recovery 'מרחיק' נתונים קריטיים ממשטח ההתקפה של סביבת הייצור והגיבוי, מבודד אותם פיזית בתוך כספת מוגנת ודורש אישורי אבטחה נפרדים לגישה. הסביבה המבודדת, המופרדת על ידי Air Gap, היא הכספת, שהיא החלק המרכזי בפתרון. הכספת של PowerProtect Cyber Recovery מספקת שכבות רבות של הגנה כדי לספק חוסן מפני התקפות סייבר, אפילו מאיום פנימי. PowerProtect Cyber Recovery מאפשר אוטומציה לסנכרון הנתונים בין מערכת הגיבוי הראשית לאתר הכספת מתוך הכספת בלבד, ויוצר עותקים בלתי ניתנים לשינוי ברמת Retention Lock Compliance.
PowerProtect Cyber Recovery Analytics-
בעוד שיצרנים רבים בשוק מספקים יכולות אנליטיקה המשולבים בתוך פתרון הגנת הנתונים שלהם, חשוב להבין מה יכולות האנליטיקה הללו מציעות. רוב היצרנים רואים רק תצוגה ברמה גבוהה של הנתונים ומשתמשים באנליטיקה שמחפשת סימנים ברורים לפגיעה (corruption) בנתונים בהתבסס על ניתוח ה meta data בלבד. לא קשה לזהות פגיעה ברמת meta data בלבד, ואם פתרון מסויים ממנף ניתוח נתונים מסוג זה בלבד, הוא יפספס שינויים בתוך הקובץ עצמו שמצביעים לרוב על מתקפת כופרה/הצפנה. חלק מהיצרנים ישתמשו גם בגישה של שליחת נתונים לענן לניתוח נוסף. עם זאת, לגישה זו יש עדיין אתגרים מרובים, כולל גילוי מאוחר של איומים פוטנציאליים ומאלץ את הלקוח לשלוח נתונים קריטיים לספק הענן, שהוא מטבעו פחות מאובטח מאשר ביצוע פעולות אלו באתר המקומי, בסביבת כספת מאובטחת.
PowerProtect Cyber Recovery לא רק מספק ניתוח מלא של ניתוח תוכן אלא גם פועל בתוך הכספת, שם תוקף לא יכול לפגוע בהם. הפעלת אנליטיקה על הנתונים בכספת היא מרכיב קריטי כדי לאפשר שחזור מהיר של 'נתונים טובים ידועים' לאחר התקפה. הניתוח שלנו חזק במיוחד מכיוון שמנוע האנליטיקה סורק את המידע בפורמט שבו הוא מאוחסן בכספת ללא הצורך לשחזרו (פורמט קובץ גיבוי) עם היכולת להעריך את התוכן המלא של הקובץ, לא רק את ה- meta data. מנוע האנליטיקה מבצע יותר מ-100 תצפיות בכל קובץ. תצפיות אלו נאספות ומוערכות על ידי כלי למידת מכונה (ML) שמזהה דפוסים המעידים על כך שהנתונים נפגעו. מכיוון שאנו מחפשים דפוסים ולא חתימות, הניתוח יעיל יותר ואין צורך לעדכן אותו בתדירות גבוהה. תהליך זה חוזר על עצמו בכל פעם שנתונים חדשים מועברים לכספת. ניתן להשוות נתונים מדי יום כדי לספק תמונה מלאה של שינויים שעלולים להתרחש באיטיות רבה ושסביר להניח שכלים אחרים יחמיצו.
פתרון PowerProtect Cyber Recovery כולל עוד יכולות נוספות שלא פורטו (כגון שימוש בפרוטוקול גיבוי DD-Boost ייעודי לגיבויים), הפרדת שכבת הניהול משכבת העברת המידע, MFA, ווידוא כל בלוק שנכתב לאורך כל תקופת החיים של המידע ועוד.
לסיכום- אל תסתפקו בפתרון 'מספיק טוב'. זה יכול להיות מקובל כשמדובר בקניות בסופר, לא לשמירת הנכסים החשובים ביותר לעסק שלכם.
עבור הנתונים הקריטיים פתרון PowerProtect Cyber Recovery מספק את ההגנה הטובה ביותר עם מענה מלא וכולל לכל היכולות שצוינו.
למידע נוסף צוות ה Data Protection של Dell Technologies עומד לרשותכם:
יניב פרי – 050-9750055, [email protected]
אבי שוורץ – 052-6103409, [email protected]