+47 67 10 18 00 Man-Fre 8.00-16.00
Gå til startsiden

Eyvind Røst

Sales Engineer, Rubrik Norge

Denne teksten er skrevet av Eyvind Røst, Sales Engineer i Rubrik Norge.

HVORFOR RUBRIK?

Behovet for å beskytte data er ikke nytt. Mennesker har brukt steintavler, papyrus, mikrofilm, hullkort, magnetiske medier og mye annet, for å ta vare på informasjon. Teknologien har utviklet seg i takt med behovene. På 1980 tallet dukket det opp en ny forretningsmodell – programvare for å administrere denne beskyttelses-prosessen og ivareta historikken, gjerne kalt backup. Det vi beskyttet dataene mot var katastrofer som brann og flom, men også mot tekniske feil. Utfordringen var først og fremst å løse oppgaven så effektivt som mulig. Det var også utgangspunktet for utviklingen av backup-programvare. Det ironiske er at det i stor grad er den samme "strategien" og programvaren som benyttes i dag. Teknologien har med andre ord stått litt stille… 

Mennesker vet dessverre å utnytte andres svakheter. Slik har det alltid vært. Skadevare (Malware) fantes også på '80 og '90 tallet, men det er først i de senere årene at dette har blitt en allmenn trussel mot organisasjoners virksomhet. Best kjent er kanskje angrep som WannaCry, TeslaCrypt, NotPetya og REvil (Sodinokibi). En av grunnene til den økte trusselen er at angriperne er blitt mer utspekulerte, de er kreative og flinke til å finne sårbarheter, samt at de har ressursene som trengs. I disse dager får kunstig intelligens (KI eller AI) mye oppmerksomhet. Kobles angriperne sin kreativitet med kraften til KI, da har vi en formidabel motstander. Ofte bruker man ransomware som begrep på cyberangrep. Selv om ransomware bare er én type angrep så er det kanskje den mest fryktede, fordi det innebærer utpressing. Utpressing for å få tilbake data, utpressing for ikke å spre følsomme data (persondata), eller begge (dobbel utpressing). 

Mange organisasjoner gjør en formidabel innsats i å oppdage og å hindre angrep. Det er bra, men erfaringer viser at angriperne lykkes hver eneste dag. Man må derfor anta at angrep skjer og man må anta at de lykkes. Hvis ikke kan man ikke være forberedt. 

Så hva NÅR angrepet lykkes, hva gjør vi da?
Immutable Backup

Ett av de vanligste kravene i forespørsler til ny backup-løsning (RFP) er at den skal være "immutable", og alle leverandører svarer selvsagt at de er det. Men immutable backup er ubrukelig i seg selv, dersom man ikke kan sikre evnen til å gjenopprette data. Oftere og oftere ser man at både data og backupdata tas i angrep. Blir serverne som backupen kjører på tatt, så hjelper det ikke om dataene ikke kan endres (immutable). Man har ikke sikret evnen til å gjenopprette data, sikret organisasjonens evne til å "overleve". Man må få på plass de kritiske komponentene i backupen før man kan gjenopprette. Derfor handler det ikke om backup i seg selv. Immutable backup er en del av det, men det må handle om "immutable restore" – å sikre evnen til å gjenopprette data. Det går dypere og er mer omfattende for hvordan data sikres på.

Tenke nytt

Da Rubrik ble etablert i 2014 var det med noen få enkle mål. Det skulle være enkelt, ting skulle automatiseres, regler skulle definere hvordan data beskyttes, og data skulle være sikre – uansett (datasikkerhet). I de senere årene har Rubrik fokusert på, og utviklet løsninger for, å gi backupdata verdi også før og under et angrep (cybersikkerhet). Sammen gir dette en helhetlig løsning som holder dataene trygge og sikrer gjenoppretting, og som har funksjonalitet som hjelper sikkerhetsavdelingen (SOC) til å oppdage og undersøke angrep. I dagens trusselbilde holder det ikke å kun fokusere på en av disse, man må ha gode løsninger for både datasikkerhet og cybersikkerhet. Det handler om tid. Om å redusere tid. Tid brukt på å forstå hva som hendte, når det hendte, hvilke data som er angrepet, om følsomme data er lekket, osv. Denne tiden er dyrebar. Den kan redde liv, den kan redusere skade, den kan bety organisasjonens overlevelse.

La oss se på hvordan Rubrik kan hjelpe
Datasikkerhet

Når Rubrik definerer sikkerhet så står begrepet Zero Trust sentralt. Zero Trust betyr at man ikke stoler på noe eller noen. Det er en strategi, et tankesett, noe man stadig forsøker å jobbe mot. Derfor er Rubrik sin løsning designet for sikker oppbevaring, inkludert evnen til å gjenopprette, samt for å sikre mot uønsket aksess til data.

