نسخههای پشتیبان غیرقابل تغییر مانند یک موضوع جالب به نظر میرسند، اما به نوعی مدیران عامل، هیئتهای مدیره، و متخصصان ریسک و حسابرسی ناگهان علاقه مند میشوند. آنها عصبی هستند – اما چرا؟ تهدید چیست و پشتیبان گیری تغییرناپذیر چگونه کمک می کند؟ و اگر 100 درصد حجم کاری خود را در فضای ابری عمومی اجرا کنند، سازمانهای فناوری اطلاعات چگونه میتوانند چنین ایدهای را به یک واقعیت فنی تبدیل کنند؟
تهدیدات جدید در حال افزایش
Ryuk، NotPetya، و حملات سایبری روسیه به اوکراین قبل از تهاجم، زنگ خطری شبیه پیرهاربر برای CIOها و CISOها هستند. هدف باجافزار Ryuk نفوذ به زیرساختهای فناوری اطلاعات برای رمزگذاری دادههای حیاتی شرکت است. سپس، آنها به رمزگشایی دادهها پس از پرداخت باج «پیشنهاد» میدهند. آنها درخواست پرداخت شش رقمی می کنند، نه میلیون ها – مبلغی که یک SME یا سازمان معمولی می تواند بپردازد، خواه یک بیمارستان، یک مدرسه یا یک سازمان دولتی باشد. این اولین تهدیدی است که در حال افزایش است. دومی مربوط به حملات سایبری مخرب تحت حمایت دولت است که حمله NotPetya در سال 2017 نمونه بارز آن است. این داده های قربانیان را بدون اینکه کسی (از جمله مهاجمان) قادر به رمزگشایی آنها باشد، رمزگذاری می کند. در حالی که شرکت های اوکراینی اهداف اولیه بودند، اما در سراسر جهان گسترش یافت. بنابراین، اولین یادگیری NotPetya این است: شرکتها و سازمانهای مرتبط با سیستم مانند شرکتهای برق، نیروگاهها یا خطوط لوله نفت و گاز، اهداف اصلی حملات مخرب تحت حمایت دولت هستند. دوم، خسارت جانبی وجود دارد. چرا یک مهاجم روی الگوریتمهای پیچیده سرمایهگذاری میکند تا حمله را محدود کند و فقط شرکتهای برق را هدف قرار دهد، در حالی که میتواند به شرکتهای دیگر در یک کشور هدف آسیب برساند، حتی با تلاش مهندسی کمتر؟ تبدیل شدن به آسیب جانبی درگیریهای سایبری و حملات سایبری در سطح دولتی امروز یک تهدید واقعی است.
گونهشناسی تهدیدات سایبری جدید
ویژگیهای حملات سایبری امروزی هنگام مقایسه آنها با یک رویداد بدافزار جهانی که مدتها پیش بود، آشکار میشود. مدیران باتجربه فناوری اطلاعات ممکن است اوایل ماه مه 2000 را به یاد بیاورند. این روزهایی بود که بسیاری از کارمندان در محل کار ایمیل های عاشقانه دریافت می کردند. با این حال، زمانی که منشی، رئیس شما و مدیر عامل کمی قبل از خرابی سرورهای ایمیل برای شما ایمیلی با عنوان “دوستت دارم” می نویسند، باید مشکوک شوید. کرمی که در ویژوال بیسیک برنامهریزی شده بود، دنیا را به دام انداخت. علاوه بر انجام برخی اقدامات مخرب در رایانه محل کار، با ارسال خود به عنوان یک پیوست ایمیل به تمام مخاطبین Outlook قربانی تکرار می شود. حملات امروزی، مانند Ryuk یا NotPetya، متفاوت و خطرناک تر هستند:
- ILOVEYOU کامپیوترهای محل کار را هدف قرار داده است. آنها، علاوه بر دستگاه های تلفن همراه، امروز فقط یک درب ورودی برای مهاجمان هستند. سرورها جکپات هستند.
- تشخیص ILOVEYOU آسان بود. ایمیلهای شگفتانگیز، خرابی سرورها – مدیران باید فعال شوند. در مقابل، امروزه شرکتها هنوز 20 درصد از سازشها را در هفت روز اول شناسایی نمیکنند (گزارش رویداد SANS 2019).
