Recuperarse de ataques de ransomware

Escrito por:

Así como la protección contra intrusiones puede minimizar pero no eliminar el riesgo, la detección rápida y las respuestas automatizadas pueden minimizar, pero no eliminar por completo, el impacto en los sistemas y datos afectados. Un plan integral contra los ciberataques (ya sea malware, ransomware, brote de virus u otra forma de actividad maliciosa) debe incluir necesariamente medidas para minimizar el riesgo de un brote en primer lugar, y un plan de respuesta rápida para limitar el alcance y el impacto. cuando ocurre un ataque. Más allá de eso, deben existir medidas para garantizar que todos los sistemas y datos afectados puedan recuperarse.

Los datos nunca se detienen en un entorno empresarial y un único clúster de Qumulo puede albergar petabytes de datos no estructurados. En una empresa relativamente grande donde las tasas de cambio diario son inferiores al 1 %, un clúster Qumulo de 5 PB podría ver hasta 50 TB de datos nuevos y modificados por día. Dado que los datos cambian constantemente, un plan de recuperación de datos debe minimizar la cantidad de datos que pueden perderse debido a un brote de malware.

Como tal, una estrategia de recuperación puede resultar compleja. Debe incluir todos los sistemas y datos que podrían verse afectados por un ciberataque y contar con planes de mitigación que aborden todos los posibles impactos.

Está más allá del alcance de este documento proporcionar un plan de recuperación completo. Dado que cada empresa opera bajo circunstancias únicas (volumen de datos, tasas de cambio, objetivos de retención y recuperación, y otras consideraciones y limitaciones), cada estrategia de recuperación también será única.

Esta sección del documento proporciona una descripción general de los controles y funciones de Qumulo que se pueden aprovechar para garantizar la recuperación oportuna de cualquier dato afectado.

Snapshots

Las instantáneas en un clúster Qumulo se pueden utilizar de varias maneras para proteger los datos del clúster. Se pueden utilizar solos para una protección y recuperación de datos rápida y eficiente. Una instantánea de los datos en vivo en un clúster de Qumulo se puede replicar en un clúster secundario o en el almacenamiento S3. Alternativamente, una instantánea de Qumulo se puede combinar con una solución de respaldo de terceros para brindar una protección efectiva a largo plazo (con un control de versiones más sólido para archivos modificados) contra la pérdida de datos.

Conceptos básicos de instantáneas

Por sí sola, una instantánea de Qumulo es un método muy eficaz para proteger datos. Se puede tomar una instantánea en cualquier momento, ya sea según un cronograma fijo o según sea necesario. Una vez tomada, una instantánea no consume espacio inicialmente. 

Una instantánea conserva todo lo que hay en el sistema de archivos: datos de archivos, entradas de directorio, tiempos de creación y modificación, permisos, etc. A medida que los archivos dentro de la instantánea cambian con el tiempo, se escriben nuevos datos junto con la versión original y se escriben nuevas entradas en el archivo. sistema que identifica cada versión del mismo archivo. 

Si es necesario revertir un archivo o directorio a una versión anterior, se puede recuperar a partir de una instantánea. Dado que cada instantánea es inmutable (solo lectura), un posible malware o ransomware no podrá cambiar los datos dentro de una instantánea. Las instantáneas se pueden proteger aún más bloqueándolas, lo que evita que se eliminen hasta que haya transcurrido un período de tiempo determinado.

Gestión de políticas de instantáneas

Para automatizar una instantánea programada, un administrador de almacenamiento primero debe definir una política de instantánea con nombre que defina los parámetros y el ciclo de vida de la instantánea. Éstas incluyen:

  • Directorio de destino – esto puede existir en cualquier nivel jerárquico dentro del sistema de archivos.
  • Programa – se puede configurar utilizando una amplia gama de configuraciones, incluidas las horarias o diarias; uno o más días por semana, o con mayor o menor frecuencia según sea necesario.
  • Formato de nombre – se utiliza para determinar cómo garantizar que cada versión de instantánea tenga un nombre único pero identificable para facilitar la recuperación posterior si es necesario
  • Ciclo de Vida – determina si una instantánea puede caducar automáticamente o debe eliminarse manualmente.
  • Cerraduras – si está habilitado, evita que se elimine una instantánea antes de que caduque.

