Kā uzbūvēt spēcīgu aizsardzību ar datu krātuves palīdzību? 0
Izspiedējprogrammatūru uzbrukumi tiek veikti arvien biežāk. Informācijas tehnoloģiju izpētes un konsultāciju uzņēmums Gartner paredz, ka līdz 2025. gadam vismaz 75 % no IT organizācijām saskarsies ar vienu vai vairākiem uzbrukumiem. Īpaši rafinēti uzlaušanas rīki un izspiešanas stratēģijas ir padarījušas izspiedējprogrammatūras par lielāko draudu individuālo, uzņēmumu un valstisko datu drošībai.
Nepārtraukti izspiedējprogrammatūru uzbrukumi rada lielus zaudējumus
Uzbrukuma brīdī izspiedējprogrammatūras nozog un šifrē vērtīgus datus. Šifrētus datus var atšifrēt tikai, samaksājot hakeriem izpirkuma maksu. Hakeri, kas darbojas tumšajā tīklā, parasti pieprasa samaksu veikt Bitcoin, lai maksājumu būtu pēc iespējas grūtāk izsekot. Izspiedējprogrammatūru nodarītie zaudējum ir lieli, tāpat kā hakeru peļņa.
Saskaņā ar vadošo ieguldījumu konsultāciju uzņēmumu Cybersecurity Ventures, ir sagaidāms, ka līdz 2031. gadam izspiedējprogrammatūras uzbruks kādam uzņēmumam, patērētājam vai ierīcei ik pēc divām sekundēm. 2021. gadā šis rādītājs bija tikai 11 sekundes. Tajā pašā gadā, pat viszemākās aktivitātes laikā, izspiedējprogrammatūru radītie zaudējumi sasniedza 20 miljardus ASV dolāru — 61 reizi vairāk nekā 2015. gadā (325 miljoni ASV dolāru). Vislielākā izpirkuma maksa līdz šim ir bijusi 70 miljoni ASV dolāru. Bet vai izpirkuma maksa atrisina problēmu? Nē. Cybereason ziņojums norāda, ka 49 % no uzņēmumiem, kas samaksā izpirkuma maksu, saņem atpakaļ tikai daļu no datiem vai nesaņem tos vispār. 80 % uzņēmumu, kas samaksā izpirkuma maksu, kļūst par upuriem atkārtoti. Izpirkuma maksa nav vienīgā problēma: izspiedējprogrammatūras rada zaudējumus zīmoliem, izraisa ilglaicīgu pārtraukumu pakalpojumos, pakļauj uzņēmumus juridiskajai atbildībai, kā arī nodara cita veida kaitējumu. Šādi papildu zaudējumi var būt neizmērojami un var pārsniegt izpirkuma maksu pat 23 reizes.
- gada martā hakeri šifrēja 15 000 ierīču, kas piederēja apdrošināšanas sabiedrībai. Lielam skaitam klientu datu failu draudēja nopludināšana. Lai atgūtu datus, uzņēmums samaksāja 40 miljonus ASV dolāru.
- gada maijā izspiedējprogrammatūra uz 11 dienām apturēja visas naftas cauruļvadu magnāta darbības. Degvielas cenas valstī sasniedza augstāko līmeni septiņu gadu laikā, izraisot pirkšanas paniku. Uzņēmums samaksāja izpirkuma maksu 4,4 miljonu ASV dolāru apmērā.
- gada aprīlī pēc uzbrukuma vadoša automašīnu ražotāja piegādātājiem, kā rezultātā tika nopludināti 1,4 TB datu, tam nācās samazināt savu ikgadējo ražošanu par 500 000 automašīnām.
- gada maijā divi uzbrukumu viļņi lika valstī izsludināt kiberdrošības ārkārtas situāciju. Uzbrukumi tika vērsti uz tādiem pamatpakalpojumiem kā veselības aprūpe un pat starptautisko tirdzniecību.
Pastāv vēl ļoti daudz līdzīgu piemēru. Hakeru uzbrukumi ir vērsti uz lieliem uzņēmumiem un nozarēm ar augstu vērtību. Valdība, enerģētikas, transporta, finanšu nozare, ražošana un veselības aprūpe ir galvenie mērķi, tomēr pasargāts nav neviens.
