Tomasz Magda | 28.02.2024

Disaster Recovery – czym jest odtwarzanie awaryjne? Rozmowa z Tomaszem Magdą, Product Managerem z Flowberg IT

Disaster Recovery to zagadnienie, które w ostatnim czasie zyskuje na popularności – firmy coraz częściej dostrzegają potrzebę odtwarzania awaryjnego po „zdarzeniu niszczącym” lub po incydencie bezpieczeństwa. Potwierdzają to również dane – według raportu Veeam ,,Trendy w ochronie danych 2021”, popularność rozwiązań Disaster Recovery wzrosła w ciągu ostatnich dwóch lat o niemal 1/5 (19%). Nic w tym dziwnego, zważywszy na fakt, iż skuteczne wdrożenie rozwiązań z obszaru DR to dla dużych organizacji oraz MŚP główne zabezpieczenie przed zaburzeniem ciągłości działania, a co za tym idzie, ochrona przed szeregiem konsekwencji technicznych, finansowych i wizerunkowych.

Obszar Disaster Recovery jest dość pojemny i zazwyczaj błędnie interpretowany, zwłaszcza w aspekcie definicyjnym. Dlatego postanowiliśmy nieco uporządkować to zagadnienie, osadzając je odpowiednio wśród innych rozwiązań i strategii cyberodporności. W tym celu zapraszamy Was do rozmowy z Tomaszem Magdą – Product Managerem Flowberg IT, który od niemal dekady specjalizuje się w rozwiązaniach z obszaru ciągłości działania, odtwarzania awaryjnego i wysokiej dostępności.

Na początek jednak polecamy krótką ściągawkę, która pozwoli Wam odnaleźć się w gąszczu akronimów, anglojęzycznych nazw i definicji.

Ciągłość działania – dotyczy zwykle organizacji i oznacza zdolność do utrzymania krytycznych operacji (procesów) nawet, gdy wystąpią istotne przeszkody. Dotyczy to wszelkich sfer funkcjonowania organizacji oraz skutków wpływu czynników mikro- i makroekonomicznych.

Business Continuity Plan – BCP (Plan Ciągłości Działania) – dokument określający strategię działania w celu zabezpieczenia ciągłości działania organizacji. Opisuje kroki, które należy podjąć przed, w trakcie lub w odpowiedzi na nieoczekiwane sytuacje, które zagrażają działalności firmy. Do zdarzeń zakłócających ciągłość działania możemy zaliczyć: klęski żywiołowe, zdarzenia niszczące, w tym pożar czy zalanie, utratę danych czy zatrzymanie lub zaszyfrowanie przez Ransomware systemów informatycznych organizacji. Zadaniem BCP jest identyfikacja ryzyk oraz spisanie procedur mających na celu zagrożeniom zewnętrznym, minimalizowanie ich potencjalnych skutków (Business Impact Analysys) oraz redukowanie potencjalnych przestojów wynikających z nieprzewidzianych zdarzeń, które bezpośrednio dotykają organizację. 

Disaster Recovery (Odtwarzanie awaryjne) – szereg zaplanowanych i opisanych działań mających na celu przywrócenie dostępności i funkcjonalności infrastruktury IT po zdarzeniach niszczących zasoby lub dane. Instrukcje i procedury dotyczące odzyskiwania po awarii są zwykle zawarte w Planie Odtwarzania Awaryjnego obszaru IT (IT Disaster Recovery Plan), który jest elementem Planu Ciągłości Działania.

Disaster Recovery as a Service (DRaaS) – outsourcing usług obszaru odtwarzania awaryjnego, którego podstawowe elementy to aplikacje, łączność sieciowa, pamięć masowa oraz moc obliczeniowa po stronie usługodawcy. Usługa umożliwia replikowanie krytycznych systemów i danych z ośrodka podstawowego (czyli z infrastruktury klienta) do centrum danych usługodawcy. Celem takiego działania jest zapewnienie zdolności do szybkiego uruchomienia całego lub części środowiska w infrastrukturze dostawcy usługi, w razie gdy wystąpi zdarzenie niszczące dane lub systemy w ośrodku klienta.

Backup – procedura regularnego tworzenia kopii zapasowych plików i obrazów całych maszyn, która pozwala odzyskać dane i przywrócić działanie systemów oraz aplikacji po awarii lub incydencie naruszającym spójność danych. Opracowana i wdrożona polityka backupu w organizacji jest częścią Planu Odtwarzania Awaryjnego Obszaru IT.

Wszystko jasne? No to zapraszamy do wywiadu.

1. Wdrożenie i utrzymanie rozwiązań z zakresu Disaster Recovery to często dla firm być albo nie być. Skoro tak, czy w Polsce ta praktyka jest standardem? I co za tym idzie – ilu szacunkowo mamy specjalistów lub firm specjalizujących się w DR w Polsce?

W organizacjach procesy powinny mieć swojego właściciela, żeby działały prawidłowo, dlatego też szczególnie średnie i duże firmy rzeczywiście powinny zapewnić w swoich szeregach osoby, które opracowują, wdrażają oraz testują plany odtwarzania awaryjnego, będące częścią Planów Ciągłości Działania (Business Continuity Plan). Dość częstą praktyką jest sięganie po outsourcing w zakresie tworzenia planów – wówczas samym utrzymaniem i aktualizacją może zająć się osoba z mniejszym doświadczeniem.

W polskich firmach zainteresowanie obszarem Odtwarzania Awaryjnego jest małe, co niejako implikuje niewielką podaż osób, które się tym zajmują. Co ciekawe, na świecie funkcjonują 4 instytucje certyfikujące osoby zajmujące się Disaster Recovery (DR):

  • DRI International (USA),
  • Certified Information Security (USA),
  • Mile2 (USA),
  • EC-Council (USA).

Każda z nich ma opracowaną ścieżkę certyfikacji dla specjalistów DR i trzeba podkreślić, że jest to droga dla ludzi bardzo zdeterminowanych 😊. Na przykład, aby zdobyć Certified Business Continuity Professional (CBCP) wydawany przez DRI International, kandydaci muszą wykazać się dziesięcioletnim doświadczeniem w obszarze Business Continuity Management. Mało tego, trzeba napisać 5 esejów, z których 2 muszą dotyczyć: analizy wpływu na biznes (BIA), tworzenia strategii ciągłości działania, opracowywania i wdrażania planów ciągłości działania lub utrzymywania oraz testowania planów ciągłości działania. Koszt szkolenia i egzaminu wynosi 2900 USD. Recertyfikacja jest wymagana corocznie i jeszcze trzeba wnosić opłatę roczną za utrzymanie certyfikatu. A to jeszcze nie koniec – trzeba także zdobywać punkty aktywności edukacyjnej (CEAP), aby zachować certyfikację – 80 punktów na 2 lata.

Jak więc widać, zdobycie i utrzymanie certyfikacji potwierdzającej kompetencje w zakresie Disaster Recovery wymaga wielu zabiegów. Nadmienię jeszcze, że nie słyszałem, by ktoś w Polsce zdobył ten certyfikat.

2. Czy z cyberzagrożeniami jest trochę tak jak w serialu „Haker”, że każdy system można obejść, w efekcie niszcząc jego dane? Co wtedy? Czy zawsze można odzyskać dane po ataku?

Nie oglądałem serialu „Haker”, ale niestety tak – nie ma systemu, do którego nie można się włamać. Zawsze jest jakiś słaby punkt. W dodatku sztuczka z odzyskiwaniem danych po incydencie udaje się zwykle tylko w filmach. Trzeba też pamiętać, że atak może dotknąć każdego, gdyż wraz z popularyzacją modelu Ransomware as a Service, liczba automatycznych ataków na dane wzrasta wykładniczo. Stworzenie przez cyberprzestępców kanału pośredniego, opartego o oprogramowanie do szyfrowania danych i wymuszania okupów, naprawdę daje w kość przedsiębiorcom, także i w Polsce.

Dlatego tak ważne jest odpowiednie zabezpieczanie danych, a więc budowanie odpornej na ataki architektury systemów backupu. Samo wdrożenie reguły 3-2-1, której elementem jest przechowywanie kopii zapasowych w innej lokalizacji (off-site backup / backup poza siedzibą), potrafi uratować organizację w obliczu udanego ataku Ransomware, czy też innego incydentu bezpieczeństwa wycelowanego w pamięć masową. Kopia zapasowa przechowywana poza zaatakowanym środowiskiem staje się ostatecznym zabezpieczeniem kluczowym dla odzyskania danych i odtworzenia systemów.

3. Z jakimi wyzwaniami z zakresu ochrony danych najczęściej mierzycie się w Waszej pracy?

Przypadki są najróżniejsze, ale łączy je jedno – nie doszłoby do nich, gdyby nie określona liczba zaniedbań i informatyczna brawura. Niestety, zwykle impulsem do wdrażania zmian w zakresie ochrony danych jest incydent bezpieczeństwa. Wtedy dopiero wychodzą na jaw różne fakty i potwierdza się uniwersalna zasada – ufaj, ale sprawdzaj. Pozytywne jest to, że w sytuacji zagrożenia ciągłości działania organizacji, wszyscy grają do jednej bramki, a dzięki temu można na przykład w tydzień wdrożyć coś, co do tej pory odkładano latami. Zwykle wtedy – wspólnie z zespołem klienta – układamy wiele obszarów na nowo, w każdym razie inaczej, zgodnie z najlepszymi praktykami w zakresie cyberodporności.

Na liście klasycznych błędów, które bardzo często spotykamy przy okazji wdrożeń, czy interwencji, umieściłbym:

  1. Przechowywanie kopii zapasowych na tej samej pamięci masowej, na której znajdują się dane produkcyjne, a do tego traktowanie zrzutów migawkowych jako backupu.
  2. Przyjęcie jednej ogólnej zasady wykonywania kopii zapasowych dla wszystkich systemów, bez rozróżnienia, czy mamy do czynienia z bazą danych, czy z repozytorium plików albo aplikacją. Efektem jest np. brak spójności transakcyjnej baz danych po odtworzeniu.
  3. Rozproszenie zadań backupu między różne systemy, wynikające najczęściej z pozornej oszczędności na wdrożeniu centralnego systemu backupu.
  4. Brak testów odtwarzania z kopii zapasowej, co nierzadko zamienia się w katastrofę, gdy po incydencie okazuje się, że nie można odtworzyć danych z kopii.
  5. Brak osoby odpowiedzialnej za proces backupu i odtwarzania w firmie.

