Išpirkos reikalaujanti programinė įranga (angl. ransomware) – tai kenkėjiška programinė įranga, neleidžianti vartotojui ar organizacijai pasiekti savo kompiuteryje esančių duomenų ir laikanti juos užrakintus tol, kol užpuolikui bus sumokėta išpirka. Kalbant apie saugumo užtikrinimą ir būtent šio tipo atakų prevenciją, labai svarbu ne tik atpažinti tokias atakas, bet ir sekti bei taikyti prevencines priemones ir įrankius. Ekspertinėmis įžvalgomis šia tema neseniai vykusiame seminare „IBM Defender: kaip atitikti NIS2 reikalavimus ir apsaugoti savo įmonę?“ dalinosi Bartosz Pizon, „IBM Polska“ saugyklų klientų techninis specialistas. Dėl didelio susidomėjimo pranešimo tema ir klausimų gausos, jis sutiko plačiau aptarti renginio metu pristatytus įrankius ir jų teikiamą naudą.
NIS2 direktyva: kas tai ir jam ji taikoma?
Aptariant saugumo užtikrinimui taikomus įrankius, centriniu seminaro akcentu tapo poreikis vadovautis NIS2 reglamentu – visos Europos Sąjungos mastu taikoma direktyva, skirta sistemingam kibernetinio saugumo užtikrinimui tarptautiniu lygmeniu. Ši direktyva išleista 2023 m., o atitikti numatytus reikalavimus privaloma iki 2024 m. spalio 18 d.
NIS2 direktyva taikoma esminėms ir svarbioms įmonėms Europos Sąjungoje. Šios įmonės privalo imtis tinkamų ir proporcingų techninių, operatyvinių ir organizacinių priemonių, kad galėtų valdyti kibernetinio saugumo rizikas ir sumažinti incidentų poveikį savo bei kitoms susijusioms paslaugoms. Direktyva taikoma DNS paslaugų tiekėjams, aukščiausio lygio domenų vardų registrams, debesijos kompiuterijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams, turinio pristatymo tinklų paslaugų teikėjams, valdomų paslaugų teikėjams, valdomų saugumo paslaugų teikėjams, interneto prekyviečių teikėjams, interneto paieškos variklių teikėjams, socialinių tinklų paslaugų platformoms ir patikimumo paslaugų teikėjams.
Savo pranešime B. Pizon akcentavo, kaip tokie sprendimai, kaip IBM FlashSystem ir IBM Defender gali padėti organizacijoms atitikti NIS2 direktyvų reikalavimus naudojant šių sprendimų esamas ir naujas funkcijas, užtikrinančias aukštą kibernetinio saugumo lygį. Taip pat aptartos svarbiausios IBM duomenų saugojimo sprendimų technologinės naujienos, tarp kurių – atnaujinta Storage Virtualize programinė įranga ir naujojo IBM FlashSystem 5300 modelio privalumai bei naujos galimybės.
IBM FlashSystem privalumai ir funkcijos, skirtos saugumo užtikrinimui
Anot B. Pizon, „IBM FlashSystem“ siūlo keletą funkcijų, kurios padeda apsaugoti duomenis nuo ransomware atakų ir atitinka NIS2 reglamentą. Pavyzdžiui, naudodama flash tipo atmintines (FCM4 – Flash Core Module), saugyklos metaduomenis ir dirbtinio intelekto algoritmus, sistema gali aptikti išpirkos reikalaujančią programinę įrangą vos per kelias minutes. Aptikus neįprastą veiklą, pavyzdžiui, duomenų šifravimą, sistema iš karto siunčia įspėjimą, leidžiantį greitai reaguoti ir izoliuoti pažeistą aplinką. Jei duomenims iškyla pavojus, nekeičiamos kopijos (angl. immutable snapshots) leidžia greitai juos atkurti, nesinaudojant išorinėmis atsarginėmis kopijomis, nes visos momentinės kopijos saugomos toje pačioje saugyklos sistemoje. Be to, šis procesas trunka daug trumpiau, nei tradicinis atsarginių kopijų darymas.
Kiek laiko prireikia atakos-incidento aptikimui?
B. Pizon teigimu, įprastai atakos aptikimui reikalingas laikotarpis labai priklauso nuo aplinkybių ir gali užtrukti nuo kelių valandų iki kelių dienų ar net savaičių. Šiuo klausimu pažangių išpirkos reikalaujančios programinės įrangos aptikimo funkcijų naudojimas suteikia itin didelį pranašumą, mat FCM4 flash moduliuose (angl. Flash Core Modules) pažeistus duomenis galima aptikti vos per kelias minutes.
FCM4 veikimo principas paremtas nuolatiniu duomenų stebėjimu. Aptikus neįprastą veiklą, pavyzdžiui, duomenų šifravimą, nedelsiant siunčiamas pranešimas į duomenų saugyklos valdymo įrankį, nurodant, kad konkrečių diskų (angl. volumes) duomenys šiuo metu šifruojami. Toks aptikimas leidžia administratoriams reaguoti greičiau ir suteikia galimybę sustabdyti ataką bei izoliuoti pažeistą aplinką.
