DELL Cyber Recovery

Riešenie kybernetickej obnovy Dell EMC PowerProtect

Riešenie kybernetickej obnovy Dell EMC PowerProtect Cyber Recovery poskytuje komplexné riešenie v boji proti ransomvéru a deštruktívnym kybernetickým útokom. Ide o vyspelé riešenie s piatimi rokmi na trhu a stovkami zákazníkov. Softvér Cyber Recovery automatizuje synchronizáciu údajov medzi produkčnými systémami a chráneným zabezpečeným úložiskom, pričom vytvára nemenné kópie v oddelení s uzamknutými zásadami uchovávania. Ak dôjde ku kybernetickému útoku, užívatelia môžu rýchlo identifikovať čistú kópiu údajov, obnoviť kritické systémy a znova uviesť firmu do prevádzky.

PowerProtect Cyber Recovery sa spolieha na koncept dátového „bezpečnostného úložiska“, ktoré je často fyzicky izolované – v uzamknutej klietke alebo miestnosti – a vždy logicky izolované cez prevádzkovú izoláciu. Toto bezpečnostné úložisko nie je ďalšie dátové centrum – zvyčajne sa nachádza vo výrobnom alebo podnikovom dátovom centre alebo niekedy u poskytovateľa riešení tretej strany. Komponenty chráneného zabezpečeného úložiska nie sú nikdy prístupné z výroby. Prístup do tohto úložiska je zabezpečený cez „prevádzkovú izoláciu“, ako je znázornené na obrázku vyššie.

Medzi kľúčové prvky riešenia Cyber Recovery patria:

• Len riešenie PowerProtect Cyber Recovery má automatizovanú, riadenú logickú izoláciu na ochranu údajov. Niektoré iné riešenia si nárokujú „izoláciu“, pretože dáta môžu byť oddelené od výrobnej siete (napríklad kópia dát uložených v cloude); avšak s týmto prístupom môžu byť údaje stále prístupné zlým aktérom a samotná kópia mimo pracoviska neposkytuje úplnú izoláciu.

• Samotné chránené zabezpečené úložisko Cyber Recovery je fyzicky a logicky izolované. Nedá sa otvoriť ani ovládať z výrobnej strany, ani k nemu nie je možné pristupovať,pokiaľ nie je osoba fyzicky v tejto trezorovej miestnosti.

• PowerProtect DD Compliance Retention Lock vyhovuje štandardu 17a-4(f)(ii). Nedá sa vypnúť bez samostatného hesla bezpečnostného pracovníka a potom len pre novo uložené dáta. Táto schopnosť bola ďalej posilnená, aby chránila pred ešte pokročilejšími útokmi, ako NTP manipulácia.

• Cyber Recovery môže chrániť a povoliť obnovu záložných sád akéhokoľvek dodávateľa, ktoré môžu zapisovať do zariadenia PowerProtect.

• V auguste 2020 sa PowerProtect Cyber Recovery stalo prvým a v čase, keď bol tento dokument publikovaný, jediným riešením, ktoré získalo potvrdenie za splnenie všetkých požiadaviek na uchovávanie údajov štandardu https://www.shelteredharbor.org .

Ako súčasť PowerProtect Data Manager a pre užívateľov so systémom Dell EMC NetWorker umožňuje PowerProtect Cyber Recovery automatické obnovenie zo zabezpečeného úložiska. Spoločnosť Dell a jej ekosystémoví partneri poskytujú komplexnú metodiku na ochranu dát, ako aj vykonávanie hodnotenia škôd a forenznú obnovu systémov alebo opravu a odstránenie škodlivého softvéru.

Technická validácia ESG

ESG vykonalo overenie a testovanie riešenia PowerProtect Cyber Recovery pomocou laboratória Dell Proof of Concept Engineering. Testovanie bolo navrhnuté na overenie všetkých hlavných prvkov riešenia Cyber Recovery, vrátane chráneného bezpečnostného úložiska Cyber Recovery, prevádzkovej izolácie a analytického nástroja CyberSense.

obrázok 3. Riadiace panely rozhrania PowerProtect Cyber Recovery Management

PowerProtect Cyber Recovery bezpečnostné úložisko

PowerProtect Cyber Recovery sa spolieha na nasadenie a prevádzku „bezpečnostného úložiska“ Cyber Recovery ako svojho základného prvku. Toto bezpečnostné úložisko ponúka viacero vrstiev ochrany na zabezpečenie odolnosti proti kybernetickým útokom, a to aj zo strany vnútornej hrozby. Presúva kritické údaje preč z povrchu útoku, fyzicky ich izoluje v chránenej časti dátového centra a na prístup vyžaduje samostatné bezpečnostné poverenia a viacfaktorové overenie. Medzi ďalšie záruky patrí automatická prevádzková izolácia, ktorá poskytuje izoláciu siete, plus odstránenie výrobne prístupných rozhraní správy, ktoré môžu byť ohrozené.

