Poniższy artykuł stworzony został na podstawie wystąpienia Jarka Mikienko - Konsultanta Ochrony Danych z firmy Rubrik - podczas konferencji Trecom Security 360. Poruszymy tu zagadnienie tworzenia i wykorzystania kopii zapasowych. Tematyka może wydawać się stosunkowo banalna i niestanowiąca szczególnego pola do innowacji. Bliższe spojrzenie pozwoli nam jednak przekonać się, że samo posiadanie kopii zapasowych nie zawsze pozwala skutecznie odtworzyć dane.
Rola kopii zapasowych w strategii cyber recovery
Pozwolę sobie rozpocząć ten artykuł niewielką historią osobistą. Dobrze zapamiętujemy wydarzenia, którym towarzyszy duży ładunek emocjonalny. Przez długie lata potrafimy dokładnie opisać, gdzie byliśmy i co robiliśmy podczas przełomowych momentów w historii, takich jak lądowanie na księżycu, czy śmierć znanej postaci. Dla mojego pokolenia jednym z takich momentów był terrorystyczny atak na WTC w Nowym Jorku 11 września 2001 roku. Informacja o wydarzeniach tego dnia zastała mnie w jednym z warszawskich wysokościowców – w siedzibie Telekomunikacji Polskiej. Wymieniałem napęd w bibliotece taśmowej. Był to jeden z pierwszych w kraju, zcentralizowanych i zautomatyzowanych systemów do zarządzania kopiami zapasowymi. Od tamtej chwili minęło niemal ćwierć wieku. Mogłoby się wydawać, że wraz z rozwojem technologii rozwiązania tego typu stracą na znaczeniu, zastąpione przez kopie migawkowe i nadmiarowe metody zapisu. Okazuje się jednak, że nadal utrzymywanie kopii zapasowych jest koniecznością. Narastająca liczba cyberataków przez ostatnie kilka lat sprawiła, że backup jest wręcz niezbędny!
Znaczenie backupu i jego rola w cyber recovery
Dysponując ponad dwudziestoletnim doświadczeniem w branży, wielokrotnie byłem świadkiem konfliktów między działami zajmującymi się bezpieczeństwem a infrastrukturą IT. Często te konflikty prowadziły do opóźnień w wykonywaniu zadań związanych z ochroną danych oraz tworzeniem kopii zapasowych. Przykłady takie jak blokowanie portów TCP czy kierowanie ruchu sieciowego przez wolny firewall sprawiały, że proces tworzenia kopii zapasowych stawał się mniej wydajny. Obecnie, w obliczu rosnącej liczby cyberataków, tego rodzaju napięcia muszą zostać wyeliminowane. Wszystko wskazuje na to, że konieczna jest bliższa współpraca między zespołami odpowiedzialnymi za bezpieczeństwo a infrastrukturą IT.
Backup i cyber recovery jako klucz do zabezpieczenia danych
Dobrym przykładem ewolucji w tym zakresie jest firma Rubrik. Początkowo firma ta skupiała się wyłącznie na optymalizacji procesów związanych z tworzeniem kopii zapasowych i przechowywaniem danych. Jednak w miarę rozwoju zagrożeń związanych z ransomware, Rubrik stopniowo wprowadza do swojej oferty usługi z dziedziny bezpieczeństwa cybernetycznego, co podkreśla wagę zabezpieczenia danych i możliwość ich przywracania w przypadku ataków i awarii.
We wstępie powiedzieliśmy sobie, że kopie zapasowe są niezbędne. Konieczne, ale nie wystarczające. Jak wyraźnie zaznaczyłem w tytule artykułu, backup to nie jest „cyber recovery”. Spróbuję przybliżyć, jak rozumiemy to zagadnienie w Rubriku. Obecnie w organizacjach stosowanych jest nawet kilkadziesiąt technologii, które mają na celu ochronę przed atakami. Wystarczy jednak, że technologie zawiodą jeden raz, aby niepożądany gość uzyskał dostęp do naszych danych i wyrządził szkodę organizacji. Co wtedy?
Kopia zapasowa jest jedyną znaną metodą, pozwalającą na ochronę przed przykrymi konsekwencjami cyberataku. Problem polega jednak na tym, że dziś coraz częściej mamy do czynienia z atakami celowanymi. Atakujący stara się zarówno zaszyfrować dane, jak i uniemożliwić skorzystanie z backupu. Zaszyfrowanie kopii zapasowych nie zawsze jest możliwe. Atakujący próbują zatem doprowadzić do ich wygaśnięcia lub uniemożliwienia dostępu. Celem jest uniemożliwienie odzyskania danych z kopii zapasowych i zmuszenie atakowanej organizacji do spełnienia żądań atakujących.
