This post is also available in: enEnglish (אנגלית)

בשנים האחרונות כופרות הפכו לעסק משגשג, עם כמה מדינות שמצטיידות בהן באופן צבאי או כאלו שמשתמשות בהן כמקור חדש להכנסות. כל מאמר שעוסק בהכנה לקראת מתקפת כופרות קובע כי יש לנקוט בשני צעדים – ראשית, למנוע אותן על ידי השקעה במודעות עובדים, במבחני חדירה וכדומה, ושנית, להגיב. ברגע שהכופרה פרצה לארגון והחלה להתפשט בו, המהירות בה צוותי מערכות המידע שלכם מגיבים משפיעה ישירות על היכולת להקטין את ההשפעה שלה על העסק.
אבל פושעי סייבר קוראים את אותם מאמרים ומתפתחים כל הזמן. אחד מכלי הנשק שלהם הוא התקפת הגיבוי והצפנתו כך שלא תוכלו להשתמש בו, עם קצת הרס של קבצי גיבוי (דוגמת מתקפת WannaCrypt0r) ואחרים התוקפים את קבצי הגיבוי של MAC's Time Machine או של Windows Volume Shadow Copy Service (VSS).
כיצד ארגונים צריכים להתכונן ליום ההתקפה?
התקפות כופרה יכולות להישאר חבויות זמן רב במטרה להצפין כמה שיותר מידע שניתן לפני שמזהים אותן. כאשר ההצפנה מגיעה לסף קריטי מסוים, היא נועלת את המשתמש בחוץ ומבקשת כסף (במטבעות קריפטו) ככופר בתמורה להחזרת המידע ללא נזק. טקטיקה זאת מאד יעילה, אך היא גם עקב אכילס של ההתקפה, שכן שינויים שמצטברים לאורך זמן יכולים להיות מזוהים אם ישנו מנגנון שעוקב אחריהם. מנגנון זה מגיע ללא עלות בפתרונות אחסון מודרניים – סנאפשוטים.
סנאפשוטים, שצורכים בדרך כלל נפח מינימלי במערכות האחסון, יתחילו לגדול בשל השינויים הרבים ויצרכו קיבולת אחסון גדולה יותר. אם פתרון האחסון שלכם מספק ניטור והתראות בנוגע לצריכת הקיבולת, צוות האחסון יזהה בקלות את האינפלציה הזאת ויגיב לכך הרבה לפני התוקפים.
אם כן, לסנאפשוטים יש תפקיד חשוב בזיהוי התקפת כופרה פעילה, אך תפקיד חשוב עוד יותר בהתאוששות מהירה, מבלי להעביר טרה-בייטים של מידע בחזרה מיעדי הגיבוי שלכם. יחד עם זאת, אם התוקפים מחפשים באופן אקטיבי דרכים להשחית את הגיבוי, אפשר להעריך שהם גם מחפשים דרך למחוק את הסנאפשוטים, ואנחנו צריכים להתכונן באופן פרואקטיבי ליום הזה, שכן אף אחד לא ירצה להיות הראשון לגלות שהסנאפשוטים שלו נמחקו על ידי כופרה.
בנקודה זאת לקוחות רבים ישאלו מדוע לא להסתמך על גיבויים נפרדים? מדוע להסתכן עם גיבוי און-ליין בתסריט כזה? זמן ההתאוששות הוא המניע העיקרי כאן. עסק שצריך לאחזר נפח מידע גדול מטייפ (פיזי או וירטואלי), יזדקק ליותר מידי זמן, דבר שישפיע ישירות על הלקוחות ועל ומחזור המכירות שלו.
זאת גם שאלה של יכולת ההתאוששות, שכן גיבויים בטייפ אינם תמיד ברי אחזור (אם לומר זאת בעדינות), לקוחות מסוימים שמדווחים כי רק 94% מהגיבויים שלהם הנם ברי אחזור ביום הגיבוי וכי קיימת ירידה ברורה ביכולת ההתאוששות לאורך זמן.
האם גיבויים און-ליין יכולים להיות מוגנים מפני כופרות?
