В этом обзоре расскажем о проблематике защиты резервных копий, возможных вариантах реализации такой защиты, а также о совместном решении компаний Киберпротект и АМТ‑ГРУП, позволяющем обеспечить защищенное хранение резервных копий, создаваемых СРК Кибер Бэкап, используя аппаратно‑программный комплекс InfoDiode.
Необходимость защиты резервных копий
Сложно представить организацию, в которой информационные системы и обрабатываемые ими данные не стали бы одним из наиболее ценных активов. Информация, хранящаяся на рабочих местах работников и общих файловых ресурсах, базы данных, технологические и финансовые системы, виртуальные машины, конфигурационные файлы программных и аппаратных средств инфраструктуры являются важнейшей составляющей работоспособности любой современной организации. Задача обеспечения сохранности таких активов становится все более значимой. Выход из строя технических средств, ошибки пользователей и администраторов, происшествия техногенного характера — все это может привести к необратимой утрате ключевых активов компании.
Сегодня к этим рискам добавился еще один — атаки злоумышленников. Чем крупнее организация, тем острее стоит данный вопрос. Рост сложности и объема ИТ‑инфраструктуры и количества ее пользователей увеличивают возможности проникновения и нарушения ее функционирования как со стороны внешнего, так и со стороны внутреннего нарушителя, растет и риск окончательной утраты информации. В последнее время публичных кейсов утраты информации и нарушения работы ИТ‑инфраструктуры в результате действий злоумышленников становится даже больше, чем в результате иных, например техногенных, факторов. Такой риск, очевидно, требует принятия мер, снижающих как вероятность успешного проникновения злоумышленника в инфраструктуру организации, так и вероятность безвозвратной потери ключевых данных.
Важно отметить, что любой подход с построением хранилища резервных копий требует тщательной проработки вопросов обеспечения безопасности хранилища и соблюдения регламентов резервного копирования. Это связано с тем, что в случае компрометации инфраструктуры организации наличие постоянного канала связи с хранилищем резервных копий может позволить злоумышленнику уничтожить, зашифровать или скомпрометировать все его содержимое. Такое развитие событий может стать «точкой невозврата» для организации.
Возможные варианты реализации защиты резервных копий
Рассмотрим основные способы защиты резервных копий.
Физическая защита носителей
Если резервные копии хранятся на физических носителях (HDD, SSD, лентах), важно обеспечить их сохранность. Для это рекомендуется:
хранить носители в сейфах или защищенных ЦОД;
использовать автономные носители, отключаемые после записи для защиты от вредоносного ПО;
размещать резервные копии на географически разнесенных площадках.
Шифрование данных
Шифрование резервных копий позволит обеспечить защиту от несанкционированного доступа к данным даже в случае утечки. Для это рекомендуется:
использовать быстрое и надежное симметричное шифрование (AES);
передавать ключи ассиметричным способом (RSA);
при шифровании до записи в хранилище выполнять шифрование на стороне сервера;
в случае использования удаленных хранилищ выполнять шифрование на клиенте перед отправкой в облако.
Также рекомендуется хранить ключи шифрования отдельно от резервных копий, например, в аппаратном модуле безопасности HSM.
Контроль доступа и аутентификация
Для снижения рисков изменения, удаления или кражи резервных копий следует использовать механизмы ограничения доступа к резервным копиям. Для этого следует:
для доступа к системам резервного копирования применять многофакторную аутентификацию (МФА);
использовать ролевую модель доступа (RBAC) для организации доступа к управлению резервными копиями только авторизованных сотрудников;
вести журнал действий — кто, когда и какие операции с резервными копиями выполнял.
Также необходимо вести постоянный мониторинг аномальных активностей в системе — подозрительные попытки доступа, массовое удаление файлов и пр.
Защита от вредоносного ПО
Все чаще и чаще атаки вредоносного ПО нацелены на резервные копии. Для защиты от таких атак следует:
выполнять резервное копирование с полной изоляцией носителей резервных копий от сети — т. н. «Air‑gapped backup»;
использовать хранилища с защитой от изменений (Immutable‑хранилища), например, S3 Object Lock;
выполнять регулярное тестирование возможности восстановления из резервных копий.
Еще одним подходом к построению хранилищ резервных копий является их максимальное отделение от основной инфраструктуры с использованием аппаратных средств со строго ограниченным каналом передачи резервных копий. В ряде случаев такие хранилища получают названия «хранилища черного дня», предполагая, что они используются как последний доступный инструмент восстановления данных.