Sikker oppbevaring  

Når man installerer Rubrik så er det en helhet, en pakke. Dette har betydning for hvordan sikkerhet er implementert i tillegg til hvem som har ansvar for å sikre de enkelte deler, inkludert oppdatering. Ingen enkeltelementer overlates til tilfeldighetene (fragmentering av ansvar).  

  •  Operativsystem: Dette er herdet og låst, og kan kun oppdateres av Rubrik (med verifisert kode). Det er ingen mulighet for å kjøre tredjeparts kode. Det er heller ikke administratortilgang til operativsystemet.
    Hvorfor: Operativsystemet er en kilde til mange angrep. Backup er blitt tatt fordi de har kjørt på operativsystem som ligger utenfor løsningen og dermed ikke sikret godt nok.  

  • Filsystem: Filsystemet i Rubrik er et "Append only" filsystem. Det betyr at data ikke kan endres eller slettes når de først er skrevet. Kommandoene finnes rett og slett ikke. Det er heller ikke mulig å nå eller dele data i filsystemet via filprotokoller som SMB eller NFS.
    Hvorfor: Data skal være umulig å endre (immutable). Filprotokoller er en hyppig brukt måte for inntrengere å vandre vertikalt på. Det bør ikke være mulig å slå på fildeling som kan eksponere data.  

  • Logisk adskilt: All data som går inn eller ut av et Rubrik cluster er logisk adskilt fra de sikrede dataene. I den grad data deles med omverdenen via protokoller i gjenopprettingssammenheng, så er det fra et midlertidige område og basert på en kopi av dataene, godt adskilt fra de sikrede dataene.
    Hvorfor: Hvis man ser på backup som "sekundær lagring" med aksess via filprotokoller, så utsetter man de sikrede dataene for sårbarheter. Det er ikke Zero Trust.  

  • API: Alle oppgaver som utføres i Rubrik er basert på API. Det gjelder både egne oppgaver, integrasjoner og samhandling med eksterne løsninger.
    Hvorfor: Bruk av API er blant de tryggeste måtene å samhandle på.  

  • Agenter: Rubrik benytter en type agent (RBS) som fungerer som et API-bibliotek. Den krever ingen konfigurasjon annet enn å installeres. Agenten inneholder de APIene som trengs for å gi klienten eller applikasjonen de nødvendige instruksene for å beskytte på best mulig måte.
    Hvorfor: Mange tenker ikke over at en utstrakt bruk av, og mangel på kontroll med agenter, kan utgjøre en sikkerhetsrisiko. Agenter får gjerne full systemadgang på klientene og kan bli kompromittert.  

  • Kryptering: Rubrik krypterer all kommunikasjon ende-til-ende, samt data som lagres. I tillegg krypterer vi all kommunikasjon mellom servere (noder) i løsningen.
    Hvorfor: Kryptering av kommunikasjon er der for å hindre at data fanges av "personen i midten" angrep. Denne faren er tilstede ved kommunikasjon mellom elementer i backupløsningen også. 

Sikker tilgang

Sikker tilgang Tilgang til systemene er ofte begrenset til sikker pålogging. En grunnleggende tanke må være at "det en enkeltperson kan gjøre, det kan også en angriper utføre" (Zero Trust). En administrator kan bli kompromittert eller ønske å gjøre skade. 

  • MFA autentisering: Det er nokså bred enighet om at flerfaktor-autentisering (MFA) bør være på alle systemer. I Rubrik er MFA på som standard. 

  •  To-personsregel: Dersom en administrator forsøker å utføre oppgaver som kan påvirke dataene i negativ retning, så krever det en sekundær administrator sin godkjenning. 

  •  Tidsmanipulering: NTP er den tjenesten de fleste systemer bruker for å koordinere tidsavhengige oppgaver. En av oppgavene i backup er å holde styr på hvor lenge data skal oppbevares før de kan slettes (Retention). Rubrik benytter en monolittisk klokke som styrer en uavhengig nedtelling av oppbevaringstiden.
    Hvorfor: Mange har "løst" utfordringen ved å hindre store tidsjusteringer. Angripere kommer rundt dette ved å gjøre mange små justeringer hyppig, som i sum blir en stor endring. Data slettes dermed av systemet automatisk og inntrengerne har full kontroll..

Cybersikkerhet

Vi har sett på viktigheten av å oppbevare data sikkert for å kunne gjenopprette etter et angrep (backup). Men hvilke verdi kan disse dataene gi også før og under et angrep? Ofte har angriperne vært inne i miljøet vårt i ukesvis, kanskje måneder. De har kamuflert angrepet etter alle kunstens regler og fått bredest mulig tilgang. Kanskje har de hentet ut følsomme data… Du ser bildet. Det er mange ubesvarte spørsmål. Spørsmål som må besvares før man i det hele tatt kan vurdere å starte gjenoppretting. 

