Neviditelná ochrana a další štíty pro obranu vašich podnikových dat

Dnešní svět je plný protikladů. Vybudujete úspěšnou firmu, či dotáhnete nové digitální procesy v organizaci a vše opřete o spolehlivé služby IT infrastruktury. A přihodí se něco, s čím nepočítáte. Frma se stane obětí útočníka nebo skupiny hackerů. Vaše IT tak nemůže dělat svou práci, protože se ztratilo to nejdůležitější. Ztratila se data. Někdo je například zašifroval a ještě k tomu po vás požaduje výpalné.

Existuje však celá řada technologií, které IT infrastrukturu a podniková data dokáží bránit od omezení přístupu z internetu, přes nejrůznější systémy chránící aplikace, brání zcizení dat, všechny ty EDR, XDR, NDR, firewally, nejrůznější AirGapy... jen vyjmenovat je by zabralo celou stránku. A to všechno jsou pouze technická opatření, vedle kterých musí existovat (a hlavně fungovat) také procesní a organizační opatření. Zároveň musíte mít v IT vzdělané a poučené uživatele, mít správně naimplementované, vše fungující a včas reagovat na všechny hrozby kyberprostoru. To samozřejmě stojí peníze a nemalé úsilí. Jak má ale firma správně zabezpečit to hlavní, primární úložiště podnikových dat?

U primárních podnikových úložišť, tedy zařízení, na kterých máte svá produkční data, se již delší dobu mluví o tzv. snapshotech. Takové snímky rozložení dat na úložišti se používají od nepaměti. S kybernetickými hrozbami však došlo k jejich renesanci. Většina výrobců totiž snapshoty přepracovala nebo pokračuje ve využívání již zabezpečených snapshotů. Společnost IBM u svých diskových úložišť Flash System dnes disponuje snapshoty, které jsou „neviditelné“ a tak případný útočník ani neví, že existují. Tím pádem se nemůže pokusit o jejich smazání či odstranění té nejrychlejší vrstvy pro případnou obnovu dat po nějaké události. Protože tohle je největší výhoda ochrany za pomoci snapshotů – obnovení z nich je pak otázkou vteřin. Současně je tu ale jedna nevýhoda, snapshotů můžete na diskovém úložišti uchovávat pouze omezené množství, a to i když vám některý výrobce bude tvrdit, že snapshot nezabírá žádné místo. Nesmysl, zabírá místo v závislosti na tom, jak intenzivně na úložišti přibývají data a jak rychle se mění.

Doporučujeme, abyste pomocí snapshotů chránili zhruba týden. Jinak řečeno, rezervujte na snapshoty cca 30 % prostoru. Snapshoty nejsou levná záležitost a jejich větší podíl vás bude zbytečně finančně zatěžovat. Mohem lépe tyto finance využijete do robustního zálohovacího systému, který data fyzicky ukládá jinam. Komponenta Safeguarded Copy, která se na IBM Flash System stará o tzv. logický AirGap, vytváří neviditelné snapshoty. Aktuálně je tato komponenta součástí řešení FlashSystem 5045 i nového FlashSystem 5300.

Dalším způsobem, jak je možné se starat o data na primárním úložišti, je on-line sledovat provoz na úložišti při zapisování dat a zkoumat ho na projevy kybernetického útoku. Tohle se dá u IBM FlashSystem provádět napojením úložiště do portálu IBM Storage Insights, který je vybaven umělou inteligencí a strojovým učením, aby dokázal rychle a efektivně detekovat případný útok na vaše data.

Jde o internetový portál, je tedy logické, že zahltit ho každým zápisem do úložiště by pro něj mohlo být smrtelné. A tak se analyzuje každý stý zápis. Je to málo? Asi ano, ale stále je to mnohem víc než nic.

Pokud bychom chtěli zkoumat primární úložiště detailněji, můžeme se opřít o IBM Storage Sentinel. To je software, který zkoumá projevy případného kybernetického útoku v datech Oracle nebo SAP HANA, případně EPIC, v nejbližší době přibude také VMware a SQL. Ve stručnosti funguje tak, že hledá projevy útoků na zmíněných systémech. V případě detekce vydá zprávu do nadřazeného systému, kterým může být např. IBM QRadar, a ten se o situaci stará dále.

Sentinel může běžet na fyzickém stroji nebo virtuálně ve VMware. Pracuje se snapshoty, které si připojí a hledá v nich projevy útoku. Nastavit se dá např. hledání v každém druhém nebo desátém snapshotu. Pokud je výsledek negativní, prohlásí se za použitelný a vhodný k případné obnově. Tím opět získáte o krůček bezpečnější IT infrastrukturu a více klidu na to věnovat se spíše vašemu podnikání, než samotnému IT.

Jinou komponentou obrany proti kyberútokům jsou specializované hardwarové obvody nebo chcete-li NVMe disky do IBM FlashSystem úložišť, a to je opravdová lahůdka pro fajnšmekry. Jejich historie sahá až k firmě Texas Memory Systems, kterou kdysi IBM koupila. Nicméně firma stále pokračuje ve vývoji některých jejich technologií a aktuálně nám nabízí FCM (FlashCore Module) ve čtvrté generaci. Disky mají velice speciální konstrukci, která umožňuje dosahovat úložištím IBM vysokých výkonů s nízkou latencí, ale i velkých kapacit, největší model má aktuálně kapacitu 38,4 TB.

Nejnovější generaci doplnily hardwarové obvody na každém FCM, které se věnují pouze analýze uložených dat na projevy kyberútoku. A protože jsou moduly základní součástí diskového úložiště a analýzu tak nemusí dělat vzdálený internetový portál, lze na nich zkoumat opravdu každý zápis. Tím zrychlíme případnou detekci a zároveň ochráníme svá data před kompletním zašifrováním nebo smazáním. Detekce může vyvolat okamžité vytvoření neviditelného snapshotu na celém úložišti a my se máme kam vrátit, aniž by návrat musel směřovat daleko do minulosti a nutil nás znovu doplňovat mnohem větší množství případně ztracených dat.

Způsobů a nejrůznějších hardwarových či softwarových komponent v IBM FlashSystem úložištích nebo ve spojení s nimi může být opravdu hodně, a to jsme nevyjmenovali všechny. V ideálním případě je dobré je doplnit nějakou nadstavbou, systémem, do kterého budou směřovat všechny informace a který dokáže nejenom vyhodnotit poplach, ale dokáže i korelovat informace a vazby jednotlivých subsystémů a včas upozornit správce IT, případně automatizovaně spustit reakci např.ve formě nuceného vytvoření snapshotu mimo standardní kalendář. Jedná se o IBM Storage Defender Portal, který už na rozdíl od některých zmíněných komponent není součástí IBM FlashSystem.

Jak vidno i na primárním úložišti lze dnes budovat strukturovanou a efektivní obranu proti kyberútokům. Jsme významný partner IBM a jsme schopni vám připravit návrh řešení dle individuálních potřeb za zajímavých cenových podmínek. Díky vysokým kompetencím pak daný návrh i správně nasadit a následně nabídnout v rámci servisní smlouvy i potřebnou systémovou podporu. Pokud se o takovou možnost zajímáte, obraťe se na svůj obchodní kontakt v Aricomě či neváhejte a vyplňte kontaktní formulář na našem webu.