В современных условиях активных атак на ИТ‑инфраструктуру российских компаний наиболее корректным с точки зрения локализации рисков ИБ для организации защищенных хранилищ резервных копий является совместное применение СЗИ, обеспечивающих свою функцию безопасности за счет программных решений и аппаратных или программно‑аппаратных решений, функция безопасности которых обеспечивается физическим устройством. Второй тип устройств получил название — «диод данных», и их применение является примером лучших практик защиты критически значимых сетевых сегментов.
Об использовании решений этого класса для защиты резервных копий мы поговорим ниже.
СРК Кибер Бэкап – возможности хранения резервных копий
Система резервного копирования Кибер Бэкап широко используется в организациях разного масштаба для обеспечения защиты данных операционных систем, платформ виртуализации, СУБД и приложений. Мы уже достаточно много писали про возможности нашего продукта, например, здесь и здесь, поэтому перейдем непосредственно к теме хранения резервных копий.
Кибер Бэкап поддерживает различные типы хранилищ, в которых можно разместить резервные копии. Сюда входят локальные и сетевые диски, управляемые хранилища на базе медиа‑сервера, ленточные накопители, а также возможность хранения резервных копий в SDS‑хранилищах, создаваемых на базе Кибер Инфраструктуры и хранение во внешних S3-хранилищах с использованием шлюза резервного копирования — компонента Кибер Инфраструктуры, передающего резервные копии в хранилища.
Для защиты резервных копий в Кибер Бэкапе предусмотрены:
парольная защита резервных копий и узлов хранения;
использование ролевой модели для разграничения доступа к функциям системы;
ведение журнала аудита для сбора и представление ключевых событий в системе с возможностью их передачи событий журнала в SIEM и подобные системы;
модуль «Активная защита», построенный на базе ИИ, включающий машинное обучение выявлению операций с файловой системой, типичных для вредоносного ПО;
проприетарный протокол передачи резервных копий через шлюз резервного копирования.
Компания Киберпротект активно работает с российскими производителями программного обеспечения, оборудования и средств защиты информации. Технологическое партнерство с лидерами рынка позволяет предлагать совместимые, интегрированные решения для решения широкого спектра задач защиты инфраструктуры и данных. Одним из технологических партнеров является компания АМТ‑ГРУП, производитель средства защиты информации АПК InfoDiode.
АПК InfoDiode
Однонаправленный шлюз InfoDiode — это СЗИ, относящееся к классу «диод данных». InfoDiode создает физически однонаправленный канал в хранилище «черного дня», позволяющий обеспечить непрерывную надежную и безопасную загрузку резервных копий. Технология однонаправленной передачи данных, основанная на принципах физической изоляции доверенного сегмента от менее доверенных, обеспечивает возможность передачи информации в одном направлении и нивелирует риски эксплуатации злоумышленником двунаправленного канала для организации атаки. За счет таких функций безопасности злоумышленники фактически атакуют «черный ящик». В таких сценариях злоумышленник не имеет возможности определить, какие объекты находятся за границей сегмента, как обрабатываются входящий и исходящий потоки, какие СЗИ используются для защиты таких потоков, не получает реакции систем на попытки деструктивного воздействия и не получает информации о том, зафиксировано ли его деструктивное воздействие на защищаемый сегмент. Указанные преимущества предоставляют специалистам ИБ дополнительное время для обнаружения и купирования атаки, а также многократно повышают сложность, длительность и стоимость атак на «хранилище черного дня», что делает атаку нерентабельной.
Совместимое решение
На практике использование комплекса однонаправленной передачи данных InfoDiode и системы Кибер Бэкап предполагает применение комплекса InfoDiode между системой резервного копирования Кибер Бэкап и ее агентами, расположенными на рабочих станциях, серверах, хранилищах данных, СУБД и виртуальных средах в корпоративном сегменте и узлом хранения резервных копий.
В совместном решении InfoDiode выступает в качестве системы однонаправленной передачи данных, обеспечивающей передачу резервных копий на специализированный узел хранения с целью исключения удаленного воздействия на этот узел.
Таким образом обеспечивается регулярная (настраиваемая по расписанию) передача резервных копий в защищенное резервное хранилище и сохраняется использование уже существующей системы резервного копирования, выполняющей функции создания резервных копий и репликации. В случае компрометации корпоративной сети соответствующие специалисты ИБ и ИТ блока физически получают доступ к узлу хранения резервных копий и, используя восстановленные каналы связи или дополнительные носители информации, восстанавливают инфраструктуру корпоративного сегмента.
Совместное использование решений Кибер Бэкап и InfoDiode позволяет обеспечить непрерывный процесс резервного копирования в хранилище «черного дня», которое за счет изоляции сетевого сегмента и ограничению двунаправленных сетевых протоколов является «цифровой крепостью» для хранения ключевой информации организации.