4. Od czego powinna zacząć organizacja, która chce wdrożyć rozwiązania Disaster Recovery?

Osobiście rekomenduję działanie, jakim jest spisanie Planu Odtwarzania Awaryjnego Obszaru IT. I nie chodzi tu o tworzenie kilkudziesięciostronicowego tomiszcza, lecz o napisaną prostym językiem, kilkustronicową instrukcję opisującą, co i w jaki sposób mamy robić w określonej sytuacji. Chodzi o to, by wiedzieć co robić, gdy zmaterializuje się określone ryzyko – wtedy najważniejsze jest szybkie i zdecydowane działanie, czyli procedowanie zgodnie z wcześniej zaplanowanym schematem. W sytuacji awaryjnej nie ma miejsca na to, żeby dopiero zabierać się za obmyślanie rozwiązania. Ważne jest też, by ten dokument był stale dostępny dla zespołu odpowiedzialnego za Disaster Recovery w firmie. Należy też, rzecz jasna, aktualizować procedury w zgodzie ze zmianami wprowadzanymi w środowiskach IT. Tworząc plan, dokonujemy inwentaryzacji i hierarchizacji zasobów, co w następnych krokach pomoże w doborze właściwego rozwiązania technicznego.

5. Czy Disaster Recovery polega wyłącznie na odtwarzaniu awaryjnym danych?

Disaster Recovery nie ogranicza się do odtworzenia danych. To raczej zespół działań, procesów i procedur, mających na celu zarówno zabezpieczenie przed awarią, jak i przywrócenie działania usług IT, gdy awaria wystąpi. Chodzi o to, by jak najszybciej przywrócić zdolność organizacji do prowadzenia działalności operacyjnej. Ważne jest przy tym, by rozróżnić odtwarzanie z backupu od przełączenia awaryjnego na środowisko zapasowe. Wyciąganie danych z backupu to zwykle czasochłonny proces związany z kopiowaniem danych z repozytorium backupu na docelową pamięć masową i niestety nie zawsze kończy się on sukcesem.

Weźmy następujący scenariusz dla lepszego zwizualizowania istoty Disaster Recovery. W średniej firmie wydawniczej awarii uległa macierz dyskowa, na której pracują systemy produkcyjne, albo – co zdarza się o wiele częściej – macierz trzeba odłączyć i zabezpieczyć jako dowód w postępowaniu po cyberincydencie. Co w takiej sytuacji da nam backup danych? No właśnie, mamy spory problem. Dlatego podczas planowania odtwarzania awaryjnego od razu trzeba zdecydować, na jakich zasobach realizowane będą fazy failover czy partial-failover – czyli innymi słowy, gdzie będzie odbywać się przetwarzanie danych w sytuacji przełączenia awaryjnego.

6. Jak w praktyce realizowane jest Disaster Recovery w organizacji? Jaka technologia sprawdza się najlepiej i dlaczego?

W uproszczeniu, odtwarzanie awaryjne opieramy na backupie i replikacji. Zasadniczym celem backupu jest długoterminowa ochrona danych, natomiast celem replikacji jest zapewnienie dostępności systemów, np. w innej lokalizacji. Planując Odtwarzanie Awaryjne należy uwzględnić zarówno backup jak i replikację. Tylko takie podejście do DR pozwoli dostosować scenariusze odtworzeniowe do rodzaju i dotkliwości incydentu bezpieczeństwa, czy też stopnia wpływu czynnika niszczącego.

W praktyce DR to sekwencyjna replikacja asynchroniczna – a rzadziej synchroniczna – do drugiego ośrodka przetwarzania lub do chmury. Replikujemy zwykle wirtualne maszyny utrzymujące procesy krytyczne w organizacji. W przypadku awarii ośrodka podstawowego, z takich replik składowanych w ośrodku zapasowym można uruchomić środowisko IT i przełączyć pracę właśnie na ten ośrodek (failover). Po tym, gdy uzyskamy zdolność do ponownego uruchomienia ośrodka podstawowego, następuje faza failback, w której maszyny ośrodka podstawowego synchronizowane są o zmiany, które zaszły w ośrodku zapasowym. Pomyślne zakończenie fazy failback pozwala na ponowne przełączenie przetwarzania na ośrodek podstawowy.

DRC & DRaaS | replikacja | failover | failback

Rysunek 1 – Fazy DRC & DRaaS | replikacja | failover | failback

Jeżeli chodzi o technologię, to trzeba ją bezwzględnie dopasować do stosu technologicznego, który już posiadamy. Nadto, należy uwzględnić istniejące procedury, plany ciągłości działania i oczekiwania biznesowe w zakresie akceptowalnej utraty danych, jak i czasu przywracania – parametry RPO (Recovery Point Objective) i RTO (Recovery Time Objective).

Disaster Recovery - RPO & RTO

Rysunek 2 – Disaster Recovery – RPO & RTO

My realizujemy wdrożenia Disaster Recovery albo jako projekty DRC, albo jako usługę poziomu aplikacji – DRaaS. W drugim przypadku preferujemy rozwiązanie firmy Veeam Software, której jesteśmy partnerem w programie Veeam Cloud Service Provider (poziom Gold).

7. Coraz większą popularnością wśród polskich firm cieszy się od jakiegoś czasu DRaaS, czyli Disaster Recovery w formie usługi. Wyjaśnij proszę, na czym ona polega i jaka jest różnica pomiędzy DRC, a DraaS?

Generalnie model „as a Service” zdobywa rynek. Nie zawsze jednak jest on możliwy do zastosowania. Na przykład, jeżeli chodzi o Disaster Recovery, czym bardziej niszowa technologia i wyśrubowane parametry RTO/RPO, tym bardziej nieuchronne jest użycie klasycznego podejścia, czyli Disaster Recovery Center. Jest to z resztą najstarszy i najdroższy sposób realizacji DR. Polega na zdublowaniu części infrastruktury serwerowej oraz sieciowej i umieszczeniu jej w innej lokalizacji, np. w centrum danych dostawcy (kolokacja). Taka nadmiarowość oparta na dwóch centrach danych umożliwia replikację synchroniczną lub asynchroniczną wszelkich krytycznych maszyn wirtualnych i ustawień wraz z danymi, a więc de facto pozwala na utrzymywanie klona środowiska podstawowego. W oparciu o tak zaprojektowane środowisko zapasowe, można dokonać przełączenia awaryjnego (failover), a po określonym czasie wykonać failback i przełączyć się ponownie na przetwarzanie w oparciu o ośrodek podstawowy.

W przypadku stosowania popularnych technologii komercyjnych, głównie w zakresie wirtualizacji (vSphere, Hyper-V), wachlarz możliwości realizacji DR jest o wiele szerszy. Przede wszystkim, możliwe jest skorzystanie z gotowych usług budowanych przez centra danych, hyperscalerów czy dostawców usług. Wówczas unikamy inwestycji, a usługę DR odbieramy w modelu abonamentowym (Opex). Nadal możliwe jest uruchamianie awaryjne z replik, z tą różnicą, że zamiast na własnych serwerach ośrodka zapasowego, odtwarzanie następuje w chmurze dostawcy (IaaS). Na tym właśnie polega Disaster Recovery as a Service.

Usługodawcy zwykle proponują pełny outsourcing i oferują wsparcie techniczne oraz administracyjne doświadczonego w tym obszarze inżyniera IT, bo jak już wspomniałem, wiedza wdrożeniowa z tego obszaru nie jest w Polsce zbyt powszechna.

Rozmawiała: Natalia Dutkiewicz

Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Tomasz Magda | 29.01.2024

O tym, jak zadbać o bezpieczeństwo kopii zapasowych, opowiada Tomasz Turek z Veeam Software

Co to znaczy, że kopia zapasowa jest NIENARUSZALNA i dlaczego to tak ważny aspekt ochrony danych? Czym jest linuxowe utwardzone repozytorium i czy jest to najlepsza metoda zapewnienia nienaruszalności backupu? Jak skutecznie testować kopie zapasowe i w jaki sposób wykorzystać do tego celu narzędzia ze stajni Veeam? O to i jeszcze więcej zapytaliśmy Tomasza Turka, Senior Systems Engineer z Veeam Software, który o backupie wie niemal wszystko.
 
Zapraszamy więc do materiału w dwu formatach. Dla tych, którzy wolą poczytać, mamy artykuł, a dla tych, którzy lubią pooglądać i posłuchać – wideo. Uwaga – znajdziecie tutaj sporo technicznego żargonu, więc artykuł jest skierowany raczej do specjalistów IT oraz osób z praktyczną wiedzą z obszaru backupu i odtwarzania.

Czym jest nienaruszalność kopii zapasowych i jak ją zrealizować w praktyce?

O nienaruszalności kopii zapasowej mówi nam atrybut Immutability Object Lock, który oznacza, że kopia jest nieusuwalna i niemodyfikowalna przez określony czas. Nie może jej ,,tknąć” ani administrator systemu backupu ani administrator infrastruktury, ani nikt inny w organizacji, bez względu na to, jaki poziom uprawnień posiada. 

Tomasz Turek wskazuje na kilka rozwiązań technicznych oferowanych przez Veeam Software, które realizują nienaruszalność backupu. Do stworzenia podstawowej ścieżki nienaruszalności kopii zapasowej poleca na przykład wykorzystać repozytorium linuksowe, czyli tzw. Linux Hardened Repository, w którym można oznaczyć atrybutem Immutability cały system plików.

W zależności od dostawcy chmurowego, Veeam pozwala nadać flagę Object Lock bezpośrednio na storage’u obiektowym – na przykład na Microsoft Azure lub na buckecie S3 w AWS – bez względu na to, czy mówimy o środowiskach hyperscalerowych czy o środowiskach opartych o macierze S3, znajdujących się w naszej lokalizacji, które natywnie wspierają taką opcję. W przypadku tego rozwiązania również nie ma mowy o usunięciu atrybutu Immutable, bez względu na poziom posiadanych uprawnień.

Ostatnią możliwością jest wykorzystanie urządzeń deduplikacyjnych, jak na przykład HPE StoreOnce, które w ramach swojego firmware’u również pozwala na założenie Object Locke’a i nieusuwanie backupu przez określony czas.

Czym jest linuxowe utwardzone repozytorium? Jak za jego sprawą realizowana jest ochrona przed usunięciem kopii zapasowej?

Linuxowe utwardzone repozytorium to rozwiązanie, które warto stosować, gdy nie posiadamy macierzy obiektowych i nie mamy możliwości wysłania naszych backupów ,,na zewnątrz”, czyli na przykład na taśmę. To rozwiązanie jest bardzo bezpieczne choćby dlatego, że Linux Hardened Repository spełnia kilka amerykańskich regulacji: SEC 17a-4(f), FINRA 4511(c) oraz CFTC 1.31(c)-(d) (według raportu Cohasset Associates), które stawiają to repozytorium na równi z repozytoriami WORM (Write-Once-Read-Many).

A jak to wygląda w praktyce? Veeam w czasie inicjalizacji linuxowego repozytorium wykorzystuje konto root do stworzenia znacznika Immutable w taki sposób, by użytkownik, „po którym” się komunikujemy, nie miał uprawnień do usunięcia lub modyfikacji oznaczonych danych. Można jedynie wydłużyć czas życia znacznika, nie można go natomiast skrócić lub całkowicie zdjąć. Co ważne, gdy mamy już wspierające nienaruszalność repozytorium, włączenie flagi Immutability zrealizować można z poziomu konsoli Veeam za pomocą zaledwie jednego checkboxa.

