Conformidad con el RGPD: La pérdida de datos y el Ransomware

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) a finales de mayo de 2018, abundan los debates sobre el riesgo de brechas en los datos. Se trata de un escenario de alto riesgo para cualquier empresa que mantenga datos privados y requiere una especial atención (puede leer mi blog anterior sobre este tema).

El enfoque sobre las violaciones de datos, si bien está justificado, ha eclipsado otro requisito crítico del RGPD que en cierto modo está diametralmente opuesto: la pérdida de los datos. ¿Y cuál es la diferencia? Una violación de los datos se produce cuando un tercero no autorizado accede a datos privados que supuestamente están sólo al alcance de la organización. La pérdida de datos se produce cuando la organización ya no puede acceder a los datos privados de sus clientes. En los últimos años, la causa más frecuente de pérdida de datos ha sido el ransomware con nombres tan conocidos como WannaCry, Petya (y después el “NotPetya”) y CryptoLock. En 2017, el ransomware fue el tipo de ataque de malware más usual, afectando a más del 70 % en algunos sectores (como la Sanidad)

Con tantos riesgos que afrontar, ¿tiene su organización una estrategia sólida para los Ransomware?

Reto nº 1: Detección del Ransomware

Los Ransomware permanecen ocultos durante largo tiempo para cifrar la mayor cantidad de datos posible, antes de ser detectados. Cuando alcanza un límite crítico, bloquea el acceso de usuarios y reclama un rescate en criptomoneda. Se trata de un comportamiento muy eficaz, pero también el talón de Aquiles de este vector de ataque: puesto que los cambios se acumulan con el tiempo, estos pueden detectarse si existe un mecanismo capaz de hacer un seguimiento de esos cambios. Este mecanismo normalmente está incluido de forma gratuita en cualquier solución de almacenamiento moderna: las instantáneas.

Las instantáneas, que normalmente consumen un porcentaje mínimo del tamaño del conjunto de datos, comenzarán a crecer desproporcionalmente, consumiendo capacidad. Si su cabina de almacenamiento proporciona algún tipo de supervisión y alarmas de consumo de capacidad, la organización puede detectar fácilmente este aumento en la capacidad y reaccionar mucho antes de que el atacante bloquee a los usuarios.

Reto nº 2: Respuesta rápida ante el Ransomware

Si el ataque silencioso fue capaz de cifrar 100 terabytes (TB) de datos, por ejemplo, durante una semana, los backups de esa semana también estarán comprometidos y no pueden usarse para recuperar los datos. Así que los administradores se ven forzados a recuperar 100 TB de la red desde un objetivo de backup, lo que llevará horas sin ninguna garantía de que la recuperación no contenga archivos corruptos.

Sin embargo, el tamaño de una instantánea sugerirá inmediatamente si contiene datos cifrados.

Por lo que, si una organización que utilice instantáneas puede acceder a ellas, probar los datos que contiene y recuperar inmediatamente la instantánea correcta, se reduce el tiempo de recuperación de día a minutos.

Reto nº 3: Evitar la explosión de capacidad de almacenamiento

Un riesgo que por lo general no se menciona en el contexto del Ransomware es que la capacidad adicional consumida durante este tiempo "en silencio" puede llevar a las cabinas de almacenamiento a pasar de su capacidad media del 80% a alcanzar el 100%, produciendo en consecuencia fallas en las aplicaciones.

Una cabina de almacenamiento mayor significa más espacio libre para que los administradores tengan tiempo de identificar y responder al Ransomware, pero también significa más consolidación y, por tanto, mayor riesgo. La arquitectura de doble control que ofrecen muchos de los proveedores de almacenamiento actuales, no es lo bastante fiable para manejar estos tamaños de datos.

​

La receta secreta de InfiniBox para combatir los Ransomware

El hardware en un InfiniBox se comparte en pools entre los consumidores, pero también ofrece pools de capacidad que ofrecen a los clientes un modo de separar las aplicaciones críticas entre ellas. De este modo, los pools de capacidad de InfiniBox permiten a los clientes garantizar que la explosión de capacidad en un área, corrupta por el Ransomware, no puede hacer fallar las aplicaciones de los otros pools.

Es parecido al modo en que los clientes segmentan su red para minimizar el riesgo de atacantes moviéndose entre hosts.

Por otro lado, la necesidad de mayores buffers de capacidad para identificar y responder a los ciberataques, sin que se produzca una explosión de la capacidad de almacenamiento, se alinea con el diseño de alta capacidad de InfiniBox lo que lo convierte en perfecto para cualquier entorno tecnológico que pueda ser víctima de un Ransomware.

Además, los pools de capacidad ofrecen otras ventajas adicionales para protegerse frente a los Ransomware:

• Garantías de capacidad : Separación de la capacidad preasignada (garantizada) de la capacidad compartida no comprometida que sólo se consume bajo demanda.
• Alertas : Supervisión en tiempo real de la capacidad para alertar a administradores ante una amenaza.
• Respuesta automática : Cuando un pool está lleno, el sistema responderá en función de la política de crecimiento establecida para ese pool en concreto. La política puede evitar:
  • Crecimiento automático: normalmente se aplica a apps no críticas
  • Capacidad de crecer hasta ciertos límites: normalmente se aplica sólo a las apps más importantes
  • Capacidad de crecer todo lo que necesite: apps críticas para la misión que no pueden fallar incluso si crecen muy rápido

La protección de los Ransomware (y de la pérdida de datos en general) requiere un enfoque polifacético: Las instantáneas ofrecen detección y recuperación rápida de estos ataques, los pools de capacidad ofrecen la separación necesaria para salvaguardar las apps críticas para la misión y también la gestión dinámica de la capacidad que evita la necesidad de pre-aprovisionar la capacidad.

​

Descargue el documento: Entender el impacto de la seguridad de datos integral