El CISO de cada organización sabe que un ataque de malware bajo su supervisión es una cuestión de cuándo, no de si sucederá. Una búsqueda rápida en Google de “brotes recientes de ransomware” muestra una lista aleccionadora de empresas grandes y pequeñas cuyas defensas fueron violadas y que sufrieron una lista variada de consecuencias: pérdida de datos, datos robados, pérdida de ingresos, pagos de ransomware.
Dependiendo del alcance del ataque, los efectos pueden afectar más que solo los resultados de la empresa. El robo de datos de empleados o clientes, incluidos registros médicos o financieros confidenciales, crea riesgos posteriores y consecuencias más allá del balance de la empresa. Peor aún, en caso de ataques de ransomware a hospitales, los tratamientos médicos pueden retrasarse o negarse.
Más allá de la pérdida de ingresos y negocios, en algunas industrias la falta de protección de los sistemas y datos comerciales críticos puede generar sanciones regulatorias y legales adicionales: multas, acuerdos e incluso responsabilidad penal. Como si eso no fuera suficiente, el impacto en la reputación de cualquier administrador de almacenamiento, director de TI y CSO podría ser duradero o incluso permanente.
¿Cómo entra el ransomware? Déjame contar las formas…
Los ciberdelincuentes utilizan tácticas inteligentes para infiltrarse en el entorno de una empresa en múltiples capas e implementar ransomware. Uno de los más comunes es la ingeniería social, tal vez un correo electrónico de phishing en el que se engaña a un miembro de la empresa para que comparta credenciales o descargue malware y deje entrar la amenaza.
Las unidades USB, las redes de socios, las vulnerabilidades sin parches y las contraseñas fáciles de obtener son vectores de amenazas potenciales para que el malware pueda entrar. Los modelos de trabajo híbridos crean más. Por eso es importante adoptar un enfoque holístico de la seguridad para evitar la entrada, detectar y contener el ransomware cuando ocurre y contar con un plan de recuperación.
Ransomware: la anatomía de un ataque
El ransomware puede infectar casi cualquier dispositivo con un sistema operativo o conexión digital: dispositivos de red, dispositivos IoT, computadoras de escritorio, servidores, cámaras digitales, impresoras y unidades USB externas. El objetivo de la mayoría de los ataques de ransomware es exfiltrar datos y/o cifrarlos para obligar a las organizaciones a pagar por las claves para descifrar sus datos. Los ataques suelen ocurrir en fases:
- Obtenga acceso a la red y al menos un dispositivo inicial
- Infectar tantos dispositivos adicionales como sea posible para recopilar información
- Extraer datos
- Implemente módulos adicionales que; por ejemplo, cifrar datos
- Encriptar datos para extorsión
En la primera fase, los intrusos continúan recopilando más información sobre la infraestructura (usuarios, flujos de datos, topologías de red, dispositivos). Luego, en una etapa posterior, comienzan a filtrar datos y/o cargar malware adicional para iniciar otros subprocesos que pueden acceder a datos y cifrar archivos.
Es por eso que se necesita una estrategia de gestión de riesgos eficiente que se centre en los vectores de ataque para prevenir infecciones o detectar fases tempranas en el punto de la red y computar dispositivos donde ocurrió la infección. El almacenamiento de datos se encuentra al final del ciclo de infección. Cuanto más tiempo se ejecuta el malware, más se propaga la infección, lo que complica la recuperación ante desastres y la reanudación de las operaciones.
Arquitectura de seguridad holística de Qumulo: descripción general
Un enfoque de seguridad holístico para detección de ransomware captura datos de tantos dispositivos como sea posible para identificar eventos sospechosos en los puntos de entrada para su análisis y correlación. Tras la detección, se toman medidas para evitar que el ransomware obtenga acceso a las capas posteriores, incluido el almacenamiento de archivos.
Implementar un enfoque de seguridad integral que incluya técnicas de monitoreo de eventos, dispositivos, redes y computación, junto con correlación y análisis de datos, es preferible a las soluciones de seguridad en silos que están integradas en el sistema de almacenamiento. El objetivo es evitar que el ransomware se acerque a los datos de su archivo.
Cada sistema Qumulo está diseñado teniendo en cuenta la seguridad e incluye un amplio espectro de tecnologías y servicios de datos modernos diseñados para mantener los datos seguros. La arquitectura de software de Qumulo es un sistema de archivos especialmente diseñado con una pila de protocolos desarrollada de forma nativa. No utiliza ningún código de terceros para los protocolos de acceso a datos de archivos. Las actualizaciones periódicas de software no disruptivas incluyen actualizaciones de imágenes de Qumulo y correcciones de errores, y abordan problemas conocidos de vulnerabilidad y exposición (CVE) a medida que se descubren.