Czy utwardzone repozytorium linuxowe jest najlepszą metodą realizacji nienaruszalności kopii zapasowych?

Według Tomasza Turka linuxowe repozytorium jest jednym z podstawowych sposobów osiągnięcia nienaruszalności kopii zapasowej, ale nie jedynym. Stosunkowo bezpieczną metodą jest również wykorzystanie środowisk niezależnych od naszej firmowej infrastruktury do przechowywania kopii zapasowych. To na przykład środowiska zewnętrznych service providerów lub hyperskalerów, które gwarantują zupełnie inną domenę uwierzytelniania.

W przypadku ataku na nasze lokalne środowisko mamy jeszcze kopie zapasowe u service providera, gdzie dane są bezpieczne z dwóch powodów. Po pierwsze – zewnętrzna domena uwierzytelniania jest solidną barierą przed zaatakowaniem repozytorium Service Providera, nawet jeśli nasze lokalne dane uwierzytelniania zostały przejęte. Po drugie – dostawcy usługi backupu poza siedzibą (off-site backup) mają możliwość opóźnienia akcji usuwania kopii zapasowych ze swojego repozytorium, co znacząco zwiększa szanse na odzyskania danych po udanym ataku na lokalne repozytorium backupu. 

Rozważając to na przykładzie, gdybyście stali się ofiarą cyberataku mającego na celu nie tyle zaszyfrowanie danych, co na przykład ich usunięcie, service provider może ustanowić politykę, która mówi, że nawet w przypadku otrzymania komendy ,,Usuń kopie zapasowe” zadanie to realnie zostałoby zrealizowane dopiero po 7 dniach, co daje wystarczająco dużo czasu na odtwarzanie awaryjne.

Jakie są najlepsze praktyki testowania kopii zapasowych?

Najlepszą praktyką w zakresie testowania kopii zapasowych jest… sam fakt jej testowania. Najważniejsze jest to, żeby o regularnym testowaniu backupu pamiętać, niezależnie, czy będziemy to robić automatycznie czy manualnie, czy jakkolwiek inaczej – każda forma testowania znacząco zwiększa bezpieczeństwo danych.”

– mówi Tomasz Turek

Proces testowania backupu można skutecznie zautomatyzować – służy do tego na przykład funkcjonalność Veeam o nazwie SureBackup. Aby uruchomić regularny proces testowania backupu za pomocą tego narzędzia, wystarczy raz zdefiniować zadanie testowania, które automatycznie włącza maszyny wirtualne z repozytorium kopii zapasowych, bez konieczności wykorzystywania storage’u produkcyjnego.

Co ważne, w tym procesie maszyny wirtualne włączane są w wyizolowanej strefie sieciowej, czyli w tzw. wirtualnym laboratorium – więc nic nie stoi na przeszkodzie, aby zarówno maszyny produkcyjne, jak i maszyny testowe znajdowały się na tym samym środowisku. Funkcja SureBackup automatycznie weryfikuje, czy maszyna wirtualna została poprawnie uruchomiona, czy system operacyjny takiej maszyny został zainicjalizowany oraz czy pingujemy maszynę po to, by móc podłączyć ją do sieci. Poza tym, w tym procesie możemy zweryfikować poprawność działania aplikacji, czy taka aplikacja została poprawnie włączona. W ostatniej fazie mamy możliwość skorzystania zarówno z predefiniowanych skryptów, jak i skryptów definiowanych przez użytkownika.

W procesie testowania kopii zapasowej ważna jest również identyfikacja uszkodzeń fizycznych oraz obecności wirusów infekujących backup. SureBackup weryfikuje w tym celu cały łańcuch backupowy sprawdzając, czy nie nastąpiła na przykład awaria dysku lub kontrolera na macierzy, a także – wykorzystując najnowsze sygnatury antywirusowe – sprawdza, czy zawartość kopii zapasowej jest bezpieczna od najnowszych znanych malware’ów.

Podsumowanie

Bezpieczeństwo kopii zapasowych to zagadnienie równie szerokie, co trudne, głównie z uwagi na fakt, że niebezpieczeństwa, na które narażone są nasze dane, ewoluują w tempie logarytmicznym – codziennie pojawiają się nowe socjotechniki, coraz inteligentniejsze malware’y i jeszcze bardziej wyrafinowane techniki ataków ransomware.

A choć trudno za tym wszystkim nadążyć, jedno jest pewne – stosowanie sprawdzonych praktyk, narzędzi i strategii zabezpieczania backupu może nie tylko znacząco zwiększyć poziom bezpieczeństwa naszych danych, ale również (czego nikomu nie życzymy) stać się ostatnim bastionem w walce z cyberprzestępcami.

Dobrze zabezpieczona kopia zapasowa to przepustka do odzyskania utraconych danych, szybkiego przywrócenia ciągłości działania organizacji, ograniczenia skutków naruszenia oraz zmniejszenia potencjalnych konsekwencji finansowych i wizerunkowych dla organizacji.

Zatem jeśli wiesz już, że warto zadbać o ten obszar w Twojej organizacji, ale nie masz pewności co do tego, JAK to zrobić, jakich narzędzi użyć i od czego zacząć – zapraszamy do kontaktu z nami poprzez czat lub e-mail oraz do zapoznania się z informacjami o naszych usługach w zakresie backupu i odtwarzania na stronie produktu. Doradzimy, pomożemy i skutecznie przeprowadzimy Cię przez cały proces wdrożenia planu ochrony danych w Twojej organizacji. 


Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Tomasz Magda | 5.01.2024

Jak budować strategię odzyskiwania danych w oparciu o framework NIST? O tym w nowym raporcie Veeam Software

Choć bezpieczeństwo danych staje się jednym z kluczowych elementów strategii organizacji, zagrożenie cyberatakami wciąż jest wyraźne i obecne w biznesowym oraz technologicznym krajobrazie. Jak wskazuje raport 2023 Veeam Data Protection Trends, w 2022 roku aż 85% organizacji doświadczyło co najmniej jednego ataku ransomware, a to nie wszystko – niepokojący jest również fakt, że oprogramowanie ransomware zwykle nie tylko blokuje organizacjom dostęp do ich plików, ale także umożliwia kradzież danych w celu ich sprzedaży, wykorzystania do przyszłych ataków lub wykorzystania jako część jednego lub więcej schematów wymuszeń. Zapobieganie złośliwemu dostępowi do tych danych powinno więc być głównym celem każdego planu cyberbezpieczeństwa.

Jednakże, żadna organizacja nie powinna zakładać, że jej zabezpieczenia zawsze będą skuteczne. Dlatego też posiadanie możliwości odzyskiwania danych jako ostatniej linii obrony jest równie ważne. Wśród organizacji dotkniętych atakiem ransomware, średnio 15% danych produkcyjnych tych firm zostało utraconych podczas incydentu (2023 Veeam Ransomware Trends Report), co podkreśla znaczenie posiadania dobrze zaprojektowanego i niezawodnego planu odzyskiwania danych.

Wspólne ramy planowania strategii odzyskiwania danych

NIST Cybersecurity Framework to sprawdzone ramy działania, które organizacje mogą wykorzystać do poprawy swojej strategii odzyskiwania danych. Framework obejmuje szereg powtarzalnych etapów i działań, które warto zastosować w celu zarządzania cyberbezpieczeństwem w organizacji, w tym w procedurze odzyskiwania danych po cyberataku. Metodyka obejmuje 5 kluczowych kroków:

  1. Identyfikacja krytycznych danych
  2. Ochrona infrastruktury kopii zapasowych i danych
  3. Wykrywanie cyberzagrożeń
  4. Reagowanie na cyberzagrożenia
  5. Bezpieczne odzyskiwanie danych

Identyfikacja krytycznych danych

Podobnie jak w przypadku każdej katastrofy, która może spotkać firmę, dobre planowanie jest zadaniem nr 1, jeśli chcemy znacząco zminimalizować jej skutki. Porządek i świadomość zasobów oraz ich priorytetyzacja to jedne z pierwszych kroków, jakie należy podjąć, by wesprzeć i zoptymalizować plan działania w sytuacji naruszenia danych – bo przecież nie można chronić zasobów, o których się nic nie wie. A choć katalogowanie i kategoryzowanie obszarów, które wymagają ochrony, może wydawać się nieistotne w porównaniu z aktywną reakcją na cyberzagrożenie, jest to punkt wyjścia do tego, by jak najlepiej ochronić swoje dane.

Aby stworzyć niezawodny plan odzyskiwania danych, dział IT i dział bezpieczeństwa muszą ściśle współpracować w celu identyfikacji, skatalogowania i priorytetyzacji wszystkich danych i systemów istniejących w organizacji. Takie porównanie i ,,rachunek sumienia” w zakresie różnych systemów często wskazuje miejsca, gdzie dane nie są odpowiednio chronione i gdzie znajdują się słabe punkty lub luki bezpieczeństwa.

Katalog danych powinien zawierać znaczniki, takie jak lokalizacja, właściciel oraz, co najważniejsze, priorytet odzyskiwania. Takie działanie ma jeszcze jedną, niezwykle istotną zaletę – katalogowanie pomaga w ujawnieniu brakujących, nieaktualnych czy niepełnych danych, a do tego pozwala identyfikować kluczowe metadane potrzebne do prawidłowego zaplanowania odzyskiwania danych. Wszystkie te informacje warto wykorzystać do utworzenia planu odzyskiwania danych w ramach planów ciągłości działania.

Ochrona infrastruktury kopii zapasowych i danych

Infrastruktura kopii zapasowych to szczególne miejsce w każdym środowisku IT. Nie tylko zapewnia ostateczną ochronę, ale także jest bardzo wrażliwym punktem na mapie systemów IT, gdyż zawiera kopie wszystkich danych. To sprawia, że jest to świetny cel dla cyberataków, którego kompromitacja znacząco zwiększa prawdopodobieństwo wymuszenia okupu. Dlatego tak ważna jest ochrona samej infrastruktury kopii zapasowych.

Pierwszym krokiem w ochronie kopii zapasowych jest zapobieganie nieautoryzowanemu dostępowi do samego systemu zarządzania kopiami zapasowymi. Konieczne jest tutaj stosowanie zasady Zero Trust, która mówi mniej więcej tyle: weryfikuj dokładnie, zakładaj najgorszy scenariusz i pilnuj tych najmniej uprzywilejowanych dostępów.

Kluczowe w tym przypadku jest wykorzystanie uwierzytelniania wieloskładnikowego, poświadczeń jednorazowych, podwójnej akceptacji i posiadanie oddzielnego, dedykowanego systemu zarządzania tożsamością i dostępem (IAM) do ochrony danych. Zarządzanie tożsamością i dostępem (IAM) w celu kontrolowania poświadczeń użytkowników zapewnia, że użytkownicy są odpowiednio zweryfikowani, a ich konta i poświadczenia są trudniejsze do złamania. Dobrą praktyką jest również tworzenie dostępów o jak najmniejszej liczbie uprawnień, np. poprzez uruchomienie oddzielnych kont administratora i kont operacyjnych. Zapobiegnie to niezamierzonym błędom ludzkim i zminimalizuje eskalację uprawnień. Wreszcie, warstwa dostępowa powinna być skonfigurowana w taki sposób, by naruszenie nie spowodowało utraty wszystkich danych. Poszczególne dostępy do określonych systemów, aplikacji i danych powinny być od siebie odizolowane, a konta lub profile dostępowe do poszczególnych obszarów powinny mieć poziomowane uprawnienia.

