Andmetaaste korrapärane testimine annab kindluse küberriskide maandamisel

Varundussüsteemist on kasu üksnes siis, kui see on hoolikalt seadistatud ning andmetaaste korrapäraselt testitud. Tegevjuht Marko Külaots kirjutab, milliseid uusi võimalusi on  küberohtudega toimetulemiseks loonud varundustarkvara pakkuja Veeam ja mitmekihilise varundusseadmete tootja ExaGrid.

Tänases kübermaailmas on üha enam omal kohal andmevarunduse 3-2-1 kuldreegel: vähemalt 3 varukoopiat andmetest (eile, nädal tagasi, kuu tagasi) 2 eri andmekandjal, millest 1 on teises füüsilises asukohas, võrgust ligipääsmatu (offline) või puutumatu (immutable) ning andmetaaste testimisel on ilmnenud 0 viga. Kui pole võimalik kasutada teises asukohas olevat eraldi füüsilist seadet, peaks täiendavate varukoopiate jaoks looma samale andmekandjale vähemalt eraldi partitsioonid teiste ligipääsuõigustega.

Tavapärase failiserveri või Windows serveri kasutamine andmevarunduseks ei ole hea mõte, sest lunavararünde korral krüpteeritakse need tavaliselt esimesena ning sellisel juhul kaob võimalus taastada süsteemide töö varukoopiatelt. Tihti rünnatakse esmalt IT-administraatori digitaalset identiteeti, et enne lunavara käivitamist kustutada varukoopiad ka neist seadmetest, mille üle ei õnnestunud pahalasel kontrolli saavutada. Sellise ründe vastu aitab puutumatu varukoopia, mida ei saa isegi varundussüsteemi administraatoriõiguste ülevõtmise korral kindlaksmääratud aja jooksul kustutada, muuta ega ka lunavaraga krüpteerida. Kui see periood (näiteks 2 nädalat) möödub, saab administraator ise puutumatu varukoopia kustutada, et teha ruumi uuemate varukoopiate jaoks.

Screenshot 2024 10 31 at 11.14.43

Andmetaaste korrapärane testimine on tõe kriteerium

Isegi kui varundustarkvara näitab, et varukoopiatega on kõik korras, ei pruugi see alati tähendada, et neist on võimalik hävinenud andmed tagasi saada või et taastatud IT-lahendus taas tööle hakkab. Ainus võimalus selles on veenduda on testida andmetaastet korrapäraselt, kusjuures testimine 1-2 korda aastas on kindlasti liiga vähe. Sellise regulaarsusega andmetaaste testid on sisuliselt tegutsemisõppus IT-meeskonnale andmekao korral toimimiseks, mis muidugi on kasulik, ent ei anna kindlust, et eelmise nädala andmetest tehtud varukoopiat on ka reaalselt võimalik kasutada. Et olla selles veendunud, tuleks ideaalis andmetaastet testida kord nädalas näiteks nädalavahetuseti.

Andmetaaste testimiseks on mugavad sellised lahendused nagu Veeami SureBackup, mis võimaldavad IT-süsteemi või andmebaasi käivitada varukoopia alusel otse varundussüsteemist ilma, et need tuleks paigaldada igapäevases kasutuses olevasse live-serverisse. Selles lahenduses kasutatakse puhverseadet isoleeritud virtuaalvõrgu loomiseks, et eraldada testitud varukoopiad aktiivses kasutuses olevatest andmetest. Lisaks andmete korrektsusele ja kasutatavusele saab nii testida, kas ka varundatud IT-rakendused töötavad. Iga regulaarse testi tulemuste kohta saadetakse IT-meeskonnale e-postiga automaatne raport.

Kontrolli andmeid enne varukoopiate tegemist ja taastamist

Et veelgi vähendada küberrünnete õnnestumise riski, tuleks juba varukoopiate tegemisel kontrollida, ega need pole pahavaraga nakatatud ega sisalda kahtlasi linke. Masinõpet kasutav Inline Malware Detection analüüsib varundamisel andmevooge reaalajas ja tuvastab lunavara tunnused. Nakatatud varukoopiad märgistatakse ning sellest antakse koheselt varundussüsteemi administraatorile teada.

Juba varundatud andmete kontrolliks on mõistlik lisaks kasutada viirusetõrjelahendust või YARA-otsingut. Eriti vajalik on see õnnestunud lunavararünde korral. Kui häkkeril läks korda süsteemid lunavaraga krüpteerida, ei tohi neid kohe varundusest taastada, vaid esmalt tuleb logisid analüüsides uurida, mil viisil pahalane süsteemidesse pääses. Sel viisil saab turvaaugud enne andmetaastet sulgeda, sest vastasel juhul on süsteemide uuesti krüpteerimine ainult aja küsimus. Seejärel tuleks enne andmetaastet varukoopiad YARA-otsinguga üle kontrollida, sest need võivad olla lunavaraga nakatatud isegi siis, kui on hetkel krüpteerimata. Võibolla ei õnnestunud häkkeril kogu varundust krüpteerida, kuid ta jättis sinna varjatud tagaukse, mille kaudu on võimalik varukoopiast taastatud live-süsteem uuesti krüpteerida ning taas asuda raha välja pressima. Isegi kui varukoopiad on osutunud puhtaks, võib riskide täiendavaks maandamiseks taastada süsteemid esmalt isoleeritud keskkonnas ning alles mõningase karantiinis testimise järel minna üle live-keskkondadele.

Lisakaitsena identiteedirünnete vastu võib soovitada nelja silma kontrolli funktsionaalsust, mis tähendab, et teatud kriitilisemateks toiminguteks nagu varukoopiate või terve andmehoidla kustutamine on vajalik kahe süsteemiadministraatori nõusolek. Samuti võiks kriitilisemad tööd delegeerida eraldi infoturbe administraatorile, kel on ainuõigus luua puhverkeskkondi ja andmehoidlaid, hallata ligipääsuõigusi ja krüpteerimisvõtmeid jne.

Mitmekihilised varundusseadmed pakuvad täiendavat kaitset

Täiendavat kaitset küberrünnete vastu pakub ka mitmekihiline lähenemine varundussüsteemidele  (Tiered Backup Storage) nagu on ExaGridi seadmetel, kus kettamassiiv on piltlikult jagatud kiiret andmevahetust võimaldavaks maandumistsooniks (landing zone) ja n-ö varulaoks (repository tier). Kui pahalasel õnnestub süsteemiadministraatori ligipääsud varastada ning ta kustutab enne andmete lunavaraga krüpteerimist varukoopiad, siis tegelikult jäävad kõik need varulao kihti alles, sest varundussüsteemi sisse tungides häkker lihtsalt ei näe neid. Mõne klikiga on viimase 30 päeva kustutatud varukoopiad võimalik taas maandumistsoonis nähtavaks muuta.

Veeami varundustarkvara kasutamine ExaGridi riistvaraga võimaldab andmete deduplikeerimist kettaruumi säästmiseks, kiiremat turvalist andmevahetust Veeam Data Mover lahendusega, sünteetiliste täisfailide (Synthetic Full Backup) loomist erinevatest varukoopiatest kuni 30 korda kiiremini kõigest minutitega, varundussüsteemi automaatset haldust ja skaleeritavust ning S3 objektsalvestuse ja Microsoft 365 keskkonnast otse varundamise tuge.

Tahad olla kindel, et praegune varundussüsteem pakub piisavalt kaitset lunavararünnete ja teiste küberohtude eest? Võta palun minuga ühendust ja arutame need teemad läbi:

Marko Külaots

[email protected]