Ransomware: Best Practices in everaging Backup Solutions


כמעט ולא עובר יום ללא ידיעה על ארגון נוסף אשר נפגע מכופר או הצפנה. לא משנה אם מדובר על ארגון קטן ודל תקציב ומשאבי IT או על חברה גדולה ורבת משאבים ויכולות. כמאמר המשורר Sh*t Happens. אני בטוח שהאירוניה בכך שהצפנה, שנועדה לאבטח מידע ולמנוע גישה לא רצויה אליו והפכה להיות האיום הגדול עליו, לא חמקה ממרבית אנשי ה IT.

הבשורות החיוביות: למרבית הארגונים יש פתרון גיבוי אשר מנוהל באופן שוטף על ידי אנשי ה IT ויכול לשחזר את המידע שנפגע. מנגד, ברור לכולם שאתגר זה, שכולל השבתה רחבה ומהותית של תשתיות IT רבות, כלל לא היווה שיקול בתכנון ובניית פתרון גיבוי ארגוני. ומשום כך מערכות הגיבוי הנוכחיות מתקשות להתמודד עם איום זה.


מגבלות הפתרונות הקיימים העיקריות הן:

סביבת הגיבוי בעצמה חשופה לאיום ויכולה להיפגע - במקרה כזה על הארגון יהיה לאושש את מערכת הגיבוי לפני שהוא יכול לשחזר את סביבת הייצור

סביבות הגיבוי אינן בנויות לשחזור של עשרות ולעיתים מאות שרתים, בסיסי נתונים וספריות

תהליכי השחזור איטיים מאוד

גם במערכות בהן ניתן "להניע" שרתים ללא שיחזור מדובר עם יכולת מוגבלת מאוד למספר מועט של שרתים ובקצבים נמוכים מאוד

בשביל להגן על תשתית הגיבוי נדרש עותק Offline כגון קלטות ואו עותקים מנותקים/מבוססי Air GAP


לאור מגבלות אלו הוסיפו ארגונים רבים כלי גיבוי נוספים כגון DB Dumps, Storage Snapshots, replication +point in time ועוד, אשר נועדו לספק מענה למקרה זה. דבר זה הופך את מערכת הגיבוי לכלי המשמש בעיקר לתזמון גיבויים ושמירת מידע לטווח ארוך וכמענה לרגולציה.

מערכת ה Rubrik נבנתה באופן שמספק מענה מלא בפני האיומים הללו ומאפשרת לארגון חזרה מיידית בזמן. המערכת כוללת 3 מרכיבים מהותיים המספקים פתרון מלא:

1. הגנה על המידע המגובה

2. יכולת חזרה מיידית לעבודה ללא צורך בשיחזור, תוך מתן ביצועים גבוהים

3. איתור ותיקון מידע שניזוק באופן נקודתי


הגנה על המידע המגובה:

להבדיל מ פתרונות גיבוי מסורתיים מוגנת מערכת ה Rubrik בפני שינויים ואינה מאפשרת שינוי מידע שנכתב עליה (Immutable). בכך מונעת המערכת בפני נוזקות לפגום במידע המגובה ובמערכת ה Rubrik עצמה. המשמעות היא שבמידה ומידע הייצור נפגע ניתן לחזור לנקודה תקינה בזמן.


יכולת חזרה מיידית לעבודה:

מערכת ה Rubrik מבוססת על תצורת scale-out active\active עם רכיבי Flash המספקים ביצועים גבוהים מאוד. המערכת מנגישה את המידע בתצורת read\write באופן מיידי. המשמעות היא שהמערכת משמשת כ 2nd Tier Storage במקרה של כשל ומאפשרת עבודה ישירות על Rubrik ללא צורך בשחזור מידע. השימוש ברכיבי Flash ובלפחות 4 בקרים פעילים מספק יתירות ושרידות מלאה, ללא תלות בשרת מנהל בודד כמו בסביבות גיבוי מסורתיות.


איתור ותיקון מידע שניזוק באופן נקודתי:



שירות נוסף הוא מערכת ה Radar. שירות זה זכה לפני מספר חודשים כמוצר ה Security של השנה בכנס VMworld. מערכת Radar מבוססת הענן מקבלת MetaData מתוך הRubrik ומנתחת את המידע. המערכת בונה באופן אוטומטי baseline של שינויים לכל שרת בארגון ובודקת האם השינויים בשרת חורגים מbaseline זה.

Leverage machine learning to detect and alert on anomalies



במידה והשינויים חורגים מהנורמה המערכת מתריע בפני מנהל המערכת על חשד לransomeware/נזק לסביבת ייצור.

Analyze changes to file content to identify what was impacted where



לאחר מכן מבצע ה Brik בחינה של הקבצים שהשתנו ובודק האם התוכן שלהם הוצפן - במידה וכן מתריעה המערכת על הבעיה.

Restore to the most recent clean state with just a few clicks



וכאן, מספקת המערכת יכולת אוטומטית לשיחזור המידע הפגום בלבד לכל נקודה בזמן שנבחר. תהליך זה הינו פשוט ומיידי ויכול לחסוך זמן ומשאבים רבים.


7 צפיות