Upewnij się, że kopie zapasowe będą dostępne w razie potrzeby

Usuwanie kopii zapasowych w celu uniemożliwienia odzyskania danych jest obecnie powszechną cechą oprogramowania ransomware. Dlatego upewnienie się, że kopie zapasowe nie mogą być modyfikowane ani usuwane, ma wyjątkowo ważne znaczenie w przypadku incydentu cyberbezpieczeństwa.

Nienaruszalność jest krytyczną cechą kopii zapasowych, szczególnie w przypadku kopii zapasowych, które muszą pozostać integralne, aby spełnić wymagania dotyczące przechowywania. Wykorzystanie nienaruszalnych repozytoriów, urządzeń deduplikacyjnych lub taśm (air gap), pozwoli przechowywać dane w stanie, w którym nawet administratorzy nie mogą modyfikować ani usuwać danych.

W cyberbezpieczeństwie istnieje stary branżowy żart, który mówi, że najbezpieczniejszym systemem zwykle jest ten, który jest odłączony od sieci i przechowywany w pomieszczeniu, do którego nikt nie ma dostępu. Okazuje się jednak, że w przypadku kopii zapasowych takie rozwiązanie to nie żart, a bardzo rozsądna praktyka. O ile kopia zapasowa jest odizolowana od sieci i przechowywana offline, na przykład na taśmie, o tyle istnieje niewielkie prawdopodobieństwo, że dane na niej zostaną naruszone lub zawirusowane.

Ostatnim ważnym elementem ochrony kopii zapasowych jest ich szyfrowanie w taki sposób, aby uniemożliwić dostęp do nich osobom trzecim. Choć nie uchroni to danych przed ich przejęciem lub zablokowaniem przez oprogramowanie ransomware, sprawi jednak, że będzie bardzo mało prawdopodobne, że staną się one celem wymuszeń. Analiza wielu ataków ransomware wykazała bowiem, że zaszyfrowane kopie zapasowe nie są szyfrowane przez ransomware, pozostają w związku z tym nienaruszone.

Wykrywanie cyberzagrożeń

Po zidentyfikowaniu obszaru systemów i danych, należy wprowadzić plan i narzędzia służące do szybkiego wykrywania naruszeń tych zasobów. Szybkie wykrywanie radykalnie skróci czas przestoju i wpływ incydentu bezpieczeństwa na biznes, co bezpośrednio przekłada się na ograniczenie skutków finansowych i wizerunkowych incydentu.

Jedną z kluczowych strategii złośliwego oprogramowania jest unikanie wykrycia, podczas gdy eskaluje ono uprawnienia i porusza się w środowisku, infekując jak najwięcej systemów. Aby to osiągnąć, złośliwe oprogramowanie może wprowadzać niewielkie zmiany w danych, aby uniknąć zauważenia. Ponadto, ponieważ strategie cyberprzestępców stają się coraz bardziej wyrafinowane, autorzy złośliwego oprogramowania stawiają najczęściej na usuwanie kopii zapasowych, skracanie czasu ich przechowywania lub wręcz wyłączanie zadań backupu.

Aby zabezpieczyć się przed konsekwencjami takich działań, konieczne jest zainstalowanie narzędzi analitycznych (Yara Threat Detection), które będzie identyfikować w czasie rzeczywistym tego typu nietypowe zachowania i skanować dane w poszukiwaniu złośliwego oprogramowania oraz powiadamiać za pomocą alarmów i raportów w aplikacji monitorującej, np.Veeam ONE.

Kolejnym narzędziem wspierającym wykrywanie cyberzagrożeń jest menedżer incydentów i zdarzeń bezpieczeństwa (SIEM). Poprzez odpowiednie skonfigurowanie systemu SIEM, wykryte wskaźniki naruszenia bezpieczeństwa mogą być oznaczane bezpośrednio w systemie używanym przez zespół ds. bezpieczeństwa, co skraca czas reakcji i daje analitykom bezpieczeństwa bardziej szczegółowy obraz zdarzenia.

Reagowanie na cyberzagrożenia

Nawet najlepszy plan ochrony danych nie daje stuprocentowej skuteczności, dlatego w sytuacji naruszenia (która niewątpliwie prędzej czy później się zdarzy), należy postawić przede wszystkim na jak najszybsze zatrzymanie i usunięcie złośliwego oprogramowania z cybernetycznego ,,krwioobiegu”. Podobnie jak w przypadku planowania odzyskiwania danych po zdarzeniu o charakterze niszczącym, jednym z głównych celów, do których należy dostosować wszystkie decyzje, jest czas odtworzenia zdolności do kontynuowania działalności operacyjnej (Recovery Time Objectives, RTO). W przypadku zdarzeń związanych z cyberbezpieczeństwem jest podobnie – najważniejsze jest przywrócenie systemów do działania i minimalizowanie przestojów.

Aby przeprowadzić ten proces jak należy, ważne są trzy działania: cykliczne testowanie procedury odzyskiwania danych z kopii zapasowych (najlepiej automatyczne), znalezienie pierwotnie zainfekowanego punktu w systemie oraz skanowanie pamięci masowych w poszukiwaniu złośliwego oprogramowania przed pełnym przywróceniem. Takie działanie nie tylko pozwoli na sprawne i bezpieczne przywrócenie systemów do działania, ale także daje możliwość analizy przebiegu incydentu i wyciągania wniosków w zakresie wzmocnienia zabezpieczeń. Do tego rodzaju działań warto wykorzystać funkcje SureBackup oraz Secure Restore, będące częścią rozwiązania Veeam Data Platform.

Odzyskuj dane szybko i bezpiecznie

W zależności od charakteru incydentu cyberbezpieczeństwa, przywrócenie danych będzie miało kluczowe znaczenie dla przywrócenia usług, szczególnie w przypadku ransomware. Jeśli czas przywrócenia jest długi, istnieje prawdopodobieństwo, że wiele punktów odzyskiwania może zawierać złośliwe oprogramowanie i może pojawić się konieczność cofnięcia się w czasie, aby znaleźć czysty punkt przywracania.

Podobnie jak w przypadku tradycyjnego odzyskiwania po awarii, ważne jest, aby dostosować się do celów związanych z minimalizacją utraty danych – określając parametr, który mówi, na jaką maksymalnie utratę danych organizacja może sobie pozwolić (RPO – Recovery Point Objective), co jest równoznaczne z tym, do jak dalekiego punktu przywracania należy się cofnąć, aby mieć pewność, że przywrócone dane będą ,,czyste” i niezainfekowane. 

Aby zmniejszyć ryzyko przywrócenia zainfekowanych danych i zminimalizować konsekwencje ich naruszenia w fazie reagowania, należy wykorzystywać narzędzia do bieżącego skanowania i wykrywania złośliwego oprogramowania we wcześniejszych punktach przywracania, nie sugerując się wyłącznie oznaczeniami złośliwego oprogramowania z wcześniejszych skanów.

Dobrą praktyką w przypadku, gdy czyste punkty przywracania znajdują się dalej wstecz w czasie niż zdefiniowane RPO, może okazać się przywracanie wyłącznie poszczególnych fragmentów kluczowych danych (poziom plików), jednocześnie nie ryzykując ,,wpuszczenia” złośliwego oprogramowania z pełnej kopii zapasowej do systemu.

Podsumowanie

Tworzenie strategii odzyskiwania danych nie jest obecnie łatwym zadaniem. Zagrożenia są coraz bardziej wyrafinowane, a konsekwencje naruszeń liczone są nierzadko w milionach lub sektach tysięcy, dlatego należy wykorzystywać każdą możliwość, by minimalizować to ryzyko. 

NIST Cybersecurity Framework usprawnia i porządkuje kroki, które należy podjąć, by zwiększyć prawdopodobieństwo odzyskania danych po indycencie cyberbezpieczeństwa. Podążając za wytycznymi NIST warto pamiętać o:

– Tworzeniu i regularnym testowaniu planów odzyskiwania,

– Wdrożeniu udokumentowanych najlepszych praktyk w zakresie budowania infrastruktury kopii zapasowych,

– Uruchomieniu narzędzi służących wykrywaniu i detekcji nietypowych aktywności w danych, aplikacjach i systemach,

– Stosowaniu najlepszych praktyk w zakresie tworzenia struktury dostępów do danych i priorytetyzacji uprawnień,

– Zadbaniu o to, by przywrócone dane po incydencie cyberbezpieczeństwa były ,,czyste” i wolne od złośliwego kodu.

Na bazie Building a Cyber‑Resilient Data Recovery Strategy – z dnia 03.01.2024.

Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.
Tomasz Magda | 22.11.2023

Czego możemy spodziewać się po nowej wersji Veeam Data Platform 23H2?

W październiku odbyła się internetowa konferencja VeeamON Resiliency Summit, w trakcie której nasz partner technologiczny przedstawił nowości w nadchodzącej aktualizacji Veeam Data Platform. Najprawdopodobniej do końca roku możemy spodziewać się nowych wersji następujących platform:

  • Veeam Backup & Replication V12.1,
  • Veeam ONE V12.1,
  • Veeam Recovery Orchestrator v7,
  • Veeam Backup & Recovery for AWS v7, Azure v6 i Google v5.

Okazuje się, że aktualizacja wprowadza całkiem dużo wartościowych zmian, które wyraźnie odpowiadają na statystyki dotyczące wektorów ataków i Ransomware Cyber Kill Chain. Poniżej wyjaśniam, co pojawi się w wersji 23H2 i zapewniam, że może Wam się to spodobać.