התשובה הקצרה היא – כן! נדרש לשם כך מנגנון המאפשר להמיר סנאפשוט ל-Write Once Read Many (WORM), שלא ניתן לשנות או למחוק אותו עד שהוא מגיע לנקודת זמן שהוגדרה מראש והנעילה שלו פגה. באותו זמן, אנחנו רוצים שהסנאפשוט יישאר פונקציונאלי באופן מלא וישמור על כל היכולות המקוריות שלו: בר אחזור, מאפשר ניהול העתקי מידע ומאפשר גישה למשתמשים.
מטרות נוספות
סנאפשוטים מסוג WORM יכולים לשרת מטרות נוספות. לדוגמה, הגנה מפני טעות אנוש. התנהגות אנושית היא השורש של רוב הכשלים במערכות המידע. הוספת הגנות היא תמיד נוהל תקין. סנאפשוטים יכולים להינעל על מנת למנוע מחיקה מקרית לפני סוף ה- retention policy שלהם (הזמן בו כל גיבוי נשמר לפני שהוא נמחק). סנפשוטים אלה משרתים גם מקרים של החזקת מידע למטרה משפטית. בתסריטים משפטיים מסוימים, המידע חייב להישמר זמין למשך זמן ארוך (Legal Hold) על מנת להגן על ראיות רלוונטיות, לאפשר גילוי נאות וכדומה. נעילת העתק של המידע היא דרך מצוינת לאפשר גישה לאורך זמן, ובמידת הצורך ניתן להאריך את הנעילה.
כל מי שעבד בעבר עם פתרונות WORM מכיר את הסיפור אודות מנהל האחסון שנעל סנאפשוט גדול למשך זמן רב מידי (אישית, ראיתי סט נתונים שננעל למשך 70 שנים, ולא על ידי). הדבר מוביל ללא ספק להוצאות גדולות מאד לחברה. הפתרון לכך טמון בכלים המגבילים את המשתמש בכל הנוגע למשך הנעילה וכך מונעים טעויות אנוש. אלו חייבים להיות פרמטרים שניתן לשנות על מנת לענות על צרכים של לקוחות מסוגים שונים, שכן לקוחות בתחום הפיננסי עשויים להחזיק במידע רגולטורי במשך שבע שנים ואילו בתי חולים יחזיקו בו במשך 80 שנה (כל עוד המטופל חי והמידע רלוונטי לטיפול עתידי בו).
הגדרת סנאפשוטים בפתרון האחסון
פתרונות אחסון מתקדמים כוללים בתוכם כלים שמאפשרים למנהלי האחסון להגדיר זמן retention לסנאפשוט, ובו זמנית להמשיך להשתמש בו לתפעול השוטף של מערכות המידע, ביצוע שחזורים, יצירת סביבות בדיקות וכוו'.
הגישה לפתרונות האחסון היא דרך API, אשר מונע מכל משתמש (ללא קשר להרשאות שהוגדרו עבורם) לבצע מודיפיקציות. אפילו אם הכופרה מסוגלת לסכן את סיסמאות מנהל האחסון, היא לא תהיה מסוגלת להשחית או למחוק את הגיבוי. משמעות הדבר היא שניתן להמשיך ולסמוך עליהם על מנת להשיג מחדש את המידע שלכם תוך פחות משניה ולחזור לפעילות עסקית במהרה.
עבור התסריט של החזקת המידע למטרות משפטיות, כאשר מתסכלים על WORM retention שפג, האדמין חייב להיות מסוגל לומר אם המידע עדיין נשמר כ"נאמן למקור" (לא השתנה כלל, אפילו אחרי שה- WORM פג תוקף) או אם משתמשים קיבלו גישה אליו ויכלו לבצע שינויים. כלים חדשים בפתרונות אחסון מאפשרים לסנאפשוטים להיכנס תחת אחת משלוש קטגוריות (נעול, פג תוקף או מצב בו המידע לא ננעל מעולם או ננעל בעבר אך השתנה מאז). כלים חדשים אלו מאפשרים למנהלי האחסון להחזיק בסנאפשוטים לאורך זמן תוך ביטחון שהמידע שבהם אמין וניתן להסתמך עליו לשחזור, בירור משפטי או צורך אחר.
מאת: ערן בראון, סמנכ"ל טכנולוגיות לאזור EMEA ב- INFINIDAT