Klasycznym i bardzo dobrze opisanym przykładem takiego działania jest atak na firmę Colonial Pipeline w Stanach Zjednoczonych, który miał miejsce w maju 2021 roku. Zwracam uwagę na nieodległą datę. Do zdarzenia doszło w czasach, kiedy dostępne były zaawansowane narzędzia ochrony. Mimo to, dystrybutor paliw na wschodnim wybrzeżu USA, padł ofiarą ataku ransomware. Przepadek ten może nas wiele nauczyć, jeśli chodzi o stosowanie kopii zapasowych.
Po ataku szef firmy został wezwany do złożenia wyjaśnień w Senacie. W trakcie przesłuchania przedstawiał, jak doszło do naruszenia bezpieczeństwa i przed jakimi dylematami stała organizacja. W wyniku ataku dane firmy zostały zaszyfrowane. Sprawcom nie udało się zniszczyć kopi zapasowych. Nie zostały zaszyfrowane podczas ataku, a mimo to CEO nie ufał, że backup istnieje! W ciągu 12 godzin podjął decyzję o wpłaceniu okupu w wysokości 4 milionów dolarów. Z jednej strony zapewniło mu to dostęp do kluczy na odszyfrowanie danych, z drugiej wywołało kontrowersje i wątpliwości natury prawno-księgowej.
Odszyfrowywanie przy pomocy uzyskanych kluczy trwało długo – powyżej tygodnia. W międzyczasie pracownicy IT ustalili, że kopie zapasowe istniały i to przy ich pomocy przywrócona została większość danych. Przykład pokazuje, że nawet w przypadku zapłacenia okupu, przywrócenie danych z kopii zapasowych może okazać się szybsze niż odszyfrowywanie przy użyciu kluczy.
Osoby zainteresowane tematem odsyłam do nagrania, które jest doskonałym źródłem wiedzy na temat współczesnych ataków i ich konsekwencji dla organizacji.
W świecie, w którym cyberataki zdarzają się coraz częściej, problem jest więc istotny, a każda organizacja powinna mieć kopie zapasowe danych. Czytelników tego artykułu zachęcam do refleksji nad sytuacją w waszych organizacjach i serwerowniach. Z którego systemu korzystacie? Jak skomplikowana jest to technologia? A może do tworzenia kopii zapasowych wykorzystywany jest więcej niż jeden rodzaj oprogramowania? Czy kopie zapasowe stanowią łatwy cel ataku?
W zależności od organizacji odpowiedzi na te pytania będą się różnić. Moje 25 lat w branży pozwala na zarysowanie ogólnego obrazu backupu w krajowych firmach. Kopie zapasowe są zazwyczaj schowane bardzo głęboko za firewallem. Sprawia to fałszywe poczucie komfortu. Wydaje nam się, że kopie zapasowe istnieją, są niedostępne i w razie ataku będziemy mogli z nich skorzystać.
Tymczasem, moje codzienne rozmowy potwierdzają, że firmy są nieprzygotowane na atak pojawiający się z wewnątrz organizacji, jak to miało miejsce w Colonial Pipeline. Często kopie są ogólnodostępne na deduplikatorze przez protokół CIFS lub NFS. To rozwiązanie wygodne, ale nie najbezpieczniejsze. Warto postarać się o zapewnienie większego bezpieczeństwa kopii zapasowych.
Wiele ze znanych mi organizacji realizuje system backupowy na platformie Windows. Niezależnie czy jest to serwer z katalogiem, czy ten na którym przechowujemy kopie zapasowe – Windows stanowi łatwy cel ataków ransomware.
Klienci często wspominają o chęci całkowitego zrezygnowania z serwerowni z powodu przeniesienia usług do chmury, która ma zapewnić zwiększone bezpieczeństwo. To nie jest do końca prawda. W rzeczywistości środowisko chmurowe jest bardziej skomplikowane, a ochrona trudniejsza do wdrożenia.
