ANNONSEBILAG FRA ARROW

Slik sikrer du dine produksjonsdata mot kryptoangrep

Slik jobber sikkerhetseksperter med fysisk sikring av backup-data.

ANNONSEBILAG FRA ARROW
ANNONSEBILAG FRA ARROW

Stadig flere virksomheter blir utsatt for datainnbrudd og løsepengevirus. Ifølge 2020 Cyberthreat Defense Report fra Imperva, er over halvparten av virksomhetene i undersøkelsen utsatt for ulike kryptoangrep det siste året. Ifølge rapporten betalte omtrent halvparten løsepenger, allikevel mistet en tredjedel av disse viktige data. Å betale seg ut av et angrep er åpenbart en usikker strategi.

– Dataangrep er ofte av internasjonal opprinnelse og kan ramme både små og store virksomheter. Her i Norge har vi det siste året sett flere alvorlige hendelser hvor datakriminelle skaffer seg tilgang på primærdata og krypterer innholdet. Virksomheter i alle bransjer blir forløpende utsatt for angrep som kan medføre tap av verdifulle data eller kostbar nedetid, sier Geir Ole Vee, Data Protection Guru i HPE Norge.

Kan ramme alle

Da Østre Toten kommune ble angrepet tidligere i år ble hele kommuneadministrasjonen satt tilbake til penn og papir. Selv ladestasjonen for kommunens elbiler ble «skrudd av» under angrepet.

– Hendelsene har naturlig nok forårsaket bekymring og vi opplever økt behov for ekspertise slik at man ikke ender opp i en lignende situasjon. Vi vet at datakriminelle kan tjene store beløp med minimal risiko for å bli tatt. Samtidig ser vi at pandemien har økt aktiviteten i det cyberkriminelle miljøet. Datakriminalitet er nå mer lukrativt enn noen annen kriminalitet og gevinsten fra løsepengevirus er sannsynligvis høyere enn fra narkotikamarkedet. Dette er et globalt sikkerhetsproblem.

– Angrepene, som bare øker i omfang, har skapt bekymring både hos bedrifter, kommuner og andre offentlige virksomheter. Mange stiller seg nå spørsmålet «Kan dette også skje hos oss?» og «Hva kan vi gjøre for å hindre at noe lignende kan skje oss?», sier Vee.

Angriper backup-systemer

Vee forteller om økt etterspørsel etter sikkerhetsprodukter og kompetanse på beskyttelse mot ondsinnede angrep rettet mot bedrifters produksjonsdata.

– Den nye trenden er at angrepene ikke bare krypterer bedriftens produksjonsdata, men identifiserer bedriftens backup-systemer og forsøker å slette all backup-historikk før bedriftens produksjonsdata krypteres. Dersom angrepet lykkes med en slik sletting, vil bedriften være totalt avskåret fra muligheten til å kjøre noen form for gjenoppretting.

Han forteller at mange virksomheter da blir sittende igjen med to valg.

– Enten kan man regne alle data som permanent tapt for bedriften og starte med helt blanke ark, noe som vanligvis vil ha dramatiske konsekvenser for bedriftens mulighet til å overleve. Alternativet er å prøve å betale løsepengene og satse på at man får tilbake tilgang på bedriftens data. Imidlertid er det ikke alle typer angrep som gir bedriften tilbake tilgangen selv om løsepenger betales. Dette ser man vanligvis dersom en stat eller politisk organisasjon står bak angrepet hvor penger ofte ikke er det primære målet, sier Vee.

Må sikre produksjonsdata

Vee peker på viktigheten av å beskytte aktive produksjonsdata mot ondsinnede angrep.

– Produksjonsdata skal både kunne opprettes, oppdateres, slettes og krypteres av sikkerhetsmessige grunner som en del av livssyklusen, noe som gjør disse dataene sårbare for ondsinnete oppdateringer. Eksempelvis kryptering hvor krypteringsnøkkelen bare er tilgjengelig for de som utfører angrepet.