Aptikimo tikslumas taip pat didinamas naudojant dirbtinio intelekto algoritmus, kurie mokosi ir atpažįsta standartinius duomenų modelius. Tai reiškia, kad bet kokius nukrypimus galima pastebėti beveik realiuoju laiku. Kartu šios funkcijos sukuria pažangų saugojimo sprendimą, pasirengusį atitikti NIS2 direktyvos reikalavimus.
Kodėl geriau aptikti išpirkos reikalaujančią programinę įrangą duomenų saugykloje (angl. storage array)?
Išpirkos reikalaujančios programinės įrangos aptikimas duomenų saugyklos lygmeniu leidžia administratoriams nedelsiant reaguoti į grėsmes, kurios jau veikia aplinką. Būtent čia FCM4 atlieka svarbų vaidmenį. Pažangių aptikimo funkcijų dėka, duomenys stebimi realiuoju laiku ir administratoriai įspėjami apie neįprastą veiklą beveik akimirksniu. B. Pizon taip pat pabrėžia, kad greitas aptikimas gali gerokai pakeisti žaidimo taisykles, nes administratoriai patys gali greitai reaguoti ir atkurti sistemų veikimą. Visgi kiekviena prastovos minutė įmonėms gali kainuoti šimtus ar tūkstančius eurų nuostolių, tad reagavimo laikas yra kritiškai svarbus.
Be pažangios aptikimo funkcijos, infrastruktūros administratoriai gali dar labiau apsaugoti duomenis automatizavimo funkcijų dėka. Įdiegus automatizuotą momentinių kopijų ir duomenų saugojimo politiką, užtikrinama, kad net ir įvykus atakai būtų galima atkurti naujausias duomenų kopijas. Šiuos parametrus galima sukonfigūruoti taip, kad jie veiktų nuolat. Taip sumažinamas potencialus išpirkos reikalaujančios programinės įrangos poveikį, nes užtikrinama, kad visada būtų parengtos naujausios atsarginės kopijos.
Kokius pokyčius pastebi organizacijos, naudojančios naujas IBM FlashSystem funkcijas (FCM 4.0; Storage virtualize)?
Šiuo klausimu „IBM Polska“ saugyklų klientų techninis specialistas išskiria keturis pagrindinius pokyčius:
Patobulintas saugumas
Išplėstinės „FCM 4.0“ funkcijos užtikrina automatinį aptikimą ir reagavimą į išpirkos reikalaujančios programinės įrangos atakas. Tai suteikia IT skyriui dar vieną saugumo lygį vietoje, kuri dar prieš kelerius metus buvo labai lengvai prieinama ir neturėjo pažangių funkcijų.
Geresnis kibernetinis atsparumas
Automatinės aptikimo ir įspėjimo sistemos leidžia IT komandoms kurti ir tobulinti kibernetinio atsparumo procedūras ir metodus. Galimybė greitai nustatyti grėsmes ir į jas reaguoti kartu sumažina didelės žalos ir prastovų riziką bei užtikrina veiklos tęstinumą.
IBM: integracija su Flashsystem talpykla ir saugumas
„IBM Storage Defender“ – IBM siūlomas sprendimas, kuriuo galima užtikrinti visapusį duomenų saugumą. Jis įgalina organizacijas ne tik apsaugoti duomenis, bet ir sistemingai apsisaugoti nuo kitų kibernetinių atakų grėsmių. Tokį funkcionalumą užtikrina unikali „IBM Storage Defender“ charakteristika.
Pirmiausia, „IBM Defender“ leidžia kurti nekeičiamas kopijas (angl. immutable snapshots). Skirtingai nuo tradicinių momentinių kopijų, kurias galima modifikuoti arba ištrinti, nekeičiamos kopijos sukurtos taip, kad būtų atsparios bet kokiems bandymams suklastoti informaciją. Jos laikomos „Flashsystem“ talpykloje, iš kurios kopijas galima greitai ir saugiai atkurti praradimo atveju ar įvykus saugumo pažeidimui.
Dar viena svarbi charakteristika – pažangus išpirkos reikalaujančių programų aptikimo įrankis. Modernių algoritmų ir kompiuterio mokymo dėka, kibernetinės grėsmės aptinkamos realiuoju laiku, o per minutę nuo aptikimo išsiunčiami įspėjimai administratoriams. Be to, į sprendimą integruotas kompiuterio mokymas per laiką leis aptikti naujas grėsmes ir įtartinus duomenų pakeitimus vis tiksliau. „IBM Defender“ taip pat naudoja metaduomenis, paimtus tiesiai iš „IBM Storage Insights“, kad aptikimo modeliai būtų nuolat tobulinami ir pritaikomi pagal kintančius poreikius ir kibernetinių atakų grėsmes bei tipus.
Apjungus visus šiuos įrankius ir charakteristikas, „IBM Defender“ su „Flashsystem“ talpykla yra itin konkurencingas ir patikimas sprendimas organizacijos duomenų apsaugai nuo kibernetinių atakų, o kartu ir stiprus užnugaris bendrai IT infrastruktūrai
Reikalinga pagalba apsaugant savo organizaciją?
Kreipkitės į mūsų specialistus Kontaktai – BlueBridge