Wracamy więc do tytułu i myśli przewodniej tego artykułu – kopie zapasowe nie są wystarczające. Backupy danych zapisane na taśmach magnetycznych, których używaliśmy we wspomnianym 2001 roku, nie są dziś wystarczające do przywrócenia działania po ataku cybernetycznym. W przypadku ataku ransomware, proste polecenie „odtwórz”, będzie dla administratora niewystarczające. Z pewnością okaże się, że operator nie ma pewności, z której kopi zapasowej skorzystać. Jest to krańcowo odmienna sytuacja niż zwykłe, przypadkowe skasowanie pliku - po prostu sięgamy po najbardziej aktualną wersję. Jeżeli jednak mamy do czynienia z szyfrowaniem, a wirtualna maszyna została zaszyfrowana w piątek, dziś jest wtorek, a system wykonał w międzyczasie 3 backupy, to pojawia się pytanie: odtwarzać backup z niedzieli czy z czwartku, a może jeszcze wcześniejszy? Nie chcemy przecież odzyskiwać zaszyfrowanych danych.
Dodatkowo chcemy uniknąć odtworzenia kopii zapasowej zawierającej wirusa. Statystyki jasno pokazują, że od momentu pojawienia się infekcji, do jej wykrycia lub wykorzystania przez atakującego, mija naprawdę sporo czasu. Możemy więc nawet założyć, że w aktualnych kopiach zapasowych już znajdują się zainfekowane pliki, które tylko czekają na odpowiedni moment.
Ostatnio dużo słyszy się o atakach typu double extortion. Jest to atak, w trakcie którego przed szyfrowaniem atakujący wykrada dane, by za ich pomocą szantażować ujawnieniem poufnych informacji. System backupowy powinien umieć zidentyfikować, czy kopia zapasowa dotknięta atakiem zawiera poufne dane.
Wszystko o czym powyżej napisałem sprawia, że ryzyko ataku cybernetycznego pojawia się coraz częściej w raportach dla inwestorów i ocenach ryzyka działania danej organizacji. Ryzyko to wymieniane jest na równi z takimi zagrożeniami jak wojna w Ukrainie czy wzrost cen energii. Ryzyko jest na tyle wysokie, a konsekwencje na tyle poważne, że tematem zaczęły interesować się gremia kierownicze.
Pociąga to za sobą konieczność stworzenia prostego narzędzia, które poinformuje zarząd o poziomie bezpieczeństwa cybernetycznego organizacji. Musimy potrafić oszacować ryzyko oraz udowodnić naszą gotowość do obrony. Musimy odpowiedzieć na pytanie: jak długo zajmie odtwarzanie z kopii zapasowej w przypadku cyberataku.
Jak wspomniałem zajmuję się backupami od ćwierć wieku. Niemal każde stosowane obecnie oprogramowanie ma dłuższy staż, większość powstała w latach 90-tych. Historia Rubrika zaczyna się w roku 2014. Młoda firma weszła na rynek podzielony między kilku wielkich graczy. Zdobyliśmy zaufanie klientów, ponieważ rozwiązujemy szereg problemów, z którymi borykają się użytkownicy starszego oprogramowania. Rubrik Security Cloud to najbezpieczniejsze miejsce do przechowywania kopii zapasowych.
Rubrik Security Cloud zostało od początku stworzone zgodnie z założeniami Zero Trust. Oznacza to, że nie ufamy nikomu i rozdzielamy odpowiedzialność, korzystając z role-based access. Rozwiązanie opiera się na trzech filarach: Data Resilience, Data Observability i Data Remediation:
W jaki sposób udało nam się to osiągnąć? Do wyjaśnienia potrzebujemy zagłębić się nieco w aspekty techniczne.
Zacznijmy od tego, że w świecie backupu większość rozwiązań ma charakter punktowy. Istnieje zaledwie kilka rozwiązań holistycznych, które chronią szerokie spektrum typów danych. Mogę z dumą powiedzieć, że Rubrik jako jeden z niewielu producentów znajduje się w ćwiartce Gartnera prezentującej liderów. Niezależnie od miejsca przechowywania danych: w serwerowni, w Microsoft 365 czy w innej chmurze – Rubrik Security Cloud stanowi centralną konsolę zarządzającą. Nasza platforma realizuje zatem wszystkie potrzeby dotyczące zabezpieczenia danych w ramach organizacji.
Po drugie – zapisując kopię zapasową w repozytorium zapewniamy natychmiastową niezmienialność (ang. immutability). Można myśleć o tym jako o nośniku WORM - jak kiedyś - o płycie CD, której po wypaleniu nie dało się już modyfikować. Kopie zapasowe są odizolowane – nie można się do ich dostać – nie stosujemy CIFSów, NFSów czy żadnych otwartych protokołów, które umożliwiają zajrzenie do kopii zapasowej. Tworzymy tzw. air gap oddzielając kopię zapasową od sieci.