Nowości w obszarze bezpieczeństwa środowiska backupu

  1. Wsparcie dla syslog i integracja z narzędziami SIEM. Dzięki śledzeniu krytycznych zdarzeń i wykrywaniu anomalii możliwe będzie niemal natychmiastowe reagowanie. Oto przykładowe wyzwalacze alarmów, które mogą uratować kopie zapasowe:
    • nieudane logowania z użyciem wieloskładnikowego uwierzytelniania,
    • próba usuwania kopii zapasowych,
    • próba usuwania repozytoriów.
  2. Wsparcie dla KMIP 2.0, czyli zarządzania kluczami i certyfikatami. Funkcjonalność, która pomoże przestrzegać polityki poświadczeń, a więc na przykład eliminować słabe lub niezmieniane hasła.
  3. Wprowadzenie „autoryzacji 4 oczu” (4 Eyes Authorization) dla operacji niszczących. Chodzi o wymóg potwierdzenia usunięcia backupu lub repozytorium przez drugiego administratora.
  4. Nowy pulpit nawigacyjny – centrum zagrożeń w konsoli Veeam Backup & Replication, który graficznie przedstawia podsumowanie dotyczące poziomu bezpieczeństwa, wykrytych zagrożeń oraz anomalii w zakresie SLA i RPO.
  5. Dodano możliwość włączenia nienaruszalności backupu konfiguracji Veeam Backup & Replication.
  6. Ważną funkcją jest także możliwość wyłączenia retencji na czas odzyskiwania po ataku Ransomware. W tym przypadku chodzi o zatrzymanie usuwania starszych punktów odtwarzania, które mogą stać się jedyną szansą na odtworzenie wcześniej zainfekowanych danych.
  7. Implementacja funkcji Time Shift Detection, czyli wykrywania manipulacji czasem w Linux Hardened Repository. Dotychczas jedynie atak na protokół lub serwer NTP był jedyną opcją (poza zniszczeniem fizycznym) umożliwiającą usuwanie plików z tego repozytorium. Każda próba zmiany czasu systemowego spowoduje:
    • zablokowanie zmian flagi nienaruszalności dla plików,
    • zablokowanie retencji backupu,
    • wysyłkę alarmów wprost w zadaniu backupu.

Myślicie, że to koniec? Nic z tych rzeczy. Veeam Software poszedł jeszcze dalej.

Nowy zintegrowany Threat Center Dasboard jako stały element Veeam Data Platform

Rys. 1 – Nowy zintegrowany Threat Center Dasboard jako stały element Veeam Backup & Replication

Nowości w zakresie wykrywania zagrożeń i odtwarzania po ataku Ransomware

  1. Nowa funkcjonalność w zakresie SureBackup, która pozwala na uruchomienie skanera antywirusowego bez potrzeb posiadania instancji virtual labu. Jeżeli dodać do tego oparte na sygnaturach doraźne skanowanie konkretnego backupu oraz oznaczanie zainfekowanych backupów i punktów przywracania w interfejsie użytkownika, to robi się naprawdę ciekawie .
  2. Wbudowany skaner Ransomware i analizator treści.
    • Możliwe będzie włączenie analizy entropii w locie po stronie proxy lub agenta. Mechanizmy sztucznej inteligencji i uczenia maszynowego (AI/ML) będą rozpoznawać zmiany w strukturze szyfrowania danych oraz obciążenia procesora proxy i – zależnie od wybranej czułości – alarmować w interfejsie Centrum Zagrożeń.
    • Wykorzystanie wskaźników IOC (Indicator of compromise) w analizie podejrzanych plików, w oparciu o codziennie aktualizowaną bazę ponad 4000 oznaczonych próbek złośliwego oprogramowania (malware). Narzędzie będzie także wykrywać anomalie pomiędzy kolejnymi punktami przywracania i oznaczać to w zadaniach backupu.
  3. Implementacja silnika Yara Threat Detection stosowanego w kryminalistyce cyfrowej i reagowaniu na incydenty. Oprócz integracji z SureBackup i Secure Restore możliwe będzie także doraźne skanowanie wybranych backupów w trakcie obsługi incydentów bezpieczeństwa.
Skanowania kopii zapasowych pod kątem obecności Ransomware z wykorzystaniem bazy IOC oraz Yara Threat Detection

Rys 2 – Wykorzystanie silnika skanowania Ransomware bazy IOC oraz Yara Threat Detection

Jak widać, zmiany są naprawdę solidne, a niektóre wprowadzają całkiem nową jakość do zarządzania cyberodpornością. Szczerze mówiąc, nie mogę się doczekać, kiedy będą mógł przetestować Yara i działanie skanera AV na poziomie backupu. Od razu nastawiam się też na implementację kilku nowych funkcji, takich jak: 4 Eyes Authorization, nienaruszalność konfiguracji VBR oraz Syslog. Włączymy też natychmiast Time Shift Detection na naszym Linux Hardened Repository. Nadchodzi zatem dość pracowita końcówka roku, bo zakładam, że nasi klienci także będą mieli chrapkę na włączenie kilku nowości do swojego backupowego menu .

Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.
Tomasz Magda | 29.09.2023

6-etapowy plan reagowania na atak ransomware według Veeam

Jak wynika z raportu Veeam 2023 Global Report on Ransomware Trends, ataki ransomware są bardziej niż powszechne – w ciągu ostatnich 12 miesięcy 85% organizacji doświadczyło co najmniej jednego cyberataku. Co więcej, choć aż 80% z nich zapłaciło okup, jedynie 75% odzyskało dostęp do swoich danych. W 3/4 przypadków celem hakerów były repozytoria kopii zapasowych.

Jak wskazuje Veeam, średnio co szóstej doświadczonej atakiem ransomware organizacji, udało się odzyskać w pełni swoje dane, bez płacenia żadnego okupu. Firmy te rzetelnie podchodziły do kwestii ochrony danych, dbając o niezmnienność i niezawodność tworzonych kopii zapasowych, oraz wdrażając kompleksową strategię reagowania na ransomware, która działała zgodnie z założeniami. Wniosek jest taki, że możliwe jest odzyskanie danych po ataku ransomware, jeśli masz na to konkretny i solidny plan.

Choć dla każdej z organizacji strategia radzenia sobie z atakiem ransomware będzie wyglądać trochę inaczej, z uwagi na specyfikę firmy, branży i danych, Veeam Software udało się opracować uniwersalne 6 elementów planu reagowania na ransomware, który znacząco zwiększa prawdopodobieństwo odzyskania danych po ataku.

W dużym skrócie krytyczne aspekty planu odzyskiwania danych po ataku ransomware powinny obejmować m.in. takie elementy, jak rekonfigurację systemów, wdrożenie szeregu rygorystycznych środków zapobiegawczych, uruchomienie systemów wczesnego wykrywania i reagowania, plan odzyskiwania danych i przywracania aplikacji oraz schemat komunikacji na wypadek wystąpienia incydentu bezpieczeństwa w organizacji. Nie można również zapominać o każdorazowym przeprowadzeniu kompleksowej analizy po incydencie, by zabezpieczyć elementy wysokiego ryzyka i zmniejszyć prawdopodobieństwo wystąpienia kolejnego ataku.

6-etapowy plan reagowania na ransomware w organizacji według Veeam obejmuje:

Etap 1: Działania prewencyjne/ zapobiegawcze

Etap 1 to szereg działań przygotowujących organizację na potencjalny atak ransomware jeszcze przed jego wystąpieniem. Obejmują one edukację pracowników, ocenę ryzyka, wzmacnianie rozwiązań sprzętowych i aplikacyjnych, segmentację sieci oraz tworzenie bezpiecznych kopii zapasowych danych.

  1. Edukacja pracowników

Pracownicy są pierwszą linią obrony przed atakami złośliwego oprogramowania, należy więc bezwzględnie przeszkolić ich więc powinieneś przeszkolić ich w zakresie rozpoznawania próby ataków (zwłaszcza phishingowych), potencjalnych zagrożeń oraz sposobów wykrywania oznak zainfekowanych systemów i danych.

  1. Ocena ryzyka

Regularnie przeprowadzana ocena ryzyka pozwala zidentyfikować słabe punkty w zabezpieczeniach przed złośliwym oprogramowaniem i ransomware oraz antycypować prawdopodobieństwo wystąpienia cyberataku przy uwzględnieniu aktualnych zabezpieczeń i specyfiki firmowej infrastruktury IT.

  1. Zabezpieczenie portów i urządzeń końcowych (endpointów)

W tym celu należy uporządkować kwestie zdalnego dostępu w organizacji: wyłączyć nieużywane porty pulpitu zdalnego, ograniczyć pozostałe protokoły zdalnego dostępu do zaufanych hostów oraz zabezpieczyć urządzenia końcowe za pomocą indywidualnych ustawień konfiguracyjnych.

  1. Segmentacja sieci i kontrola dostępu

Segmentowanie dostępu do sieci oraz zasobów może odbywać się z wykorzystaniem VPN oraz narzędzi fizycznych. Warto oddzielić zasoby skierowane do klientów od zasobów wewnętrznych organizacji, stosując również zasadę ograniczonego zaufania przy udzielaniu dostępu do danych. 

  1. Wdrażanie aktualizacji systemów i poprawek (patchy) oprogramowania firmowego

Regularne i skrupulatne dbanie o zgodność z najbardziej aktualnymi wersjami oprogramowania i bieżące wdrażanie poprawek w aplikacjach może znacząco ograniczyć ryzyko włamania oraz cyberataku.

  1. Wdrożenie zasad bezpiecznego tworzenia kopii zapasowych i redundancji danych

Dobra i staranna strategia tworzenia kopii zapasowych nierzadko stanowi ostatnią linię obrony przed utratą danych po cyberataku. Dlatego regularne tworzenie kopii zapasowych z uwzględnieniem reguły 3-2-1-0, nienaruszalności backupu oraz integralności danych jest podstawowym i bardzo ważnym działaniem prewencyjnym.

Etap 2: Wykrywanie i reagowanie

Bardzo ważne jest, aby szybko reagować na wszelkie incydenty związane z ransomware. Dzięki odpowiednim narzędziom monitorującymczęsto możliwe jest przerwanie ataku jeszcze w trakcie jego trwania. Do tego celu należy wykorzystać narzędzia monitoringu aplikacji i systemów, np. AppDynamics oraz całodobowe systemy alertów. Po wykryciu naruszenia kluczowe jest, by podjąć właściwe kroki i odpowiednie działania, co najprawdopodobniej znacząco zminimalizuje konsekwencje ataku.   

  1. Określenie zagrożonych systemów

Ustalenie, które systemy zostały zaatakowane i natychmiastowe odizolowanie ich od reszty sieci jest pierwszym koniecznym krokiem, który należy wykonać. Jeśli atak dotknął kilka systemów i nie jest możliwe wstępne zweryfikowanie jego zasięgu, należy wyłączyć całą sieć  izolując galwanicznie i elektromagnetycznie (LAN w tym WiFi) środowiska przetwarzania danych.

  1. Wyłączenie urządzeń

Jeśli nie jest możliwe odłączenie urządzeń od sieci, należy wyłączyć zasilanie zainfekowanego sprzętu. Uwaga! Należy pamiętać, że ten krok może usunąć dowody przechowywane w pamięci podręcznej.

  1. Selekcja dotkniętych naruszeniem systemów

Bardzo ważnym etapem jest identyfikacja systemów krytycznych dla ciągłości działania i uszeregowanie ich według ważności pod względem priorytetów organizacji. Zwykle jest to zapisane w Planach Ciągłości Działania lub Procedurach związanych z Disaster Recovery.

  1. Analiza logów

Przejrzenie dzienników systemowych pozwala zidentyfikować potencjalne powody naruszenia danych i prawdopodobną ścieżkę włamania.

  1. Ustalenie prawdopodobnego scenariusza cyberataku

Ustalenie sekwencji zdarzeń prowadzących do ataku pozwoli odkryć sposób, w jaki złośliwe oprogramowanie czy malware były w stanie przeniknąć do Twojej sieci.