Por estas y más razones, Qumulo puede respaldar una estrategia de seguridad integral en tres dominios. La prevención está cubierta en esta publicación. La detección de intrusiones es el tema del segundo artículo de la serie, y la tercera publicación abordará la recuperación de datos y la reanudación del negocio en el segundo artículo de esta serie de tres partes.
La seguridad inherente de la pila de software Qumulo
El primer objetivo del ransomware es esconderse detrás de su firewall y entrar en su red, donde el malhechor pueda observar, moverse y planificar un ataque más profundo. La arquitectura de software de Qumulo incluye protección específica en cada nivel de la pila para reducir la superficie de amenaza disponible para ransomware y otros exploits, que incluyen:
Arquitectura de sistema segura
La pila de software Qumulo fue diseñada desde el principio para lograr la seguridad del sistema más estricta posible. Muchas de estas medidas son inherentes al propio entorno operativo y se ponen automáticamente a disposición de todos los clientes de Qumulo en todas las implementaciones.
Adaptaciones del entorno Linux
Si bien el software de Qumulo se ejecuta en hardware estándar de nivel empresarial combinado con una versión de soporte a largo plazo de Ubuntu en implementaciones locales, el sistema operativo Linux subyacente está bloqueado, lo que permite solo las operaciones necesarias para realizar las tareas de soporte requeridas del software Qumulo. pila. Otros servicios estándar de Linux se han desactivado para reducir aún más la superficie de riesgo de un ataque.
Pila de software totalmente nativa
Aunque Linux incluye componentes de código abierto para proporcionar servicios de servidor y cliente tanto NFS como SMB (por ejemplo, Samba, Ganesha, etc.), estos servicios no están incluidos en la imagen reforzada de Ubuntu que admite la pila de software Qumulo. Qumulo desarrolla y controla todo el código utilizado para los protocolos de acceso a datos NFS, SMB, FTP y S3, en el entorno operativo Qumulo. Cualquier riesgo que pueda surgir de vulnerabilidades conocidas o descubiertas en componentes de terceros se neutraliza eficazmente mediante el control de Qumulo sobre su código propietario.
Ejecución de aplicaciones en el espacio de usuario
El software Qumulo no solo se desarrolla de acuerdo con las mejores prácticas de codificación segura, lo que reduce aún más la posible superficie de ataque y el riesgo de vulnerabilidades explotables, sino que también está completamente contenido dentro del espacio de usuario del sistema operativo Linux subyacente. Incluso si se descubre y explota una vulnerabilidad de Linux, el atacante podría apoderarse de los privilegios de usuario en el dispositivo subyacente, pero aún así no podría acceder a los controles de administración propietarios de Qumulo ni a los datos del sistema de archivos.
Nivel de separación del sistema operativo
No existe una vía o medio posible para compartir usuarios o privilegios en el sistema operativo subyacente con usuarios y privilegios dentro del entorno operativo Qumulo: la plataforma Qumulo no reconoce las cuentas de usuario en la imagen base de Linux, cuya base de usuarios generalmente tampoco se mantiene. en Active Directory o en una base de datos local dentro del clúster. Este es un enfoque diferente al de otras plataformas de almacenamiento de archivos, donde un usuario de nivel administrador o raíz con acceso local a cualquiera de los nodos o controladores de almacenamiento puede acceder y manipular fácilmente todos los datos, incluso dentro del sistema de archivos o en cualquier volumen local. .
Actualizaciones instantáneas
La arquitectura basada en contenedores de Qumulo permite un proceso de actualización único que minimiza las interrupciones para los usuarios y los flujos de trabajo. De forma progresiva, nodo por nodo, el nuevo software operativo se implementa en un contenedor paralelo a la versión anterior. Una vez que se ha inicializado la nueva instancia, el entorno anterior se cierra correctamente y la actualización continúa con el siguiente nodo hasta que se haya actualizado todo el clúster.
Este proceso se compara favorablemente con el de otras plataformas de almacenamiento, que pueden publicar actualizaciones menores cada pocos meses y actualizaciones importantes anualmente, lo que genera oportunidades menos frecuentes para cerrar nuevos agujeros de seguridad.
Cifrado de datos en reposo basado en software
Todos los datos en un clúster Qumulo local se cifran automáticamente a medida que se escriben en el disco utilizando un algoritmo compatible con AES de 256 bits, lo que garantiza que todos los datos en un sistema Qumulo estén protegidos contra malos actores incluso si pueden obtener acceso al sistema. medios físicos en sí.