Rubrik powstał w 2014 roku, czyli niedawno w porównaniu do konkurencji. Naszym pierwszym pomysłem było ograniczenie złożoności systemu backupowego przez automatyzację, optymalizację i wyeliminowanie powtarzalnych zadań o niskiej wartości. Uważaliśmy, że stosowane systemy są zbyt skomplikowane, a w konsekwencji wymagają znacznego nakładu pracy. Od początku tworzyliśmy nowoczesny, prosty w obsłudze system ochrony danych.
W 2017 roku, jeden z naszych klientów padł ofiarą ataku ransomware. Pomogliśmy mu, ponieważ dzięki immutability i air gap nasze kopie zapasowe były nietknięte i dane udało się odtworzyć. To doświadczenie sprawiło, że dostrzegliśmy potrzebę stworzenia rozwiązania, które odpowie na pytanie „co się dzieje?”. Często w sytuacji ataku nie jesteśmy świadomi skali zagrożenia. Funkcja encryption detection pozwala wykryć atak oraz określić jego zakres.
Trzecia funkcja, która składa się na RSC, pomaga odpowiedzieć wszystkim interesariuszom, takim jak zarząd, regulatorzy i akcjonariusze na pytanie, czy atak był poważny i czy zaszyfrowaniu uległy dane wrażliwe. Analizujemy kopie zapasowe pod kątem rodzaju/wrażliwości danych objętych atakiem.
Kolejną funkcją, którą dodaliśmy do naszego systemu, jest Threath Hunt and Quarantine, które pozwala określić czy odtwarzana kopia zapasowa jest wolna od infekcji. Nie chcemy przecież odtworzyć danych zawierających wirusa!
Testowanie przywracanie (recovery testing), pozawala zapewnić organizacji wiarygodną informację o czasie odtworzenie danych.
Osoby zainteresowane tematem odsyłam do video prezentującego krótkie demo działania systemu.
Kopie zapasowe w Rubriku przechowujemy w sposób, który gwarantuje odtworzenie danych. Rubrik ma już ponad 5000 klientów i jeszcze nigdy nie zdarzyło się, żeby w pełni nie udało się odtworzyć danych. Jesteśmy na tyle pewni naszego systemu, że oferujemy odszkodowanie, w przypadku niepowodzenia odtwarzania z kopii zapasowej wykonanej przez nasze oprogramowanie i przechowywanej zgodnie z naszymi zaleceniami.
Nasze rozwiązanie jest uniwersalne – korzystamy z jednego systemu backupowego dla serwerowni, chmury oraz SaaS. Proponujemy odejście od rozwiązań punktowych. Nie bez znaczenia jest aspekt finansowy. Konsolidacja rozwiązań backupowych pozwala lepiej wykorzystać budżet firmy.
Z Rubrikiem redukujemy konsekwencje potencjalnego ataku ransomware. Nie oznacza to, że eliminujemy atak ransomware – ten może się zdarzyć. Zapewniamy jednak, że w przypadku ataku na pewno dostępne będą kopie zapasowe, które pozwolą w przewidywalnym czasie odtworzyć dane.
Dzięki wiedzy, które dane są chronione, jesteśmy w stanie podejmować lepsze decyzje. Wracam tutaj do przykładu Colonial Pipeline – CEO musiał podjąć decyzję czy zapłacić okup i postanowił to zrobić. Być może, gdyby miał wgląd w kopie zapasowe i wiedział, jakie dane uległy zaszyfrowaniu, podjąłby inną decyzję.
Jeśli pojawi się konieczność przywrócenia danych jako klienci Rubrika mogą Państwo skorzystać z pomocy wyspecjalizowanego zespołu Rapid Recovery Team. Grupa najczęściej pracuje w piątki i soboty, bo wtedy dzieje się najwięcej ataków ransomware. Pomagają klientom do skutku – to znaczy tak długo aż wszystkie dane zostaną bezpiecznie przywrócone.
Warto ponownie podkreślić, że rozwiązanie Rubrik cechuje się architekturą Zero Trust, dzięki czemu nasze repozytorium jest „kuloodporne”. W naszej organizacji funkcjonuje wyspecjalizowany zespół Rubrik Zero Labs, który analizuje zagrożenia, z którymi borykają się organizacje na całym świecie.
Osoby głębiej zainteresowane tematem, zapraszam do kontaktu bezpośrednio ze mną lub firmą Rubrik.
Jarek Mikienko
Wypełnij formularz, aby pobrać cały artykuł jako PDF