Instantáneas bajo demanda

Además de las instantáneas programadas, Qumulo también admite el uso de instantáneas bajo demanda, que se pueden tomar en cualquier momento desde cualquier lugar del sistema de archivos. Al igual que con las instantáneas programadas, se puede configurar una instantánea bajo demanda para que caduque automáticamente o para que se conserve (con bloqueo opcional) hasta que un administrador la elimine.

Como se mencionó anteriormente en el documento, las instantáneas bajo demanda se pueden automatizar utilizando la API de Qumulo y programarse en la plataforma SIEM o IDP en respuesta a un evento de seguridad detectado. Para obtener más información sobre la gestión de instantáneas programadas, bajo demanda y automatizadas, consulte la Gestión de instantáneas sección del Apéndice al final de este documento.

Bloqueo de instantáneas

Si bien una instantánea es, por definición, inmutable (es decir, proporciona una referencia histórica para el estado de los datos en un momento determinado, en lugar de los datos reales en sí), no es invulnerable a la manipulación externa. Un administrador deshonesto, o un actor externo que utilice una cuenta de usuario comprometida con privilegios elevados y acceso a la interfaz de usuario web, CLI o API, puede cambiar el tiempo de vencimiento de la instantánea para que se elimine prematuramente o eliminar la instantánea por completo. 

Para brindar protección adicional, los administradores pueden aplicar un "bloqueo" como parte de la configuración de la política de contraseña. Si está habilitado, el bloqueo de instantáneas evita la modificación o eliminación de una instantánea (incluso por parte de un administrador de almacenamiento) antes de su fecha de vencimiento.

Habilitar el bloqueo de instantáneas

Para utilizar la función de bloqueo de instantáneas, un administrador primero debe generar un par de claves criptográficas asimétricas utilizando un servicio de administración de claves (KMS) compatible con Qumulo, ya sea a través de su KMS preferido o una herramienta de código abierto, o usando la CLI de Qumulo para generar una directamente. del cúmulo. La clave pública se instala en el clúster (manualmente si la clave se generó externamente o automáticamente si la clave se creó a través de la CLI) y la clave privada debe protegerse utilizando las prácticas de seguridad establecidas por el propio cliente.

Administrar instantáneas bloqueadas

En circunstancias operativas normales, se permitirá que las instantáneas bloqueadas caduquen por sí solas y los administradores podrán aprovecharlas según sea necesario en caso de un ciberataque, a salvo incluso de la manipulación administrativa.

Si un cliente desea eliminar una instantánea bloqueada antes de su fecha de vencimiento (por ejemplo, para recuperar espacio en un clúster casi lleno), deberá generar una solicitud en un sistema separado usando la clave privada y luego cargar la solicitud firmada y autorizada en el clúster antes de que se pueda ajustar la instantánea bloqueada.

Instantáneas con replicación

Para una protección adicional de los datos, las instantáneas se pueden combinar con los servicios de replicación de Qumulo para garantizar que al menos una copia de todos los datos esté alojada en un almacenamiento secundario desde el cual se puedan recuperar si se pierden los datos de la instancia de almacenamiento principal.

Esta instancia de almacenamiento secundario puede ser otro clúster de Qumulo, ya sea local, en un segundo centro de datos o alojado en uno de los proveedores de nube pública (Amazon Web Services, Google Cloud o Microsoft Azure), o un destino S3.

replicación qumulo

El servicio de replicación integrado de Qumulo puede copiar datos a escala entre dos instancias de almacenamiento de Qumulo. Además de proteger los datos contra ataques cibernéticos, una ubicación secundaria con otro clúster de Qumulo también puede servir como almacenamiento de conmutación por error en caso de una interrupción a nivel del sitio. 

Dado que el almacenamiento Qumulo se puede implementar en cualquier lugar (en un segundo centro de datos o en cualquiera de las plataformas de nube pública (Amazon Web Services, Google Cloud y Microsoft Azure)) y ofrece los mismos servicios independientemente de la ubicación, la replicación se puede configurar para ejecutarse. en cualquier dirección entre dos puntos finales de Qumulo.