Para implementaciones locales, el cifrado de software es parte de la pila del sistema de archivos. El algoritmo de cifrado se inicializa como parte del proceso inicial de creación del clúster y abarca todos los datos y metadatos del sistema de archivos a nivel de bloque.
Los clústeres de Qumulo en la nube dependen del cifrado a nivel de bloque dentro de la capa de almacenamiento en la nube, lo que garantiza que todos los datos en reposo en cualquier instancia de Qumulo estén completamente cifrados.
Proteger y asegurar los sistemas y datos de Qumulo
Sin embargo, más allá de las características de seguridad inherentes a la arquitectura de Qumulo, hay una capa de controles y servicios configurables para proteger los datos en su instancia de Qumulo, así como la instancia misma.
seguridad administrativa
Esta sección describe las opciones disponibles, así como otras prácticas recomendadas para mantener un alto nivel de seguridad.
integración de Active Directory
Más allá de la necesidad de restringir el acceso al sistema solo a cuentas autorizadas y proteger los datos a nivel de disco mediante cifrado, la siguiente capa de protección de datos requiere un directorio seguro de cuentas de usuario desde el cual se puedan administrar los derechos y permisos de almacenamiento y acceso a los datos.
El software Qumulo fue diseñado para aprovechar Microsoft Active Directory (AD) para derechos y permisos tanto administrativos como de usuario. Las cuentas AD se pueden configurar tanto para la administración de clústeres como para el acceso de clientes.
Control de acceso basado en roles
El control de acceso basado en roles (RBAC) permite a los administradores asignar privilegios específicos a usuarios o grupos regulares y aliviar sus privilegios cuando sea necesario, manteniéndolos lo más mínimo posible. Esto permite delegar tareas administrativas y de gestión del sistema a los usuarios sin otorgarles derechos administrativos completos.
Además del incorporado administradores grupo, que tiene acceso completo y control del clúster Qumulo, actualmente hay dos roles predefinidos más:
- Administradores de datos: La función de Administradores de datos es ideal para cuentas de usuario de API/CLI. Con esta función, un usuario o grupo no tendrá acceso a la interfaz de usuario web, pero tendrá los mismos privilegios de archivo que la función de Administradores junto con algunos otros.
- Observadores: Con la función de Observadores, un usuario o grupo tendrá el privilegio de acceder a la interfaz de usuario web y a las API de solo lectura con algunas excepciones (API de depuración y configuración de autenticación).
Al igual que con los locales administradores, estos grupos se pueden completar con las cuentas de usuario de Active Directory apropiadas para otorgar los privilegios necesarios y al mismo tiempo garantizar un seguimiento de auditoría verificable del acceso y el uso de privilegios.
Inicio de sesión único con autenticación multifactor
El inicio de sesión único (SSO) elimina la necesidad de que un administrador vuelva a ingresar sus credenciales de inicio de sesión para obtener acceso al sistema. Las empresas quieren SSO no sólo porque agiliza el proceso de inicio de sesión, haciendo que sea más conveniente para los administradores autenticarse, sino también porque reduce el riesgo de robo de cuentas a través de registradores de pulsaciones de teclas o interceptación cuando el intento de inicio de sesión atraviesa la red.
La autenticación de múltiples factores (MFA) agrega otra capa de seguridad al proceso de inicio de sesión, ya que requiere que los usuarios administradores recuperen un código de un solo uso de un token clave o de una solicitud de desafío en un dispositivo separado, ninguno de los cuales estaría en posesión de un intruso. Qumulo admite cualquier proveedor de identidad (IdP) que se integre con el dominio de AD registrado en el clúster, incluidos, entre otros, OneLogin, Okta, Duo y Azure AD.
Restricciones de tráfico de gestión
Exigir a los usuarios administrativos que utilicen sus cuentas de Active Directory y se autentiquen mediante SSO con MFA elimina gran parte del riesgo de acceso desde una cuenta de administrador comprometida. Sin embargo, algunas organizaciones tienen políticas de seguridad adicionales que requieren que el acceso de administrador a los sistemas empresariales esté restringido a una o más redes específicas o VLAN.
Al ofrecer la capacidad de bloquear puertos TCP específicos a nivel de VLAN individual, Qumulo permite la segmentación del tráfico de administración (por ejemplo, API, SSH y UI web, y la replicación) del tráfico del cliente (por ejemplo, SMB y NFS).
Seguridad del sistema de archivos y de los datos
Para todos los controles de seguridad integrados de Qumulo, aún corresponde a los administradores empresariales configurar sus sistemas y datos de acuerdo con los estándares de la industria, las mejores prácticas de Qumulo y sus propias políticas de seguridad internas.