Ako je znázornené na obrázku 3, Cyber Recovery sa riadi prostredníctvom intuitívneho rozhrania, ktoré je prístupné iba z chráneného bezpečnostného úložiska, doplneného o komplexné panely stavu riešenia. Na správu je k dispozícii aj rozhranie CLI a API. Softvér Cyber Recovery nasadený v rámci zabezpečenia prostredia bezpečnostného úložiska automatizuje synchronizáciu dát medzi výrobnými systémami a úložiskom a potom vytvára nemenné kópie s uzamknutými zásadami uchovávania. Ak dôjde ku kybernetickému útoku, je možné rýchlo identifikovať čistú kópiu dát a obnoviť kritické obchodné systémy.

ESG uplatnil a potvrdil štandardné prevádzkové dátové toky a aplikačný výkon systémov súvisiacich s riešením Cyber Recovery, ako aj systémov v rámci samotného bezpečnostného úložiska. Užívatelia by zálohovali výrobné dáta a aplikácie v riešení, ako aj prostredie PowerProtect DD a Networker zobrazené v referenčnej architektúre, hoci Cyber Recovery môže byť prepojené so zálohovacími aplikáciami od rôznych dodávateľov.

Vlastnosť izolácie bude podrobnejšie prebraná v ďalšej časti tejto správy, ale v podstate je na prijímanie dát určený konkrétny, vopred nakonfigurovaný port (porty) vo firewalle bezpečnostného úložiska a potom softvér Cyber Recovery port povolí v krátkych intervaloch riadených politikou. Dáta sú „ťahané“ systémami týchto bezpečnostných úložísk zo záložného riešenia cez izoláciu a do cieľa PowerProtect DD v úložisku. Po prijatí kópie dát sa určený port deaktivuje, čím sa chránené bezpečnostné úložisko efektívne znova zapečatí. Vďaka použitiu retenčného zámku v súlade so SEC 17a-4(f)(ii) a nemennosti WORM a vyžadovaniu samostatných poverení bezpečnostného pracovníka a viacfaktorového prístupu, dizajn riešenia Cyber Recovery umožňuje v podstate nemožné, aby bolo bezpečnostné úložisko hacknuté.

ESG overilo, že Cyber Recovery zahŕňa viacero bezpečnostných vrstiev na ochranu pred votrelcami vrátane zasvätených osôb. Toto bezpečnostné úložisko nie je možné otvoriť ani ovládať zo strany výroby. Nasadenia týchto úložísk využívajú fyzickú aj logickú izoláciu – k správne nasadeným systémom bezpečnostných úložísk nie je možné pristupovať, pokiaľ osoba nie je fyzicky v tejto trezorovej miestnosti. Zámky uchovávania dát nie je možné vypnúť bez samostatného hesla bezpečnostného pracovníka.

Ako je znázornené na obrázku 3, ESG použilo užívateľské rozhranie na správu na jednoduché vytvorenie automatizovaných politík Cyber Recovery. Akonáhle cieľ PowerProtect DD spracuje dáta a izolácia sa uzavrie, Cyber Recovery urobí kópiu a súvisiaci katalóg nemenným umiestnením zámku na uchovávanie súborov na ochranu pred náhodným alebo úmyselným odstránením. Ako už bolo uvedené, uchovávanie bezpečnostného úložiska je konfigurovateľné, ale väčšina užívateľov uchováva kópie v hodnote približne jedného mesiaca.

Po zabezpečení dát, môže byť naskenovaný integrovaným analytickým jadrom CyberSense, aby sa odhalili anomálie. ESG potvrdilo, že CyberSense využíva úplnú analýzu obsahu súborov a strojové učenie (ML) vyškolené na početné útočné vektory na identifikáciu možného kompromitovania údajov. Funguje bezpečne v chránenom úložisku, kde vyhodnocuje uložené dáta, pričom každý deň prevezme viac ako 100 pozorovaní na súbor. Tieto dáta sa potom v tomto úložisku vyhodnotia pomocou nástroja ML/AI, aby sa vygeneroval verdikt o platnosti údajov. Rovnako ako v prípade funkcie izolácie, analytické schopnosti a funkcie CyberSense budú podrobnejšie prebrané neskôr v tejto správe.