Man tenker kanskje at det å oppdage hendelser er noe som skjer på produksjonsdata. Ja, muligens. Men produksjonsdata er siste kopi av dataene, mens backup er en historisk samling av data. Hvorfor ikke bruke den kilden til informasjon aktivt…

  • Anomaly Detection er en funksjon som sammenligner data på tvers av kopier. Det benyttes maskinlæring for å oppdage sletting, endring og kryptering av data. Kobler man denne typen informasjon sammen med verktøy for logganalyse, så har man en ekstra kilde til å oppdage hendelser.
    Hvorfor:     Denne funksjonen bidrar med viktige svar rundt når angrepet skjedde og hvilke data som er påvirket slik at man kan redusere skaden, men ikke minst forstå omfanget raskere. 

  • Threat Monitoring og Threat Hunting er funksjoner som benyttes til å oppdage hva angrepet består i. Monitoring utfører proaktive og automatiserte søk etter aktive trusler (kjente indikatorer – IOC), mens Hunting gir mulighet for å sette i gang søk etter spesifikk skadevare. Søkeinformasjonen er basert på YARA-regler, fil-hasher, eller filmønstre som identifiserer skadevaren.
    Hvorfor: Når man har hatt et angrep så er det viktig å finne ut av hvem dette er, men også hvilke data som er infisert. Selv om Anomaly Detection kan gi indikatorer, så vil Threat Monitoring og Hunting kunne gi konkrete svar på hvilke data som er infisert av hvilke skadevare. Med vanlig backup så er ikke dette mulig fordi dataene er kryptert. De skal ikke kunne leses. Man må da gjøre gjenoppretting til et trygt område, skanne dataene og avgjøre om de kan gjenopprettes, eller om man må gjenta prosessen med noe eldre data. Hvis inntrengerne har vært i miljøet i flere måneder, så er dette en tidkrevende prosess. 

  • Threat Containment isolerer de infiserte dataene fra å bli gjenopprettet ved et uhell. Man kan allikevel kontrollert velge å gjenopprette dataene til et sikkert område.
    Hvorfor: En av farene ved gjenoppretting er reinfisering. Ved at identifiserte data settes i karantene, unngår man faren for reinfisering. 

  • Cyber Recovery er muligheten til å samle mange manuelle gjenopprettinger til en helhetlig og automatisert prosess. Dette er nyttig for kritiske funksjoner / applikasjoner. Man får med alle avhengigheter og reduserer faren for feil.
    Hvorfor: De fleste organisasjoner har enkelte tjenester som er mer kritiske enn andre. Ved å automatisere gjenopprettingen så får man full kontroll med prosessen, samtidig som man reduserer tiden det tar. En annen viktig gevinst er at man kan teste og validere evnen til gjenoppretting jevnlig. 

  • Sensitive Data Monitoring gir mulighet for å identifisere sensitiv informasjon i ustrukturerte data. Man definerer hva som betegner persondata og systemet rapporterer automatisk på hvor denne type data er, hvem som har tilgang og når de sist ble aksessert.
    Hvorfor: Denne funksjonen kan gi bedre kontroll med sensitive data og med det redusere angrepsflaten, slik at man kanskje unngår at slike data lekkes. Videre kan funksjonen bidra med å rapportere om sensitive data var en del av angrepet, noe som igjen kan redusere en potensiell bot.

Innebygd eller integrert

Rubrik erfarer at vi har kommet langt på området cybersikkerhet, noe Gartner trekker frem i sin siste "Magic Quadrant for Enterprise Backup and Recovery Software Solutions". Vi har valgt å bygge funksjonaliteten inn i våre løsninger, ikke integrere med tredjepartsprodukter. Dette er direkte i tråd med selskapet sin Zero Trust strategi. Ingen tredjepart skal få innsyn i deres data via oss! 

Men integrasjon er viktig. Ved å tilgjengeliggjøre våre funksjoner via API til f.eks. SOAR løsninger som brukes av sikkerhetsorganisasjoner (SOC), så vil man kunne utføre samme type søk etter skadevare derfra. Forskjellen er at det er Rubrik som utfører søket, via innebygde funksjoner, på vegne av SOAR verktøyet. IKKE ved å la en tredjepart, utenfor vår kontroll, få tilgang til dataene. Det kan skape sårbarheter! 

Verdien i disse funksjonene, i sum, er å redusere tiden det tar å komme tilbake i produksjon etter et angrep. For å få en bedre forståelse av denne betydningen, oppfordrer vi til et møte der også demo kan inngå.

Kontakt oss

Er det noe du lurer på, eller vil du vite mer? Infinigate er her for deg!

Martine Stolt-Nielsen

Business Development Manager

+47 47 62 34 73

E-post

Denne nettsiden bruker informasjonskapsler for å sikre at du får den beste opplevelsen på nettstedet vårt. Mer informasjon.