  1. Identyfikacja zagrożenia

Zwieńczeniem tego etapu jest identyfikacja oprogramowania ransomware, jego wariantu/ rodzaju oraz pozostałych typów złośliwego oprogramowanie w systemach (jeśli wystąpią).

Etap 3: Komunikacja i raportowanie

Po wystąpieniu naruszenia kluczowe jest jak najszybsze zgłoszenie incydentu oraz dokładne poinformowanie poszkodowanych stron (np. klientów) o tym, co się stało. Szybka i transparentna komunikacja pomoże złagodzić krótko- i długoterminowe konsekwencje, takie jak utrata wiarygodności, straty finansowe wynikające z przestoju, czy kar umownych.

  1. Komunikacja wewnętrzna

Natychmiast po wystąpieniu incydentów należy poinformować wszystkich pracowników i strony, których dotyczą konsekwencje naruszenia o jego przebiegu i krokach podjętych w celu zminimalizowania szkód. Bardzo ważne jest, aby pamiętać o regularnych aktualizacjach. Od formy i jakości tej komunikacji zależeć będzie także spójność komunikacji z otoczeniem zewnętrznym.

  1. Powiadomienie odpowiednich władz

Zgłoszenie incydentu lokalnym lub krajowym organom porządku publicznego wynika z lokalnych rozporządzeń oraz legislacji obejmującej specyfikę danej branży. Po wystąpieniu naruszenia należy zatem niezwłocznie spełnić wszystkie zobowiązania prawne w zakresie powiadomienia regulatorów i podmiotów nadzorujących.

  1. Komunikacja zewnętrzna

Powiadomienie klientów i partnerów biznesowych o incydencie oraz opublikowanie odpowiednich informacji dotyczących zakresu szkód jest bardzo ważnym krokiem zaradczym, gdyż należy pamiętać, że przestępcy często grożą ujawnieniem poufnych informacji, aby zmusić ofiary do zapłacenia okupu.

  1. Zachowanie transparentności

Chociaż naturalnym jest, że w pierwszym odruchu firmy chcą ukryć szkodliwe informacje, wiadomości o cyberatakach i naruszeniach zazwyczaj nieuchronnie przedostają się na zewnątrz. Transparentność i szczera, otwarta komunikacja minimalizują szkody dla reputacji organizacji i daje poszkodowanym stronom możliwość podjęcia kroków w celu ochrony swoich wrażliwych danych.

Krok 4: Strategie ograniczania szkód

Przed podjęciem kroków mających na celu usunięcie oprogramowania ransomware z systemu, należy przechwycić i zabezpieczyć obrazy, migawki oraz zawartość pamięci podręcznej wszystkich zainfekowanych urządzeń. Informacje te są pomocne w procesie ustalenia, w jaki sposób systemy zostały naruszone. Ważne jest także, aby zachować informacje przechowywane w pamięci systemowej, logach i metrykach firewalla.

  1. Konsultacje z organami nadzoru bezpieczeństwa

Rozmowa z organem nadzoru bezpieczeństwa właściwym dla Twojej organizacji oraz dostawcą zabezpieczeń pomoże zebrać ważne rekomendacje w zakresie minimalizowania szkód po cyberataku oraz dobrych praktyk dotyczących odzyskiwania danych z kopii zapasowych.

  1. Identyfikacja dotkniętych cyberatakiem systemów
  2. Wyłączenie urządzeń i punktów końcowych VPN, opartych na chmurze publicznej.
  3. Wyłączenie szyfrowania danych po stronie serwera.
  4. Identyfikacja wewnętrznych i zewnętrznych mechanizmów utrzymania.

Krok 5: Strategie eliminacji

Głównym celem strategii eliminacji jest usunięcie wszystkich śladów oprogramowania ransomware i złośliwego oprogramowania z systemów.

  1. Wyczyszczenie wszystkich zainfekowanych systemów.
  2. Odbudowa systemów korporacyjnych, zaczynając od systemów krytycznych.
  3. Zresetowanie wszystkich haseł.
  4. Usuwanie i blokowanie zidentyfikowanych luk w zabezpieczeniach, podejrzanych stron internetowych i złośliwego oprogramowania.
  5. Wydanie oświadczenia przez wyznaczony organ IT po usunięciu wszystkich śladów oprogramowania ransomware i odbudowie systemów w celu potwierdzenia, że incydent związany z oprogramowaniem ransomware został zakończony.

Krok 6: Odzyskiwanie i przywracanie

W tym momencie można już przywrócić dane i wrócić do pracy. Jest to kluczowy moment, w którym następuje weryfikacja skuteczności strategii przechowywania kopii zapasowych.

  1. Do przywracania systemów należy używać bezpiecznych kopii zapasowych.
  2. Konieczne jest upewnienie się, że kopie zapasowe są wolne od niebezpiecznego kodu w tym ransomware, aby podczas odzyskiwania nie doszło do ponownego zainfekowania odtworzonych systemów.
  3. Opisanie i wdrożenie dobrych praktyk wysnutych na bazie wniosków z cyberataku w celu wzmocnienia środków bezpieczeństwa.
  4. Wdrożenie rozwiązań do ciągłego monitorowania ransomware.
  5. Przeprowadzenie oceny po incydencie.

Najlepsze praktyki reagowania na incydenty związane z oprogramowaniem ransomware

Częstotliwość występowania ataków ransomware jest tak duża, że należy je traktować w tej samej kategorii, co inne plany zarządzania ciągłością działania. Obejmują one strategie radzenia sobie z poważnymi incydentami, klęskami żywiołowymi i odzyskiwaniem po awarii.

Punktem wyjścia dla planu reagowania na incydenty ransomware jest dokładnie zbadany i udokumentowany plan odzyskiwania danych. Zazwyczaj plan ten obejmuje wszystkich interesariuszy, jasne określenie celów odzyskiwania i strategie komunikacji. Plan identyfikuje odpowiedzialne strony i jasno określa działania, które należy podjąć w przypadku ataku ransomware.

Punkty do rozważenia obejmują:

  1. Zespół reagowania: Zidentyfikuj wszystkich członków zespołu reagowania, ich obowiązki i funkcje. Wyznacz lidera odpowiedzialnego za koordynację działań.
  2. Inwentaryzacja: Przygotuj pełną listę wszystkich fizycznych i chmurowych zasobów sprzętowych i programowych, wraz ze schematami ich wzajemnych połączeń, w tym specjalnych, takich jak VPN, wirtualne chmury prywatne, sieci WAN i interfejsy API.
  3. Zasoby krytyczne: Stwórz listę i priorytetyzuj krytyczne funkcje biznesowe, aplikacje, zbiory danych i kopie zapasowe.
  4. Lista kontaktów awaryjnych: Uwzględnij wszystkich pracowników, usługodawców, dostawców i klientów, na których może mieć wpływ incydent ransomware, by w razie potrzeby móc się z nimi natychmiast skontaktować.
  5. Szkolenie: Przeszkol członków zespołu w zakresie ich ról i obowiązków oraz przeprowadź symulację incydentu, aby upewnić się, że każda osoba jest zaznajomiona ze swoją rolą i czuje się w niej komfortowo.
  6. Plan działania na ransomware: Przygotuj szczegółowy plan działania w odpowiedzi na ransomware.
  7. Wnioski i rekomendacje: Dokumentuj wnioski wyciągnięte podczas symulacji szkoleniowych i rzeczywistych ataków.

Sformalizowanie i wdrożenie powyższych praktyk w zakresie ochrony przed oprogramowaniem ransomware pomoże Twojej organizacji szybko i skutecznie zareagować w przypadku ataku oraz wykorzystać kopie zapasowe w celu przywrócenia i ponownego uruchomienia usług. Wykorzystaj więc przygotowany materiał do tego, by na jego bazie stworzyć własną checklistę działań koniecznych do podjęcia w przypadku ataku ransomware w Twojej organizacji.

Artykuł powstał na bazie https://www.veeam.com/blog/ransomware-response-plan.html, dostęp z dnia 27.09.2023

Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Tomasz Magda | 24.08.2023

NIENARUSZALNE repozytorium na Twoje kopie zapasowe!

W zastosowaniu idei nienaruszalności i ochrony danych poszliśmy w ostatnim czasie o kolejny krok dalej – uruchomiliśmy bowiem NIENARUSZALNE repozytorium chmurowe.

To wyjątkowy rodzaj repozytorium na backup, który – ze względu na swoją budowę oraz szereg zabezpieczeń – zapewnia całkowitą niezmienność plików w zadanym czasie. Technicznie, bazowaliśmy na dobrze znanym w pamięciach masowych trybie WORM (write once, read many). Bezpieczeństwo tego rozwiązania oparte jest na  3 filarach:

  1. ,,Termin ważności” danych – każdy plik umieszczony w repozytorium otrzymuje swój indywidualny atrybut czasowy określający okres, w którym system blokuje możliwość zmiany lub usunięcia pliku oraz powiązanych z nim metadanych.
  2. Bezpieczne logowanie – wykorzystujemy poświadczenia jednorazowe i uwierzytelnianie oparte na certyfikatach do komunikacji między serwerem kopii zapasowych Veeam a usługą Veeam Transport Service.
  3. Bezpieczny zegar czasu – jako że w rozwiązaniu niezwykle ważną rolę pełni prawidłowy czas, zegary systemowe naszego klastra Veeam Cloud Connect synchronizują się z bezpiecznym zegarem czasu (NTP).

Kombinacja powyższych rozwiązań zapewnia kompleksową ochronę nie tylko przed standardowymi naruszeniami danych, ale także przed błędami ludzkimi lub przypadkowym usunięciem czy modyfikacją danych. Realizowana w ten sposób idea nienaruszalności kopii zapasowych jest wówczas kompletna.  

Docelowo nasi klienci będą mogli wybrać repozytorium, które im najbardziej odpowiada, lub aktywować oba naraz i realizować bardziej złożone scenariusze backupu.

Nowe repozytorium, testowane już przez naszych klientów. Umieściliśmy je też z dala od podstawowego ośrodka, bo w centrum danych w Opolu. Już wkrótce udostępnimy NIENARUSZALNE repozytorium do zamówienia online w naszym e-commerce: https://flowbergit.pl/veeam-cloud-connect/

Tomasz Magda | 12.04.2023

Backup as a Service – na czym polega outsourcing backupu i odtwarzania danych?

Czym właściwie jest Backup jako usługa? Jakie są zalety i wady sięgania po outsourcing w tym obszarze? Co daje backup poza siedzibą? Jak właściwie chronić kopie zapasowe? 

W ciągu ostatnich 12 miesięcy ponad 70% firm zostało zmuszonych do przywrócenia danych, a niemal połowa z nich potrzebuje do tego od 6 godzin do 2 dni roboczych – to statystyka pochodząca z badania firmy technologicznej IT Focus. Z kolei, jak wynika z raportu Data Protection Trends 2023, aż 82% organizacji doświadcza tzw. deficytu dostępności, czyli różnicy między możliwą, a oczekiwaną szybkością przywrócenia danych i aplikacji po incydencie bezpieczeństwa lub awarii (RTO).