- آسیب ILOVEYOU نه سیستماتیک بود و نه کرم سعی کرد حداکثر آسیب را وارد کند. در مقابل، مهاجمان امروزی زیرساختهای فناوری اطلاعات قربانی را تجزیه و تحلیل میکنند و سعی میکنند نقشهای مدیریتی را برای به حداکثر رساندن آسیب به عهده بگیرند.
با این تغییر چشمانداز تهدید، شرکتها ممکن است بخواهند احتمال حملات ویرانگر را دوباره ارزیابی کنند. مهاجمان برای سقوط یک شرکت مجبور نیستند همه پایگاه های داده را حذف کنند. اگر گانگسترهای سایبری «فقط» پایگاههای اطلاعاتی مورد نیاز برای مؤلفه احراز هویت بانکداری آنلاین را همراه با نام مشتریان و پایگاه داده آدرس رمزگذاری کنند، چه اتفاقی میافتد؟ اگر مدیریت موجودی و پایگاه داده زنجیره تامین رمزگذاری شده باشد، آیا یک شرکت صنعتی می تواند زنده بماند؟ هنگامی که شرکت ها چنین ریسکی را غیرقابل قبول ارزیابی می کنند و شروع به جستجوی گزینه های کاهش می کنند، پشتیبان گیری (تغییرناپذیر) دیگر یک فناوری خاص نیست، بلکه موضوع هیئت مدیره است.
موارد استفاده پشتیبان: چهار قدیمی و یک تازه کار
راهحلهای پشتیبان در دهه گذشته به اندازه گورستانها در شب بارانی نوامبر در نیمهشب، نوآوری و اقدام را شاهد بودند. اما اکنون، ظهور ابرهای عمومی بهعنوان ذخیرهسازی پشتیبان (که در اینجا متمرکز نیست)، حملات سایبری پیچیده، و امید و نیاز به نسخههای پشتیبان غیرقابل تغییر در ابر، صحنه را به هم میزند.
راه حل های پشتیبان گیری کلاسیک چهار مورد استفاده برجسته را پوشش می دهند:
- خرابی دستگاه: اجزای فنی از کار می افتند، به عنوان مثال، یک هارد دیسک خراب می شود، و هیچ راهی برای بازیابی داده ها از این دیسک وجود ندارد.
- خرابی های عملیاتی: یک مهندس یک پایگاه داده حیاتی، یک VM، یک اشتراک فایل یا هر سیستم یا راه حل ذخیره سازی دیگری را به اشتباه حذف می کند.
- حفاظت عملیات حیاتی: یک مهندس یک تغییر مخاطره آمیز را برنامه ریزی می کند، به عنوان مثال، نصب یک وصله یا پیکربندی مجدد یک طرح پایگاه داده. قبل از اعمال تغییر، یک کپی می کند. اگر مشکلی در تغییر وجود داشته باشد، او وضعیت قبلی را از پشتیبان بازیابی می کند.
- خرابی سایت: مرکز داده یک شرکت با همه سرورها از دسترس خارج می شود، به عنوان مثال، به دلیل سوختن.
مورد استفاده جدید برای پشتیبان گیری غیرقابل تغییر است:
- بازسازی حملات سایبری: توانایی بازسازی وضعیت کار همه برنامهها و دادههای آنها پس از حمله سایبری که حسابهای مدیریت را در اختیار گرفته و منابع حیاتی را حذف یا رمزگذاری کرده است.
تفاوت اصلی بین موارد استفاده از نسخه پشتیبان کلاسیک و نسخه پشتیبان غیرقابل تغییر برای بازیابی حملات سایبری، توانایی “بقا” با مهاجمی است که بالاترین امتیازات مدیریت را دارد. هنگامی که در فضای ابری عمومی هستند، شرکت ها نمی توانند وسایل و سیستم های ذخیره سازی را در یک مرکز داده قرار دهند و آنها را با حقوق کاربر محلی و یک صفحه کلید اضطراری مدیریت کنند. همچنین نمی توانید از روبات های پشتیبان که اطلاعات شما را روی نوار می نویسند استفاده کنید. در فضای ابری، یک ادمین می تواند (تقریبا) همه چیز را انجام دهد. بنابراین، شرکت ها به مفاهیم جدید پشتیبان نیاز دارند.
در قسمت دوم این مجموعه دو قسمتی، کلاوس هالر به بررسی پیاده سازی و جایگزین های پشتیبان های غیرقابل تغییر در ابر عمومی می پردازد.