Asegurar acciones y exportaciones
Para escenarios en los que la tenencia múltiple no es factible, como clústeres basados en la nube o recursos compartidos/exportaciones a los que deben acceder algunos (pero no todos) los usuarios dentro de una VLAN de un solo inquilino, Qumulo ofrece opciones adicionales para limitar la visibilidad de acciones y exportaciones.
Enumeración basada en acceso
Qumulo permite ocultar recursos compartidos de SMB a usuarios no autorizados. Además, se puede habilitar la enumeración basada en acceso (ABE) para cada recurso compartido. Al hacerlo, solo se mostrarán a ese usuario los archivos y carpetas a los que un usuario tiene permiso de acceso. Si un usuario no tiene permisos de lectura o permisos equivalentes para una carpeta, la carpeta está oculta a la vista del usuario.
Compartir permisos (SMB)
Los niveles de acceso a los recursos compartidos de SMB también se pueden administrar a nivel individual o según la membresía de un grupo. Los modelos de permisos son más simples que las ACL a nivel de directorio y archivo y ofrecen solo permisos de lectura, escritura y cambio, así como la opción de permitir o denegar esos permisos a usuarios o grupos individuales.
Los recursos compartidos de SMB también se pueden ocultar a todos los usuarios, ya sea que se les haya concedido acceso o no. Montar un recurso compartido oculto requiere un conocimiento explícito de la ruta del recurso compartido para impedir que posibles intrusos exploren los recursos compartidos.
Restricciones de exportación y reglas de acceso al host
Las restricciones de host por rango de direcciones IP del cliente proporcionan una buena manera de reducir las superficies de ataque al limitar el acceso compartido/exportación a hosts específicos, independientemente de los permisos de usuario/grupo de ese recurso compartido. Actualmente hay versiones de este control disponibles tanto para SMBv3 como para NFSv3.
Seguridad del sistema de archivos y a nivel de red
Además de los controles descritos anteriormente, todos los cuales se centraron en asegurar el acceso a recursos compartidos y exportaciones, Qumulo también admite una serie de medidas de seguridad para administrar el acceso a los directorios y archivos dentro de cada recurso compartido o exportación.
Si bien el entorno operativo Qumulo cumple con los estándares de seguridad definidos por los diferentes protocolos de acceso a archivos, y aunque Qumulo también ha diseñado una serie de funciones cruzadas personalizadas para simplificar el proceso y maximizar la seguridad de los datos en entornos multiprotocolo, todavía existen algunos protocolos. diferencias de nivel cuando se trata de gestionar la seguridad de los datos.
Listas de control de acceso
Para cargas de trabajo a las que se accede a través de SMB y NFSv4, Qumulo admite la autenticación a través de Active Directory y listas de control de acceso (ACL) estilo Windows que se pueden compartir entre ambos protocolos.
Cifrado de datos por cable
Incluso con las configuraciones adecuadas de seguridad a nivel de datos y recursos compartidos implementadas, algunas empresas necesitan una capa adicional de seguridad de datos para protegerlos del acceso no autorizado. El cifrado de recursos compartidos se puede implementar en todo el clúster para todos los recursos compartidos de SMB si es necesario, o por recurso compartido si solo es necesario para algunos datos. Para cargas de trabajo NFSv4.1 que lo requieren, Qumulo admite la seguridad de paquetes krb5i para garantizar la integridad de los datos y el cifrado de paquetes krb5p para evitar que los datos sean interceptados y leídos en tránsito.
Una estrategia de protección integral
A pesar de todas las precauciones, políticas y mejores prácticas disponibles diseñadas para proteger los datos y minimizar el riesgo, no existe ninguna garantía de seguridad contra la posibilidad de un ataque de malware o de que un intruso obtenga acceso no autorizado a sistemas y datos críticos.
Esta publicación de blog ha proporcionado una descripción general de alto nivel de las funciones y controles de seguridad inherentes y configurables de Qumulo. Una estrategia de protección integral necesita estrategias y prácticas adicionales para garantizar que cualquier ataque que se produzca pueda descubrirse y contenerse rápidamente, y que cualquier pérdida de datos o servicios afectados se pueda restaurar rápidamente.
Más información
- Parte 2: Detección de ataques de ransomware en tiempo real con Qumulo
- Parte 3: Recuperarse de ataques de ransomware
- Descargue la última Documento técnico sobre arquitectura y prácticas de seguridad
Contacto
- Haga clic en aquí para programar una reunión.
- Suscríbete al blog de Qumulo para obtener historias de clientes, conocimientos técnicos y noticias sobre productos.