Infinidat Blog

Развивайте стратегию хранения данных с учетом Регламента GDPR и атак программ-вымогателей

Эран Браун, Технический директор в регионе EMEA

С тех пор, как в конце мая 2018 г. в силу вступил Общий регламент по защите данных (G DPR), не утихают споры о рисках в связи с утечками данных. Утечки данных - это серьезный риск для любого бизнеса, хранящего конфиденциальную информацию, и с ним приходится считаться (смотрите мой предыдущий пост на эту тему). Однако акцент на утечки, хоть и оправданный, отодвинул на второй план другое важное требование GDPR, в чем-то диаметрально противоположное первому и касающееся защиты от потери данных.

Так в чем разница?

  • Утечка данных - ситуация, когда неуполномоченное третье лицо получает доступ к конфиденциальной информации, к которой - по идее - должна была иметь доступ только сама организация.
  • Потеря данных - ситуация, когда сама организация теряет доступ к конфиденциальной информации своих заказчиков.

 

В последние годы потеря данных чаще всего связана с атаками программ-вымогателей: у всех на слуху вирусы WannaCry, Petya (а потом - NotPetya) и CryptoLock. В 2017 г. из всего вредоносного ПО самыми частыми были атаки программ-вымогателей, и в отдельных отраслях (например, в здравоохранении) на них пришлось свыше 70% потерь данных.

Интересно, сталкиваясь сегодня с лавиной ИТ-задач, успевает ли организация разработать надежную стратегию противодействия атакам программ-вымогателей?

 

Проблема 1. Обнаружение программы-вымогателя

Современная программа-вымогатель подолгу остается в тени, чтобы зашифровать как можно больше данных, пока ее, наконец, не обнаружат. Зашифровав достаточное количество данных, такая программа блокирует работу пользователя и требует заплатить выкуп в криптовалюте за возврат данных в нетронутом виде. Такая атака очень эффективна, но и у неё есть ахиллесова пята: поскольку изменения со временем накапливаются, их можно обнаружить, имея механизм отслеживания изменений, который идет бесплатным дополнением к любой современной СХД. Речь о моментальных снимках!

 

Они обычно весьма компактны по сравнению с размером самого набора данных, а при неэффективном использовании дискового пространства зашифрованными данными моментальные снимки начинают занимать все больше и больше места. Если система хранения ведет какой-то мониторинг и оповещает о занятом дисковом пространстве, то ИТ-специалисты могут легко обнаружить разрастание объемов данных и среагировать задолго до того, как хакеры заблокируют работу пользователей.

 

Проблема 2. Быстрое реагирование на атаку программы-вымогателя

Если бы вирус-вымогатель мог, не привлекая к себе внимания, шифровать 100 ТБ данных, скажем, в течение недели, то моментальные снимки, сделанные за это время, тоже были бы поражены и их нельзя было бы использовать для восстановления данных. Администраторам пришлось бы потратить не один час на восстановление этих ста терабайт по сети с резервной копии, при этом нет гарантии, что среди восстановленных файлов не будет поврежденных.

В то же время по размеру моментального снимка можно сразу понять, содержит ли он зашифрованные данные.

Таким образом, если организация может получить доступ к своим моментальным снимкам, проверить их содержимое и сразу же восстановиться с правильного снимка, то на восстановление данных уйдут не дни, а минуты.

 

Проблема 3. Предотвращение быстрого заполнения дискового пространства

Один из рисков, который обычно не упоминается в контексте программ-вымогателей, состоит в том, что за время "тихой" работы такой программы системы хранения могут заполниться со средних 80% до 100%, что приведет к сбою в работе приложений.

Чем больше емкость запоминающего массива, тем больше на нем свободного места, а значит, и времени, отведенного администраторам на выявление атаки и принятие мер. Однако массив большей емкости означает большую консолидацию данных и требует более высокой надежности. Двухконтроллерные архитектуры, впервые спроектированные в 1990-х годах для терабайтных объемов, не в состоянии обеспечить тот новый уровень надежности, которого требует петабайтная эра.

 

Решение InfiniBox для борьбы с атаками программ-вымогателей

Хотя оборудование в InfiniBox используется потребителями совместно, InfiniBox предоставляет пулы емкости, которые позволяют заказчикам разделять данные ключевых приложений. Таким образом, пулы емкости InfiniBox гарантируют заказчикам, что быстрое заполнение дискового пространства в одной области (возможно, пораженной вирусом-вымогателем) не нарушит работу приложений в другом пуле. Аналогичным образом, сегментация сети минимизирует риск того, что хакеры смогут перемещаться между хостами.

Помимо сегментации, защищающей данные приложений на уровне пулов, InfiniBox - самим своим масштабом - обеспечивает защиту на системном уровне, поскольку свободное пространство централизуется, а не разносится на множество мелких массивов. В результате у администраторов есть больше времени, чтобы обнаружить атаку и среагировать на нее.

 

Пулы емкости дают дополнительные преимущества для защиты от атак программ-вымогателей:

 

  • Гарантии дискового пространства: заранее выделенное (гарантированное) дисковое пространство отделяется от совместно используемого пространства, которое расходуется только по запросу.
  • Предупреждение: мониторинг дискового пространства в реальном времени позволяет оповещать администраторов о потенциальной угрозе
  • Автоматическое реагирование: когда пул заполнится, система среагирует согласно политике роста, установленной для этого конкретного пула.
  • Политика позволяет:
    • Предотвращать автоматический рост пула (обычно применяется к некритичным приложениям)
    • Разрешать рост пула, но только в заданных пределах (обычно применяется только к более важным приложениям)
    • Разрешать неограниченный рост пула по мере необходимости (применяется к критичным приложениям, которые должны работать без сбоев, даже несмотря на свой быстрый рост)

 

Защита от атак программ-вымогателей и от потери данных в целом требует комплексного подхода: моментальные снимки помогают обнаружить и быстро восстановиться после таких атак, пулы емкости изолируют ключевые приложения, а динамическое управление емкостью избавляет заказчика от необходимости выделять ее заранее. Если никак не удается привыкнуть к регламенту GDPR или найти новые способы борьбы с постоянными атаками программ-вымогателей, самое время обратиться в компанию INFINIDAT и узнать, как ее СХД могут защитить данные и обеспечить бесперебойную работу бизнеса.

 

Об Эране Брауне.

Эран Браун, Технический директор INFINIDAT в регионе EMEA. Последние 14 лет Эран проектировал решения для ЦОД на уровне приложений, виртуализации, сети и - больше всего – на уровне хранения. До этого он руководил продуктовым менеджментом, занимался системным инжинирингом и консалтингом, работал с компаниями из различных отраслей (финансы, нефтегаз, телеком, ПО и веб-технологии) и помогал им планировать, проектировать и развертывать масштабируемые инфраструктуры для поддержки бизнес-приложений.

Перейдите в Geek Prank и попробуйте онлайн-симулятор Windows XP, поиграйте с классическими играми Minesweeper и Tetris или послушайте музыку.

About Infinidat