Obnova dát z chráneného bezpečnostného úložiska v prípade kybernetického útoku alebo jednoducho pre postupy testovania obnovy je kritická. ESG overilo, že riešenie Cyber Recovery poskytuje množstvo spôsobov, ako možno vykonať obnovu. Riešenie obsahuje v bezpečnostnom úložisku inteligenčné nástroje na urýchlenie obnovy „čistých“ kópií.

CyberSense vynesie verdikt nad každým súborom dát, aby určil, či je „OK“ alebo „Podozrivý“. Dáta označené ako „Podozrivé“ obsahujú informácie o obsahu, ktorý je ohrozený, takže zvyšok „čistých“ dát možno použiť na obnovu. To umožňuje najrýchlejšie a najistejšie možné zotavenie, okrem toho, že to potenciálne pomáha sledovať zdroj útoku. Spoločnosť Dell tvrdí, že žiadne konkurenčné riešenie neposkytuje počas analýzy prvého prechodu špecifiká o častiach súboru údajov, ktoré mohli byť ovplyvnené; a riešenia niekoľkých konkurentov sa spoliehajú na informácie odosielané alebo extrahované z verejného cloudu SaaS roviny, ktoré pravdepodobne nebudú dostupné z výrobného prostredia, ktoré je po útoku normálne vypnuté.

obrázok 4. Správa zásad kybernetickej obnovy PowerProtect

Cyber Recovery izolácia

Koncept „izolácie“ je kľúčový pre prístup „chráneného bezpečnostného úložiska“ využívaný riešením PowerProtect Cyber Recovery. Vytvorenie úspešnej izolácie, ktorá skutočne izoluje prostredie úložiska od externých systémov a konektivity, si vyžaduje starostlivé inžinierstvo a inovatívny návrh riešenia. Spoločnosť Dell nazýva ich implementáciu „prevádzková izolácia“, aby sa odlíšila od staršej definície „izolácie“, ktorá identifikuje sieť, ktorá nie je nikdy externe pripojená. Izolácia Cyber Recovery je tiež „funkčná“, pretože príjem údajov a riadenie procesu je automatizovaný a riadený politikou a nevyžaduje žiadny manuálny zásah.

Ako je znázornené na obrázku 5 a overenom ESG, bezpečnostné úložisko a jeho systémy a údaje sú fyzicky a logicky izolované s výnimkou skutočného procesu prijímania údajov. Softvér PowerProtect Cyber Recovery zo zabezpečenia chráneného úložiska iniciuje plánovaný prenos údajov určením, konfiguráciou a krátkym povolením jedného sieťového portu na rozhraní určenom na tento účel. V laboratóriu Dell Proof-of-Concept Engineering sa údaje prenášali medzi systémom PowerProtect DD 9900 používaným ako záložné zariadenie na výrobnej strane cez krátko povolené sieťové pripojenie do cieľového systému PowerProtect DD 9900 v zabezpečenom úložisku. Dáta boli „ťahané“ zo zálohovacieho systému na výrobnej strane, takže sa nepodieľali na správe ani prevádzke sieťového pripojenia. Hneď po dokončení prenosu dát sa nielen uzavrelo sieťové pripojenie, ale deaktivovalo sa aj samotné rozhranie, čím sa obnovila úplná izolácia chráneného úložiska cez prevádzkovú izoláciu.

Riadenie izolácie bolo úplne riadené softvérom Cyber Recovery zo zabezpečeného úložiska. A aj keď bola izolácia nakrátko odomknutá, prístup je extrémne obmedzený – vždy je prístupný iba cieľ replikácie, akceptuje aktualizované údaje a komponenty zabezpečeného úložiska, vrátane predchádzajúcich kópií údajov, nie sú nikdy prípustné.

obrázok 5. Prevádzková izolácia PowerProtect Cyber Recovery

CyberSense

Spoločnosť ESG overila základnú konfiguráciu a prevádzku analytického nástroja CyberSense a funkčnosť v prostredí riešenia PowerProtect Cyber Recovery, ako je implementované v laboratóriu Dell Proof-of-Concept Engineering. CyberSense je integrovaný do celkového riešenia Cyber Recovery a pridáva inteligentnú vrstvu ochrany, ktorá pomáha nájsť poškodenie údajov, ak kybernetický útok prenikne do prostredia výroby alebo zálohovania dátového centra. Analytický nástroj CyberSense poskytuje úplne indexovanie obsahu a využíva strojové učenie na analýzu viac ako 100 štatistík založených na obsahu s cieľom odhaliť poškodenie údajov v dôsledku kybernetických prienikov.

