في هذا البودكاست، ننظر إلى برامج الفدية وتخزين البيانات مع كريس ماكين، أخصائي الحلول في NetApp.
يتحدث ماكين عن موردي التخزين يمكن بناؤها في منتجات التخزين التي يمكن أن تساعد في الحماية من آثار هجمات برامج الفدية وعلاجها. وتشمل هذه الكشف، حماية البيانات وقفل البيانات ضد المحاولات غير المصرح بها لتغييرها.
ويتحدث ماكين أيضًا عن كيفية ملاءمة وظيفة مكافحة برامج الفدية المخزنة في الصورة الأكبر لاستراتيجية مكافحة برامج الفدية في مركز البيانات.
ماذا يفعل برنامج الفدية – بأشكاله المختلفة؛ التشفير، والاستخراج، وما إلى ذلك – والذي يؤثر على تخزين البيانات؟
ماكين: يمكن لبرامج الفدية أن تشل التخزين بالكامل تقريبًا، لأن هذا هو الهدف من هجمات برامج الفدية.
لقد قلت بالفعل أن هناك التشفير والاستخراجعادةً، يتمكن المهاجم من الوصول إلى شبكة الشركة أو المؤسسة، وأحد الأشياء الأولى التي يقوم بها بمجرد العثور على طريقة للالتفاف حولها هو أنه سيسعى إلى استخراج البيانات.
إنهم سوف يقومون بنسخ أكبر قدر ممكن من البيانات المهمة، لأنه في تلك المرحلة، سيكون لديهم بالفعل ورقة مساومة ليقولوا لشركة ما: “إذا لم تدفعوا لنا الفدية، فسوف ننشر هذه السجلات على الويب المظلم للبيع أو في المجال العام”، مهما كانت الطريقة التي سيفعلون بها ذلك.
عادة ما يكون هناك هجوم مزدوج – بالإضافة إلى الوصول إلى البيانات، سيحاولون أيضًا تشفير جميع البيانات الموجودة على تخزين البيانات. في هذه المرحلة، ما لم تتمكن مؤسستك من التعامل مع عدم وجود قدرة رقمية للعمل، فستكون في وضع سيئ.
ربما لا يمكنك تشغيل أي خدمات تقدمها شركتك لأن كل شيء يحتاج إلى بيانات. كما تعلم، حتى لو لم يكن لدى المستخدم أو التطبيق الذي يتواصل معه مباشرة الكثير من البيانات، فمن المحتمل أن يعتمد على شيء آخر في المستقبل، قاعدة البيانات أو بحيرة البياناتفي مرحلة ما، سيكون من الضروري الوصول إلى تلك البيانات.
إذا كانت هذه البيانات مشفرة وكان المهاجم، عصابة برامج الفدية، يملكون مفتاح التشفير وهم وحدهم من يملكونه، فأنت لست في مكان جيد.
ما هي الميزات التي يمكن لبائعي التخزين دمجها لمكافحة برامج الفدية؟
ماكين: أعتقد أن هناك بعض الميزات الرئيسية. الميزة الأولى هي الكشف – تحديد ما يحدث في طبقة التخزين.
كما ذكرنا سابقًا، إذا كانت البيانات مشفرة، فهل يمكن رصد ذلك؟ هل يمكنك أن تقول، “حسنًا، أستطيع أن أرى أن مستويات التشفير في منطقة التخزين هذه بدأت في الارتفاع”؟ أم أننا نشهد ظهور أنواع ملفات جديدة لم نرها من قبل مع امتدادات ملفات غريبة؟ يمكنك القيام بذلك على طبقة البيانات. إنها طريقة رائعة للقول، “أعتقد أن هناك بعض برامج الفدية تحدث. يمكننا أن نرى فجأة أن هذا الحجم من البيانات قد انتقل من تشفير بنسبة 2% إلى تشفير بنسبة 14%”.
الآن، إذا ذهبنا إلى أبعد من ذلك، فربما ترغب في تثبيت التشفير أو الهجوم على منطقة معينة في طبقة التخزين. على سبيل المثال، إذا كان لديك وحدة تخزين وبدأ التشفير في التحليق، فهذه معلومات جيدة حقًا. ويمكن للشركة أن تتصرف بناءً على ذلك وتنظر في وضع خطوات لاستعادة البيانات، وما إلى ذلك.
ولكن، كما تعلمون، من أين جاء هذا الهجوم؟ ومن هنا جاءت أهمية تحليلات سلوك المستخدم والكيان، أو UEBA [comes in]أعتقد أن هذه خطوة أخرى يمكن لبائعي التخزين تضمينها.
إذا كان لدي إمكانية الوصول إلى نسبة صغيرة من [total] التخزين، دعنا نقول 100 تيرابايت من البيانات، وأنا في الواقع لدي حق الوصول إلى 1% فقط أو أقل، يمكنني الذهاب وتشفير [what would be] إنني أمتلك الكثير من البيانات. ولكن مساحة التخزين ككل، أي تلك الـ 100 تيرابايت، لن تشهد سوى زيادة ضئيلة للغاية في التشفير.