Równie istotnym wskaźnikiem jest RPO, a więc dopuszczalny okres utraty danych – w tym przypadku blisko 79% respondentów twierdzi, że częstotliwość wykonywania kopii zapasowych nie zapewnia możliwego do zaakceptowania poziomu utraty danych. Sytuacja dodatkowo nie napawa optymizmem, gdy uwzględnimy, że w ciągu ostatnich dwóch lat aż 76% firm doświadczyło przynajmniej jednego cyberataku, w konsekwencji tracąc bezpowrotnie niemal jedną trzecią swoich danych. 

Statystyki te dotyczą szerokiego spektrum problemów związanych z utratą danych i wszystkie bez wyjątku prowadzą do jednego wniosku – – kwestia odzyskiwania danych powinna być dla firm jednym z najważniejszych priorytetów. W świetle mnogości zagrożeń, backup to konieczność, która warunkować może dalsze istnienie organizacji. Rzecz w tym, że w dzisiejszym, narażonym na ataki ransomware świecie, może się okazać, że standardowy backup to za mało.

Potwierdza to raport firmy Veeam Software, który wskazuje, że celem większości ataków ransomware jest przede wszystkim system kopii zapasowych – według danych z raportu,

aż 96% ataków obejmowało próbę uszkodzenia kopii zapasowych i w 68% przypadków próba się powiodła.

Pytanie brzmi zatem – czy można się przed tym jakoś zabezpieczyć? A jeśli tak, w jaki sposób?

Okazuje się, że rozwiązaniem, które może być odpowiedzią na wiele ryzyk związanych z ochroną danych, jest przede wszystkim metoda wykonywania kopii zapasowych i architektura rozwiązania, a w mniejszym stopniu konkretna technologia czy też usługa.

Odporny na ataki system backupu 


Dostępna obecnie wiedza w zakresie wektorów ataków i najczęściej wykorzystywanych podatności, daje wiele podpowiedzi w zakresie tego, jak powinien być zbudowany i sparametryzowany bezpieczny system backupu. Wystarczy zastosować 4 generalne zasady dotyczące architektury systemu: 

  1. Fizyczne zabezpieczenie infrastruktury backupu, czyli wyeliminowanie możliwości dostępu do infrastruktury backupu osobom nieupoważnionym, najlepiej w oparciu o usługę certyfikowanego centrum danych. 
  1. Segmentowanie i separowanie elementów infrastruktury, poprzez wykorzystywanie stref sieci. Strefa to obszar o określonej charakterystyce oraz przeznaczeniu i/lub podlegający szczególnym ograniczeniom. W każdej strefie obowiązywać powinny inne reguły dostępu. Na przykład strefa z ograniczeniami powinna realizować wyłącznie połączenia między zaufanymi serwerami, dzięki czemu będzie idealnym miejscem dla pamięci masowej realizującej funkcję repozytorium kopii zapasowych. 
  1. Rozdzielenie ról administracyjnych i stosowanie odrębnych poświadczeń dla systemu backupu, a nawet wybranych usług katalogowych, wraz z dwuskładnikowym uwierzytelnianiem i stosowaniem kluczy U2F dla ról administracyjnych. 
  1. Szyfrowanie kopii zapasowych w ramach każdego zadania backupu i zabezpieczenie klucza szyfrującego. 

Te generalne zasady, dobrze znane architektom bezpieczeństwa są stosunkowo łatwe do implementacji. Warto o nich pamiętać przy wdrażaniu lub modernizacji systemu kopii zapasowych.  

Planowanie bezpieczeństwa danych 


Właściwa ochrona danych i systemów wymaga planowania. Najlepszym sposobem jest spisanie polityki backupu, która jest ważnym elementem strategii bezpieczeństwa, będacej ważną częścią Planu Ciągłości Działania. Polityka backupu to plan działań, który określa m.in: 

  • jakie dane i systemy mają być objęte ochroną, 
  • z jaką częstotliwością mają być one kopiowane (RPO), 
  • jak długo i gdzie powinny być przechowywane (retencja), 
  • jak szybko dane mają być przywrócone (RTO), 
  • w jakiej kolejności mają być przywracane systemy (orkiestracja). 

Polityka backupu określa również procedury, które należy stosować w celu zapewnienia integralności danych, w tym scenariusze testów walidujących poprawność wykonanych kopii zapasowych. Ważne jest, aby polityka backupu była regularnie aktualizowana i dostosowywana do zmieniających się potrzeb i warunków biznesowych, aby nadążała za rozbudową i rozwojem środowiska IT organizacji.  

Outsourcing obszaru backupu 


Backup as a Service (BaaS) to skalowalne rozwiązanie obejmujące pełny system backupu oraz usługi eksperckie, które razem stanową kompleksowe rozwiązanie w zakresie ochrony danych i systemów. Podstawowe składniki backupu w formie usługi to:  

  • licencje zaawansowanego systemu tworzenia i zarządzania kopiami zapasowymi,  
  • instalacja i konfiguracja aplikacji do backupu, raportowania i monitoringu, 
  • skalowalne repozytorium backupu w bezpiecznym centrum danych, 
  • opracowanie polityki backupu wraz z jej implementacją, 
  • obsługa administracyjna ze wsparciem technicznym w określonym standardzie SLA. 

Zakres składowych usługi różnić się będzie zależnie od oferty dostawcy, jednak w większości przypadków outsourcing procesu backupu oznacza, że przenosimy pełną odpowiedzialność za ten obszar na usługodawcę. Nie angażujemy przy tym własnych zasobów, czy to ludzkich, czy infrastrukturalnych. Taka forma usługi odpowiada też na szereg kluczowych wyzwań związanych ze skuteczną i kompleksową ochroną danych w organizacjach. 

Co wybrać?  Outsourcing backupu czy inwestycja we własne zasoby? 


Wdrożenie usługi związanej z ochroną danych i odtwarzaniem po awarii kojarzy się zazwyczaj ze sporą inwestycją na start. Nic bardziej mylnego – w przypadku backupu w chmurze wdrożenie usługi odbywa się bez znaczących nakładów finansowych, bowiem rozliczenie odbywa się w systemie abonamentowym.

Oznacza to, że to klient decyduje, jaki poziom kosztów miesięcznych gotów jest ponosić, wybierając liczbę i rodzaj maszyn podlegających backupowi. Rozliczane jest zatem wyłącznie realne zużycie zasobów wraz z kosztem licencji.

Zwykle też service provider może zaoferować bardzo konkurencyjne warunki, z uwagi na skalę działalności – także dla małych i średnich firm, dla których wysokie koszty stałe mogą być problematyczne. 

Nasuwa się jednak pytanie – czy outsourcing backupu zawsze się opłaca? Może jednak, uwzględniając wybrane parametry, warto rozważyć inwestycję, a więc kupić wszystko, co trzeba i zbudować własne kompetencje?

Oczywistym jest, że w krótszym okresie abonament jest korzystniejszą opcją niż nakłady na własne rozwiązanie. Brak zaangażowania kapitału początkowego minimalizuje przecież ryzyko inwestycyjne, a umiarkowane opłaty miesięczne wpisywane są bezpośrednio w koszty operacyjne, co również generuje spore oszczędności.

A czy tak samo będzie w dłuższej perspektywie? Może okaże się, że w takiej sytuacji inwestycja własna jest korzystniejsza? Nie ma co zgadywać, trzeba sięgnąć po liczby – policzmy więc to na konkretnym przykładzie.

Przyjmijmy, że firma ma 20 serwerów wirtualnych, a szacowane zapotrzebowanie na repozytorium dla kopii zapasowych wynosi 10TB. Dla uproszczenia zakładamy, że w całym trzyletnim okresie zapotrzebowanie na zasoby pozostanie niezmienne. Jednocześnie, w obu opcjach realizatorem usług będzie ten sam podmiot, dlatego wycena wdrożenia systemu backupu oraz stworzenia polityk jest tożsama. Koszty energii i chłodzenia dla jednego serwera, ubezpieczenia, szkolenie zespołu, itp. pomijamy. Spójrzmy, jak to wygląda przy inwestycji we własne zasoby: 

I.                Inwestycja własna w system backupu 

Lp.  Zakres wdrożenia  Opex (brutto m-c) Capex (netto) 
1. Projekt wykonawczy   4 500 zł 
2. Licencje systemu Veeam Backup & Replication Enterprise Plus (ze wsparciem 24/7 na 3 lata).   51 120 zł 
3. Serwer backup wraz z repozytorium 10TB   12 500 zł 
4. Opracowanie polityki backupu   5 000 zł 
5. Wdrożenie systemu backupu i dokumentacja   6 000 zł 
6. Administracja systemem backupu (1/8 etatu) 2 000 zł   
     2 000 zł 79 120 zł 

 

W przypadku outsourcowania backupu do zewnętrznego dostawy koszty kształtują się następująco: 

II.               Outsourcing obszaru backupu 

Lp.  Zakres usług  Opex (netto m-c) Capex (netto) 
1. Projekt wykonawczy   4 500 zł 
2. Licencje systemu Veeam Backup & Replication Enterprise Plus (20 VM). 1 160 zł   
3. Repozytorium chmurowe 10TB 900 zł   
4. Opracowanie polityki backupu   5 000 zł 
5. Instalacja i konfiguracja systemu backupu   6 000 zł 
6. Administracja systemem backupu 1600 zł   
    3 660 zł 15 500 zł 

 

Powyższe zestawienie kosztów operacyjnych (Opex) oraz inwestycyjnych (Capex) pokazuje, że po 3 latach nadal korzystniejszą opcją realizacji backupu jest outsourcing – w tym przypadku Backup as a Service (BaaS). Dociekliwi mogą się jednak zastanawiać, co stanie się później? Czy po pewnym czasie nie powinno nastąpić wyrównanie kosztów w jednej i drugiej opcji? Hipotetycznie mogłoby to nastąpić po 4 latach od wdrożenia, ale w praktyce nic takiego się nie wydarzy. Dlaczego? To proste – przy wyborze inwestycji we własny system do backupu, po 3 latach pojawia się konieczność odnowienia wsparcia dla systemu Veeam Backup & Replication, którego przeciętny koszt dla tego przypadku wynosi 3740 euro (stan na 04.04.2023 roku). Trzeba będzie pewnie dokupić także wsparcie gwarancyjne do serwera, które zwyczajowo z nowym sprzętem obejmuje 3 lata. W usłudze BaaS opartej na Veeam Cloud Connect (VCC), prawo do aktualizacji jest wliczone w cenę usługi, a za sprzęt odpowiada usługodawca.