Izspiedējprogrammatūru tendences, kuras ir vērts zināt
Izspiedējprogrammatūras prot ļoti labi maskēties. Tām ir daudz veidu, kā iekļūt sistēmās, piemēram, izmantojot datu nesējus, pikšķerēšanas e-pastus, “trojas zirgus”, sociālos tīklus, ļaunprātīgus iekšējos darbiniekus. Tās ir sarežģīti atrast, un pret tām ir grūti aizsargāties. Klasiska uzbrukuma laikā tiek šifrētas vai dzēstas visas vietējās datu kopijas un iespējams uzbrukums arī ārkārtas atkopšanas (DR) centriem, padarot ātru datu atjaunošanu neiespējamu. Saskaņā ar ZDNet ziņojumu pēc šāda scenārija vidējais sistēmas darbības pārtraukums ir 16 darba dienas. Vidējās izmaksas, lai atgūtos pēc uzbrukuma, pēc Sophos aprēķiniem ir 1,85 miljoni ASV dolāru.
Pastāv četras būtiskas izspiedējprogrammatūru tendences:
- Hakeri fokusējas uz lieliem uzņēmumiem un infrastruktūru.
Tā vietā, lai izvērstu plašas kampaņas, izspiedējprogrammatūras aizvien vairāk fokusējas uz mērķiem ar augstu vērtību. Lai īstenotu šo pieeju, hakeriem ir jāveic sarežģīta, dārga un laikietilpīga izpēte, kas var ilgt nedēļas, pat mēnešus, taču iespējamā peļņa ir tā vērta. Komplicēti uzbrukumi padara pat labi aizsargātas organizācijas par upuriem un apdraud pat valdības iestādes.
- Izspiedējprogrammatūra kā pakalpojums (Ransomware as a Service (RaaS)).
Straujā tīklu un informācijas tehnoloģiju attīstība, kā arī šifrētās digitālās valūtas ir radījušas labvēlīgu vidi ļaunprātīgiem rīcībspēkiem. Izspiedējprogrammatūru uzturētāji šobrīd pārdod ar izspiedējprogrammatūrām saistītus pakalpojumus citiem uzbrucējiem, izmantojot pielāgotus risinājumus, dalībnieku programmas vai abonementus. Tas mazina piekļuves barjeru izspiedējprogrammatūru uzbrukumu veikšanai, radot milzīgu izspiedējprogrammatūru darbības pieaugumu.
- Divkārša izspiešana kļūst par jauno standartu.
Izpiedējprogrammatūras veic ne tikai datu šifrēšanu un izpirkuma maksas pieprasīšanu. Uzbrucēji datus arī nozog un piedraud tos nopludināt. Pat ja uzņēmumam ir izveidota nesena datu kopija, tas nevar riskēt ar konfidenciālas informācijas nopludināšanu un no tā izrietošo publisko izmeklēšanu un atbilstības pārbaudes procesiem.
- APT līdzīgu uzbrukumu iespējas.
Progresīvie pastāvīgie draudi (Advanced Persistent Threat (APT)) ir sarežģīti nepārtraukti uzbrukumi tīklam, ko pielāgojuši profesionāli uzbrucēji, lai pēc iespējas labāk izmantotu upura vājās vietas. Izspiedējprogrammatūru uzbrukumi, kas ir aizvien precīzāki un labāk izplānoti, sāk kļūt arvien līdzīgāki APT uzbrukumiem.
Datu drošības vajadzības
Komplicēta izspiedējprogrammatūra rada lielu izaicinājumu daudziem esošiem aizsardzības pasākumiem. Klasiskā datu drošības aizsardzības ir vērsta uz tīklu (piemēram, ugunsmūri un drošības vārtejām) un saimniekdatoriem, lai novērstu izspiedējprogrammatūru uzbrukumus un ierobežotu to izplatību. Tomēr šāda aizsardzība neņem vērā izspiedējprogrammatūras spēju maskēties un paslēpties sistēmā ilgāku laika periodu, lai iegūtu piekļuvi plašam svarīgu datu apjomam. Citiem vārdiem sakot, tiklīdz sistēma ir inficēta, tradicionālā datu drošības aizsardzība ir bezspēcīga. Ir nepieciešams labāks risinājums.