Spoločnosť Dell tvrdí, že CyberSense nájde poškodenie až s 99,5% istotou, čo pomáha užívateľom identifikovať hrozby a diagnostikovať útočné vektory a zároveň chrániť kritický obsah, a to všetko v rámci zabezpečenia chráneného úložiska. Obrázok 6 ilustruje základné kroky analytického a reportovacieho procesu CyberSense.

•  Údaje sa skenujú vo formáte, v akom boli uložené v chránenom bezpečnostnom úložisku – napr. zálohy zostávajú v zálohovanom formáte.

• Analytics preberá viac ako 100 pozorovaní na súbor vrátane meraní, ako je entropia a podobnosť.

• Tieto pozorovania sú zhromažďované a vyhodnocované nástrojom strojového učenia, ktorý identifikoval vzory naznačujúce, že údaje boli poškodené. Pretože hľadá vzory, nie podpisy, analýza je efektívnejšia a nie je potrebné ju tak často aktualizovať. Proces sa opakuje vždy, keď sa do zabezpečeného úložiska vloží nový súbor údajov.

• Nástroje na podávanie správ a analýzy môžu pomôcť rýchlo identifikovať poškodené údaje a zdroj útoku, čo umožňuje rýchlejšiu a istejšiu obnovu.

Po replikácii údajov do zabezpečeného úložiska Cyber Recovery a použití retenčného zámku uchovávania, CyberSense skenuje záložné údaje a vytvára časové pozorovania súborov a databáz. Spustenie analýzy údajov v zabezpečenom úložisku je dôležitou súčasťou na udržanie integrity týchto údajov a na umožnenie rýchlej obnovy po útoku. Analytics pomáha určiť, či je súbor údajov platný a použiteľný na obnovu, alebo či bol nejako nesprávne pozmenený alebo poškodený, takže je „podozrivý“ a potenciálne nepoužiteľný.

CyberSense zisťuje hromadné mazanie, šifrovanie a ďalšie typy zmien v súboroch a databázach, ktoré sú výsledkom bežných kybernetických útokov. Toto skenovanie prebieha priamo na dátach v zálohovacom obraze bez potreby pôvodného zálohovacieho softvéru. Vygenerované analýzy zahŕňajú nesúlad typu súboru, poškodenie, známe rozšírenia ransomvéru, vymazania, entropiu, podobnosť a ďalšie. Výsledky analýzy potom používajú algoritmy strojového učenia na prijatie deterministického rozhodnutia o porušení údajov, ktoré naznačujú kybernetický útok.

Algoritmy strojového učenia boli trénované všetkými najnovšími trójskymi koňmi a ransomvérom a možno ich aktualizovať, keď sa objavia nové útočné vektory. Analýzy CyberSense sú obzvlášť výkonné, pretože (a) dokážu čítať cez formát zálohy, takže nie je potrebné obnovovať údaje, čo je ťažké automatizovať a môže vystaviť chránené bezpečnostné úložisko potencionálnemu riziku; (b) hodnotia celý obsah súboru, nielen jeho metadáta, aby poskytli lepší prehľad.

CyberSense presahuje riešenia len s metadátami, pretože je založený na analýze celého obsahu uložených súborov, čo poskytuje vysoký stupeň spoľahlivosti pri zisťovaní poškodenia údajov. Audituje súbory a databázy na útoky, ktoré zahŕňajú poškodenie štruktúry súborov založených len na obsahu alebo čiastočné šifrovanie vo vnútri dokumentu alebo stránky databázy. Tieto útoky nie je možné nájsť pomocou analytiky, ktorá neskenuje vo vnútri súboru, aby porovnala, ako sa mení v priebehu času. Bez úplnej analýzy založenej na obsahu bude počet falošne negatívnych výsledkov značný, čo poskytne falošný pocit dôvery v integritu a bezpečnosť údajov.

Prebiehajúce pozorovania údajov umožňujú CyberSense sledovať, ako sa obsah súborov v priebehu času mení. CyberSense generuje analýzy z komplexnej škály typov údajov vrátane základnej infraštruktúry, ako sú DNS, LDAP a Active Directory; neštruktúrované dátové súbory, ako sú dokumenty, zmluvy a dohody; duševné vlastníctvo; a databázy ako Oracle, DB2, SQL, Epic Caché a iné.