Replicación continua

Esta forma de replicación simplemente toma una instantánea de los datos en el clúster de Qumulo de origen y la copia en un directorio en un clúster de destino. Mientras la relación de replicación esté activa, el sistema escanea cualquier archivo modificado para identificar y copiar solo los cambios específicos en el destino.

Si bien esto crea una copia del conjunto de datos primario en un segundo clúster, no se recomienda para la protección de datos; ya que cualquier corrupción o pérdida de datos en la fuente principal también se propagará al destino.

Replicación basada en instantáneas

Con la replicación basada en instantáneas, también se toman instantáneas del directorio de destino en el clúster secundario. Una vez que se ha completado un trabajo de replicación, se crea una nueva instantánea del directorio de destino, lo que garantiza datos consistentes en ambos clústeres, además de mantener un registro de cambios para cada archivo en el destino.

Replicación basada en políticas de Qumulo

Estas instantáneas se pueden configurar para que utilicen el mismo vencimiento que la política de instantáneas de origen, o se pueden configurar con tiempos de vencimiento más largos para proporcionar una ventana de recuperación más larga en caso de un ataque de malware.

Replicación hacia/desde el almacenamiento S3

Mientras que el servicio de replicación nativo brinda la capacidad de copiar instantáneas entre dos clústeres de Qumulo, Qumulo también puede copiar datos en cualquier dirección entre el sistema de archivos local y un depósito de AWS S3.

Dentro del depósito de AWS S3, todos los archivos se escriben en formato S3 nativo, sin necesidad de puerta de enlace. Las copias posteriores son incrementales, de modo que solo se copian los archivos modificados, otra forma confiable de proteger los datos de Qumulo fuera del sitio y lejos de un ataque local. 

Dependiendo de la carga de trabajo o las tasas de cambio de datos, es posible copiar instantáneas coherentes en un depósito de S3 y utilizar el control de versiones de AWS para realizar un seguimiento de las múltiples versiones de los archivos en el depósito. Una vez que los datos se han escrito correctamente en el almacenamiento AWS S3, se puede aprovechar la organización por niveles inteligente para mover archivos más antiguos a AWS Glacier o Glacier Deep Archive Storage, lo que proporciona una solución de almacenamiento de datos rentable para los datos que no están en uso activo.

Como todas las demás tareas en el almacenamiento Qumulo, el movimiento de datos hacia y desde el almacenamiento AWS S3 se puede automatizar mediante la API o la CLI.

Integración de respaldo externo

Para una protección de datos a más largo plazo y la capacidad de mantener un historial de versiones más largo para archivos críticos, Qumulo se integra con cualquier archivo basado en protocolo.1 soluciones de respaldo. 

Algunos proveedores, como CommVault y Atempo, utilizan la API de Qumulo para comparar instantáneas e identificar cambios, lo que les permite realizar copias de seguridad incrementales instantáneas sin la necesidad de caminar por un árbol. Otra ventaja de las copias de seguridad basadas en archivos es que la imagen de la copia de seguridad es independiente de la plataforma, lo que significa que, si es necesario, los datos se pueden restaurar en cualquier destino de almacenamiento.

Esta publicación de blog ha proporcionado una descripción general de alto nivel de las características propias de Qumulo y su interoperabilidad con soluciones de protección de datos de terceros para minimizar el impacto de un ataque de malware. Una estrategia de protección integral necesita estrategias y prácticas adicionales para garantizar que cualquier ataque que se produzca pueda descubrirse y contenerse rápidamente, y que cualquier pérdida de datos o servicios afectados se pueda restaurar rápidamente.

Más información

Contáctenos

0 0 votos
Valoración del artículo
Suscríbete
Notificarme sobre
invitado
0 Comentarios
Más antiguo
Más Nuevos Más votados
Comentarios en línea
Ver todos los comentarios

Artículos Relacionados

0
Me encantaría tus pensamientos, por favor comenta.x
Ir al Inicio