Padziļināta aizsardzības sistēma, ko izstrādājis uzņēmums Northrop Grumman sniedz labas idejas, kā attīstīt un uzbūvēt stiprāku aizsardzību. Šī kiberdrošības pieeja ietver piecas aizsardzības mehānisma kārtas: perimetru, tīklu, gala punktu, lietotni un datu drošību.
- Perimetrs un tīkla drošības aizsardzība, kas uzstādīta tīkla līmenī, aizsargā, izmantojot ugunsmūrus, smilšu kastes un situācijas izpratni.
- Gala punkta un lietotnes drošības aizsardzība, kas izveidota saimniekdatora līmenī, aizsargā, izmantojot piekļuves kontroli, drošības ielāpus un auditus, kā arī pretvīrusu programmatūru.
Pēdējā kārta, datu drošība, ir brīdis, kad parādās datu krātuve. Modernajā, digitālajā laikmetā, datu krātuvei ir jāveic vairāk nekā tikai datu uzglabāšana. Tai ir jākalpo kā pēdējai aizsardzības līnijai: jāaizsargā dati ar pretviltošanas tehnoloģijām, jāatklāj nestandarta I/Os, ko rada izspiedējprogrammatūras, un jānovērš datu noplūde ar šifrēšanas tehnoloģiju palīdzību. Papildus visam iepriekšminētajam tai ir jānodrošina iespēja atgūt tīrus, neinficētus datus, uzglabājot datu kopijas rezerves krātuvē un fiziski izolētā zonā.
Spēcīgas izspiedējprogrammatūru aizsardzības izveide, izmantojot profesionālu uzglabāšanu
Nodrošinot divkāršu aizsardzību ar aktuālo un rezerves krātuvi, Huawei uzglabāšanas risinājums ar aizsardzību pret izspiedējprogrammatūrām izmanto četras pamata tehnoloģijas, lai izveidotu pilnīgu risinājumu, kas novērš iespējas vīrusiem paslēpties un nozagt datus vai veikt ar tiem manipulācijas: izspiedējprogrammatūras noteikšana, aizsardzība pret manipulācijām ar datiem, bezsaistes datu kopijas izveidošana un pilnīga datu šifrēšana. Aplūkosim, kāpēc divkārša aizsardzība un četras pamata tehnoloģijas ir tik efektīvs veids, kā aizsargāt datus:
- Divkārša aizsardzība pret izspiedējprogrammatūrām primārajai un rezerves datu uzglabāšanas sistēmai.
Ar šo risinājumu gan primārā, gan rezerves datu glabātuve (OceanProtect Backup Storage) nodrošina visaptverošas aizsardzības iespējas pret izspiedējprogrammatūrām, nodrošinot, ka sistēmai vienmēr ir tīru datu kopija ātrai atjaunošanai. OceanProtect Backup Storage nodrošina arī īpašu atjaunošanas ātrumu: līdz pat 172 TB/stundā, kas piecas reizes pārsniedz vidējo nozares rādītāju. Tas palīdz uzņēmumiem samazināt pakalpojumu nepieejamību un ekonomiskos zaudējumus.
- Četras pamata tehnoloģijas visaptverošai aizsardzībai.
Izspiedējprogrammatūru noteikšana (tai nav, kur paslēpties): Huawei izspiedējprogrammatūru noteikšanas un analītikas funkcija piedāvā 99,9 % precizitāti aktuālo un rezerves datu kopiju uzglabāšanas sistēmām pirms un pēc uzbrukumiem, ka arī to laikā. Pirms uzbrukuma krātuve darbojas, lai pārtvertu izspiedējprogrammatūru, pirms tā sākusi savu uzbrukumu. Gadījumā, ja uzbrukums tomēr notiek, krātuve ātri reaģē, lai aizsargātu sistēmu, izmantojot tādus aizsarglīdzekļus kā ugunsmūri, izolējot saimniekdatorus, kas sūta neparastus I/Os un neļaujot izspiedējprogrammatūrai izplatīties plašāk. Pēc uzbrukuma datu krātuve pārbauda datu kopijas, lai pārliecinātos, ka tās nav inficētas.