– For backup-data, eller sekundærdata, er imidlertid situasjonen noe annerledes. Backup-data er i utgangspunktet et øyeblikksbilde av produksjonsdata på et bestemt tidspunkt. Dette betyr at backup-data er 100 prosent statisk når de opprettes i motsetning til produksjonsdata som er dynamisk av natur. Dette innebærer at en statisk backup kan beskyttes mot ondsinnet tukling, sier han.

Tekniske løsninger for fysisk backup

Vee peker på flere strategier for fysisk sikring av backup-data mot kryptoangrep.

– Den tradisjonelle måten er bruk av tape som fysisk blir «air-gapped» i det øyeblikket kassettene er tatt ut av tape-biblioteket og lagt i en safe. Tape-håndtering er relativt omstendelig og vi har utviklet mer effektive metoder som gjør backup-data «air-gapped».

– Hos HPE ble «virtual lock»-funksjonen tenkt brukt som et compliance-verktøy. Ved å sette «virtual lock» på et backup-snapshot blir det både «read only» og umulig å slette før tiden det skal lagres er utløpt. Den eneste måten å få slettet eller endret et slikt snapshot er å være on-site og ødelegge 3PAR eller Primera. Veeam støtter for øyeblikket ikke «virtual lock», men kunder kan bruke RMC eller schedulere snapshots separat. Slike snapshots kan igjen brukes som gjenopprettingspunkter i Veeam. «Virtual lock» er en essensiell funksjon for kunder som er opptatt av sikkerhet.

– Et annet godt alternativ er StoreOnce sin immutability-funksjon. Immutability innebærer at et objekt hverken kan slettes fra applikasjonsnivå eller administrasjons-GUI før det går ut på dato. Funksjonen krever integrasjon og implementering av backup-løsningen som brukes. Veeam har ikke dette for øyeblikket, men alt tyder på at dette vil komme i versjon 11a. Produkter som RMC, NetBackup, CommVault og Data Protector har alle støtte for StoreOnce immutability i dag.

Ta sikkerhet på alvor

ISikkerhetsstrategier:

  1. Design og konfigurasjon som minimaliserer risikoen for et ondsinnet angrep på bedriftens data generelt.
  2. Aktiv bruk av «air gapped»- og worm-lignende teknologier for backup-data som gjør det umulig å endre eller slette backup-data selv om man er utsatt for et ondsinnet innbrudd

Vee mener det er mye som kan gjøres for å minimalisere risikoen fra et ondsinnet angrep i dag.

– Det finnes allerede flere gode løsninger for sikring av produksjonsdata, og på sikt kan vi eliminere risikoen fra ondsinnet sletting og kryptering. Leverandører som tar denne trusselen på alvor og leverer funksjonalitet og kompetanse på dette området har en massiv fordel.

IGrunnleggende tiltak:

  • Bruk solide brannmurer
  • Oppdater anti-virus
  • Ingen bruk av default brukernavn/passord
  • Bruk av to-faktor autentisering.
  • Bruk Immutability/worm/lås-funksjoner for backup om slike er tilgjengelig.
  • Kritiske lagrings-systemer og applikasjoner som Veeam, StoreOnce, 3PAR, Primera, Nimble og andre bør ikke kobles mot standard ADIR. Bruk heller autentisering gjennom lokal bruker eller et «lukket» ADIR. Kompromittering av ADIR vil gjøre lagringsløsningen sårbar om den er integrert i ADIR som er kompromittert.
  • Sjekk for sårbarheter gjennom root-/admin-bruker på underliggende OS (vanligvis Linux eller Windows) selv om applikasjonen er sikret.

– Til de som tror at «det skjer ikke meg» eller de som tror at «jeg kan betale meg ut av det om det skjer meg»; dersom risikoen for et kryptoangrep er over 50 prosent tilsier enhver sunn fornuft at man må foreta seg noe for å minimere risikoen, avslutter Vee.

Arrow har nå kampanje på tape-basert backup fra HPE, se tilbudet her.

Vi har spesialkunnskap innen lagring og backup-løsninger fra HPE. Har du spørsmål ta gjerne kontakt med Arrow HPE teamet.