ومع ذلك، إذا كان هناك شيء يراقب سلوكي، فعلى الرغم من كونه نسبة، [of] إن إجمالي مساحة التخزين، وهي نسبة صغيرة جدًا، بالنسبة لي، إنها زيادة هائلة. وهذا قد يكون بمثابة علامة تحذيرية للتساؤل: “ماذا يفعل كريس ماكين؟ هل تم اختراق حسابه؟ يمكننا أن نرى أنه فجأة يقوم بنسخ الكثير من البيانات وتشفير الكثير من البيانات”.
هذا هو جزء UEBA، بالإضافة إلى مجرد النظر في التشفير العام وأنواع الملفات وأشياء من هذا القبيل. هناك بعض الأشياء التي يمكن لبائعي التخزين القيام بها لاكتشاف الهجمات التي تحدث. الآن، هذا رائع، ولكنك تحتاج أيضًا إلى القيام ببعض الأشياء في وظيفة الحماية أيضًا. من الأفضل أن تتمكن من منع حدوث ذلك في المقام الأول. هذا هو المكان الذي توجد فيه أشياء قياسية مثل RBAC [role-based access control] والآن يأتي دور نهج عدم الثقة – الذي يتيح للناس الوصول إلى ما يحتاجون إليه فقط.
لا يقتصر الأمر على أجهزة الكمبيوتر المحمولة والأجهزة التي يستخدمها المستخدمون والتي ستُشَفَّر أو ستكون الأجهزة المصابة. فقد يكون الأمر متعلقًا بحساب مستخدم مُخترق. كما ترى، في كل وقت، يتم اختراق العديد من حسابات المستخدمين.
يمكنك تقديم ميزة مثل التحقق من تعدد المسؤولين حيث لا يمكنك تنفيذ أوامر مدمرة معينة على التخزين دون موافقة شخص آخر عليها.
ما هي القيود التي يمكن لموردي التخزين القيام بها؟ ما هو الجزء من الاستراتيجية الشاملة التي يفي بها التخزين؟
ماكين: من الواضح أن الحد هو أن الأمر يقتصر على طبقة التخزين فقط. والآن، هذه الطبقة حيوية مثل أي طبقة أخرى. إن وجود الحماية والكشف في طبقة التخزين أمر مهم بقدر وجودها على الكمبيوتر المحمول الخاص بشخص ما أو أي شيء يعمل على حافة الشبكة.
ولكن هذه ليست سوى طبقة واحدة. ولا تستطيع طبقة التخزين منع إصابة جهاز شخص ما بالبرامج الضارة لأنه نقر على رابط تصيد. ولكن هذا لا يعني أنه لا يمكنك القيام بالكثير والكثير في طبقة التخزين على أمل أن تكون خط الدفاع الأخير في حالة تمكن شخص ما من الوصول إلى الشبكة والوصول إلى التخزين.
إذا كان التخزين الخاص بك قادرًا على إيقاف الهجمات أو اكتشافها، فهذا أمر بالغ الأهمية، ولكن يجب أن يكون لديك دائمًا طريقة لتأمين كميات معينة من البيانات. يتعلق الأمر بجزء “افتراض الاختراق” من بنية الثقة الصفرية.
يجب أن تكون هناك طريقة للتخزين للقول، “حسنًا، سنأخذ نسخة من هذه البيانات وسنقوم بقفلها لمدة شهرين أو خمس سنوات، أيًا كانت المدة”.
وبهذه الطريقة، حتى لو تم اختراق كل تلك الخطوات الأخرى وتدابير الحماية التي وضعتها، فستكون لديك نسخة من البيانات صالحة منذ خمسة أسابيع، أو خمسة أشهر، أو سنة، وما إلى ذلك. لذا، أعتقد أن هناك قيودًا، وهي في الأساس مجرد طبقة تخزين.
ومع ذلك، لا يزال بإمكانك القيام بالكثير في طبقة التخزين تلك والتي قد تكون بمثابة نعمة حقيقية لشركة تعرضت شبكتها للإصابة بالبرامج الضارة.
ما أفهمه من ذلك هو أن التخزين، بمعنى ما، يشبه الدعم. هل توافق على ذلك؟
ماكين: أعتقد دائمًا أن حارس المرمى هو حارس المرمى في فريق كرة القدم. إذا تمكنت من تجاوز المهاجمين ومررت بالكرة عبر خط الوسط، وحتى إذا تمكنت من تجاوز الدفاع، فستكون لديك خط الدفاع الأخير.
لقد حصلت على حارس المرمى الذي يمنع المهاجم من الوصول إلى الشيء الذي يريد الوصول إليه حقًا، لأنه باستخدام البيانات يمكن للمهاجم تحقيق أفضل استفادة من الهجوم.