Ak CyberSense zistí známky poškodenia, vygeneruje sa výstraha, ktorá obsahuje vektor útoku a zoznam ovplyvnených súborov. Na paneli Cyber Recovery sa zobrazí kritické upozornenie a potom sú k dispozícii forenzné správy CyberSense po útoku na rýchlu diagnostiku a zotavenie z ransomvérového útoku. Ako je znázornené na obrázku 7, pomocou CyberSense môžu organizácie proaktívne vykonávať audit svojich súborov a databáz, aby zistili, kedy útok začal, a potom sa rýchlo zotaviť s poslednou dobrou verziou údajov, možno ešte predtým, ako dôjde k prerušeniu prevádzky.

obrázok 6. Proces analýzy a zostavovania CyberSense

Väčšia pravda

Organizácie prechádzajú od zamerania sa na kybernetickú bezpečnosť smerom ku komplexnejšiemu prístupu známemu ako kybernetická odolnosť. Namiesto toho, aby dúfali, že dokážu poraziť kybernetické hrozby na 100%, tak predpokladajú , že kybernetický útok bude nakoniec úspešný a organizácia sa bude musieť z útoku spamätať a obnoviť prevádzku čo najrýchlejšie a najefektívnejšie z hľadiska nákladov.

Na úspešnú obnovu kritických obchodných údajov a systémov po kybernetickom útoku musia byť k dispozícii neovplyvnené alebo „čisté“ kópie aplikácií a súborov údajov. Výzvou sa stáva, ako organizácia zabezpečuje existenciu čistých údajov a nedotknutých aplikácií. Pre mnohé organizácie je odpoveďou fyzicky a logicky izolovať kópie údajov od všetkých bežných výrobných a zálohovacích systémov, potom tieto údaje skenovať a analyzovať v zabezpečenom prostredí „bezpečnostného úložiska“, aby sa zistilo akékoľvek poškodenie a identifikovali sa čisté kópie, ktoré možno s istotou použiť na prevádzkovú obnovu.

Riešenie PowerProtect Cyber Recovery od Dell Technologies rieši dôležitú požiadavku na rýchlo sa rozvíjajúcom trhu kybernetickej odolnosti tým, že poskytuje kompletné digitálne bezpečnostné úložisko, analýzu údajov a riešenie kybernetickej obnovy. Cyber Recovery integruje kľúčové prvky celkového riešenia, vrátane automatizovanej, najmodernejšej ochrany „izolácie“, plus osvedčený analytický motor poháňaný AI, ktorý funguje zo zabezpečenia prostredia chráneného úložiska.

V stratégiách kybernetickej odolnosti sa často používajú výrazy ako „presvedčenie“ a „dôvera“ na opis úrovní účinnosti poskytovaných jedným alebo druhým riešením. Praktické hodnotenie ESG potvrdilo, že organizácie, ktoré nasadzujú riešenie PowerProtect Cyber Recovery, môžu akcionárom skutočne povedať, že majú vysoký stupeň istoty, že systémy možno po kybernetickom útoku úspešne obnoviť a že podnik bude opäť funkčný a ziskový s čo najmenším množstvom narušenia.

Dôvera je na trhu kľúčová. Tú ponúka PowerProtect Cyber Recovery – osvedčenú a modernú ochranu údajov, ktorá zlepšuje kybernetickú odolnosť. A to je presne práve to, čo mnoho organizácií hľadá.

obrázok 7. Oprava CyberSense

Záverečné informácie o autorských právach

Všetky názvy ochranných známok sú majetkom príslušných spoločností. Informácie obsiahnuté v tejto publikácii boli získané zo zdrojov Enterprise Strategy Group (ESG) považuje za spoľahlivé, ale nie sú garantované spoločnosťou ESG. Táto publikácia môže obsahovať názory ESG, ktoré sa môžu z času na čas zmeniť. Táto publikácia je chránená autorským právom spoločnosti The Enterprise Strategy Group, Inc. Akákoľvek reprodukcia alebo opätovná distribúcia tejto publikácie, vcelku alebo čiastočne, či už v tlačenej forme, elektronicky alebo inak osobám, ktoré nie sú oprávnené ju prijímať, bez výslovného súhlasu spoločnosti Enterprise Strategy Group, Inc., porušuje zákon USA o autorských právach a bude predmetom žaloby o náhradu škody v občianskoprávnych veciach a v prípade potreby aj trestného stíhania. Ak máte nejaké otázky, kontaktujte ESG Client Relations na čísle 508.482.0188.

© 2020 by The Enterprise Strategy Group, Inc. All Rights Reserved.