 

 

  Łączny koszt obszaru backupu 
Outsourcing Inwestycja 
w 1 rok 59 420 zł 103 120 zł 
w 2 roku 43 920 zł 24 000 zł 
w 3 roku 43 920 zł 24 000 zł 
Razem po 3 latach 147 260 zł 151 120 zł 

Bezpieczeństwo kopii zapasowych 


Oczywiście istnieje sporo wątpliwości, na ile dane, będące najcenniejszym aktywem organizacji, będą bezpieczne u dostawcy usług. Kwestie te zabezpieczyć mogą prawnicy (co jest codziennością w kontraktach B2B) oraz odpowiednie procesy po stronie usługodawcy. Z pomocą przychodzi także technologia, a więc na przykład szyfrowanie kopii, które mają być umieszczone w repozytorium chmurowym, co staje się warunkiem świadczenia usługi BaaS. 

Jeżeli jednak przeanalizujemy typowe ataki na dane cyfrowe, wówczas nie może być wątpliwości, że przechowywanie kopii zapasowych poza siedzibą, czyli u dostawcy usługi backupu, to jedna z najskuteczniejszych form ochrony danych. 

Szyfrowanie kopii zapasowych jest jednym z kluczowych elementów utrzymania poufności danych, dlatego system backupu w ramach BaaS weryfikuje każdą stworzoną kopię pod kątem tego, czy dane zostały zaszyfrowane. Klucz szyfrujący posiada jedynie właściciel danych, a całość transferu do repozytorium odbywa się z wykorzystaniem protokołu SSL. Kopie zapasowe powinny być również testowane pod kątem obecności wirusów oraz poprawności wykonania. Służą temu skrypty wykonywane automatycznie w wyizolowanym środowisku, dzięki rozwiązaniom takim jak SureBackup. 

Kopia zapasowa poza siedzibą (offsite backup) 


Najlepsze praktyki tworzenia kopii zapasowych obejmują strategię zgodną z regułą 3-2-1, która obejmuje trzy wystąpienia danych na dwóch różnych nośnikach oraz z jedną kopią przechowywaną poza siedzibą firmy. To właśnie ta ostatnia kopia (offsite backup) jest immanentną częścią planu odzyskiwania danych po awarii oraz jednym z kluczowych elementów usługi BaaS, bo daje pewność, że dane, których kopia znajduje się poza siedzibą, jest nienaruszalna, bezpieczna oraz najczęściej wyizolowana z firmowej sieci. Kopia przechowywana w ten sposób minimalizuje kilka istotnych ryzyk:  

  • pozwala chronić i odzyskiwać dane w przypadku zniszczenia sprzętu produkcyjnego lub lokalnego repozytorium,  
  • jest wolna od błędów ludzkich, w tym działania celowego,  
  • jest również odporna na ataki ransomware, które zazwyczaj infekują wszelkie dostępne w sieci firmowej dane i repozytoria.  

Kopia zapasowa poza siedzibą jest więc nierzadko ostatnią deską ratunku w przypadku utraty danych z lokalnego backupu.  

Jeżeli posiadasz aplikację Veeam Backup & Replication, uruchomienie offsite backup jest niezwykle proste. Wystarczy dodać do infrastruktury backupu (Backup Infrastructure) dostawcę usług (Service Provider), a w nowym lub istniejącym zadaniu backupu skonfigurować dodatkowe miejsce docelowe (Configure Secondary Destination), wskazując na Cloud Service Provider’a. 

Zalety i wady outsourcingu obszaru backupu i odtwarzania 


ZALETY  WADY 
Brak inwestycji – koszty początkowe są minimalne. Nie trzeba nabywać oprogramowania czy sprzętu, ani zatrudniać specjalisty w zakresie backupu.  
Szybki start – podobnie, jak w przypadku aplikacji w formule SaaS, udostępnienie usług podstawowych następuje w ciągu kilku minut, a pełnego zakresu (czyli wraz z wdrożeniem) w ciągu kilku dni.  
Skalowalność – alokacja licencji oraz wielkość repozytorium dla kopii zapasowych dostosowywana jest do bieżącego zapotrzebowania, co oznacza zarówno zwiększanie jak i pomniejszanie zasobów.  
Nowoczesna technologia – dostawcy usług najczęściej wykorzystują rozwiązania o wysokim stopniu niezawodności i zaawansowanych funkcjonalnościach, projektowane dla dużych organizacji. 
Niski próg wejścia – choć rozwiązania techniczne są niezwykle zaawansowane, usługi są przystępne cenowo, gdyż rozliczane są za użycie. Dla niewielkiej organizacji, posiadającej niewiele zasobów, oznacza to niski abonament. 
Wsparcie techniczne – dostęp do ekspertów z dużą wiedzą dziedzinową i doświadczeniem, pozwala klientowi w pełni przekazać zadania związane z obsługą backupu i odtwarzania na usługodawcę.  
Poufność danych -zarządzanie procesem i danymi jest zadaniem usługodawcy, a zatem może to rodzić pytania o bezpieczeństwo i poufność danych. 
Zależność technologiczna – jak każda usługa abonamentowa, także backup w outsourcingu oznacza w pewnym stopniu związanie z dostawcą i określoną technologią. 
Używasz, gdy płacisz – usługa rozliczana jest zwykle w cyklach miesięcznych, zatem problemy z płatnościami mogą wywołać kłopoty związane z dostępnością usługi. 
Brak indywidualizacji – usługi świadczone dla wielu klientów są standaryzowane ze względu na łatwość obsługi. Zwykle więc indywidualne dostosowanie parametrów usługi do wymogów jednego klienta jest niemożliwe. 
Ograniczenia techniczne – odtwarzanie z repozytorium chmurowego wymaga dostępu do sieci Internet, a przepustowość łącza wpływa wprost na szybkość odtwarzania z repozytorium chmurowego. 
Konieczność dostosowania się – usługodawca, jako wyłączny dysponent usługi, może jednostronnie dokonywać zmian w regulaminie, tym samym zmieniając warunki umowy, które wówczas mogą okazać się niekorzystne dla klienta.     

Sprawdzona technologia 


Ważnym aspektem każdego dojrzałego rozwiązania do ochrony danych jest technologia. Od wielu lat numerem jeden w tym zakresie jest Veeam Software, którego system Veeam Backup & Replication jest łatwą w konfiguracji, prostą i intuicyjną platformą do tworzenia kopii zapasowych i odzyskiwania po awarii. Rozwiązanie Veeam Backup & Replication umożliwia tworzenie kopii zapasowych na poziomie obrazu maszyn wirtualnych, fizycznych i chmurowych oraz przywracanie z nich danych, przy jednoczesnej optymalizacji transferu danych i zużycia zasobów. Scentralizowana konsola platformy pozwala samodzielnie administrować operacjami oraz zadaniami backupu, jak również pomaga automatyzować i integrować procesy ochrony oraz odzyskiwania danych.  

Jak nie kupować kota w worku? 


Dobrą praktyką przy wyborze tak istotnej usługi z perspektywy ciągłości działania organizacji, jest to, by wybrać dostawcę i technologię najlepiej dopasowaną do potrzeb. W przypadku BaaS warto skorzystać z możliwości prezentacji usługi na żywo i sięgnąć po bezpłatny okres próbny. W trakcie prezentacji na żywo można zadawać pytania, które pozwolą ocenić stopień dopasowania usługi do potrzeb organizacji. Wersja próba usługi umożliwi zasymulowanie rzeczywistego użycia, czyli na przykład stworzenia kilku zadań backupu i przeprowadzenie odtwarzania z utworzonych kopii.  

Podsumowanie 


Skuteczna ochrona danych wymaga kompleksowego i przemyślanego podejścia. Należy sięgnąć po najlepsze praktyki w zakresie tworzenia architektury rozwiązania, strategii backupu oraz technologii, które, odpowiednio wdrożone, znacząco zmniejszą ryzyko utraty danych i przestojów. Dobra wiadomość jest taka, że nie trzeba robić tego na własną rękę – można zadbać o dane bez konieczności wielkich inwestycji, nakładów na kompetencje techniczne i dużych zasobów. Wystarczy zwrócić się w stronę zaufanego partnera technologicznego i usługi, która odpowiada na wszystkie wyzwania dotyczące strategii ciągłości działania. Backup as a Service jest właśnie taką usługą – warto zatem rozważyć, czy przypadkiem nie jest to właśnie to, czego potrzebuje Wasza organizacja, by spać spokojnie i nie martwić się o swoje dane.  


Recovery Time Objective – oznacza czas, jaki jest potrzebny od chwili wystąpienia awarii do chwili uruchomienia awaryjnego trybu pracy (failover) lub przywrócenia środowiska produkcyjnego. 

Retencja definiuje, jak długo będziemy przechowywać kopie zapasowe w repozytorium backupu, a więc określa czas życia backupu.

Orkiestracja oznacza zaplanowaną sekwencją uruchomień powiązanych ze sobą serwerów i usług, która zapewni prawidłową pracę środowiska IT.


Human Made - no AI
Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Tomasz Magda | 29.12.2022

NIENARUSZALNA kopia zapasowa

Istnieje mnóstwo dobrych praktyk w zakresie tworzenia kopii zapasowych, które mają na celu zabezpieczyć dane przed awarią lub cyberatakiem – zasada 3-2-1, szyfrowanie backupu, zabezpieczenie sieci, kopia zapasowa poza siedzibą… przykłady można mnożyć – i dobrze!

Bo chodzi przecież o to, by dane były bezpieczne naprawdę, a nie tylko pozornie.

Ale czy istnieje możliwość, by zabezpieczyć kopię zapasową przed błędem ludzkim, takim jak na przykład przypadkowe usunięcie backupu z aplikacji? Wszak zdarza się to niestety częściej niż byśmy chcieli, a przecież na niewiele zda się nawet najbardziej zaawansowany system do backupu, w sytuacji gdy w pośpiechu klikniemy o jeden przycisk za dużo i nasz backup w sekundę wyląduje w wirtualnym koszu.

Co wtedy? Cóż, wtedy zwykle jest już “po ptakach”…CHYBA, ŻE Twój dostawca backupu dysponuje Twoją bliźniaczą kopią zapasową, która umożliwia szybkie odzyskanie całości  usuniętych przez przypadek danych. Taką NIENARUSZALNĄ kopię zapasową dostawca przechowuje “u siebie” i z przyczyn oczywistych jest ona niewidoczna w aplikacji do backupu – by i ona przypadkowo nie zniknęła :).

NIENARUSZALNA kopia zapasowa to swoisty backup kopii zapasowej, czyli niezwykle ważna funkcjonalność, która zabezpiecza dane przed nieprzemyślanym działaniem w pośpiechu i pod presją, czyli tym, co zwykle generuje różnej maści błędy w codziennej pracy. W przypadku zarządzania kopią zapasową błędy te mają niestety kolosalne konsekwencje, zatem warto asekurować się rozwiązaniem, które nas przed nimi chroni.

A dodamy jeszcze tylko, że NIENARUSZALNA KOPIA ZAPASOWA to część naszej usługi Backupu w Chmurze, dostępna w aplikacji Veeam Backup & Replication, o którą oparty jest nasz system do tworzenia kopii zapasowej. Więcej o usłudze.