Datu manipulāciju novēršana (datus nevar pārveidot): WORM failu sistēma un droša momentuzņēmumu (snapshot) tehnoloģija bloķē manipulācijas ar datiem. WORM sistēma ļauj noteikt aizsardzības periodu, novēršot aktuālo vai datu kopiju pārveidošanu vai dzēšanu konkrētajā laika periodā. Momentuzņēmumi bez rediģēšanas iespējām nodrošina līdzīga veida aizsardzību: noteiktā aizsardzības perioda laikā tie nepieļauj datu dzēšanu vai pārveidošanu.
Fiziska izolēšana (tīras datu kopijas tiek fiziski izolētas): Air-gap tehnoloģija nodrošina tīru aktuālo un rezerves datu uzglabāšanas sistēmu kopijas fiziski izolētā zonā. Īstenojoties pat vissliktākajam scenārijam, kad kompromitētas gan aktuālās, gan rezerves datu uzglabāšanas sistēmas, izolētajā zonā būs tīra kopija, kuru varēs izmantot, lai ātri atjaunotu pakalpojumus. Iestatot kopēšanas pakalpojuma līmeņa līgumu (Service Level Agreement (SLA)) periodiskas datu kopijas no aktuālās vai rezerves datu krātuves tiks automātiski kopētas izolētajā vidē. Tā kā kopēšanas saite ir aktīva tikai kopēšanas laikā, iespēja, ka izspiedējprogrammatūra piekļūs datiem izolētajā vidē, ir salīdzinoši zema. Papildu drošības nolūkos uzglabāšanas sistēmai izolētajā vidē ir arī vairāku līmeņu aizsardzība, kas nodrošina tādas datu modificēšanas novēršanas funkcijas kā momentuzņēmumi.
Pilnīga šifrēšana (dati netiks nopludināti): Huawei datu uzglabāšanas sistēma nodrošina nulles datu noplūdes datu pārraides tīklā un krātuvē, piemērojot šifrēšanu: protokoliem aktuālo un rezerves datu krātuvei, air-gap kopēšanas saitei, un datu un rezerves kopiju attālinātai kopēšanas pārraidei. Pat ja hakeri uzlauzīs krātuvi vai ielauzīsies uzglabāšanas sistēmu tīklā, pateicoties šifrēšanai, viņiem nebūs piekļuves konfidenciālai informācijai.
Pilnīga šifrēšana (dati netiks nopludināti): Huawei uzglabāšanas sistēma izmanto pilnīgas šifrēšanas tehnoloģiju, lai pasargātu pret datu noplūdēm gan uzglabāšanas ierīcēs, gan krātuves pārraides tīklā. Šifrēšana tiek piemērota protokoliem, aktuālajiem un rezerves datiem, air-gap kopēšanas saitei un attālinātai datu kopēšanai. Pat ja hakeriem izdosies iekļūt sistēmā, tie nevarēs uzlauzt konfidenciālus datus.
Aizsardzība pret izspiedējprogrammatūrām
Huawei uzglabāšanas risinājums ar aizsardzību pret izspiedējprogrammatūrām darbojas visu diennakti, septiņas dienas nedēļā pie nozīmīgiem klientiem enerģētiskas, finanšu, transporta un ražošanas nozarē, kā arī valsts iestādēs.
Labāk nodrošināties, nekā nožēlot. Uzstādīt aizsardzību pret izspiedējprogrammatūrām pēc uzbrukuma ir par vēlu. Krātuve ar visaptverošu aizsardzību pret izspiedējprogrammatūrām ir labākais veids, kā apturēt izspiedējprogrammatūru vai mazināt tās iedarbību.
Visi uzskati un/vai viedokļi, ko šajā raksta izteikuši atsevišķi autori vai citas personas, ir to personīgie uzskati un/vai viedokļi, un tie ne vienmēr atspoguļo Huawei Technologies uzskatus un/vai viedokli.