Safeguarded Copy: de innovatieve datakluis

Haußmann: De professionele hackerscene neemt zijn toevlucht tot steeds geraffineerdere tools. Tot voor kort lag de nadruk op social engineering of de verraderlijke constructie van toegangsblokken, nu is het de grootschalige vernietiging van gegevens. De toenemende verspreiding van ransomware is een businessmodel aan het worden dat het bestaan van steeds meer bedrijven bedreigt. Hier is de eerste aanval vaak op de back-upgegevens, die worden versleuteld en dus onbruikbaar worden gemaakt. Pas in de tweede stap volgen de primaire opslaggegevens.

Welke huidige compliance-voorschriften spreken voor extra bescherming tegen gegevensverlies?

Gerecke: Voor gegevens in de compliance-omgeving gelden meestal strenge archiveringsvereisten. Aangezien deze gegevens even kwetsbaar zijn voor aanvallen als back-ups, moeten zij met alle beschikbare middelen worden afgesloten. Om te voorkomen dat de backups in geval van een aanval worden versleuteld, moeten zij afzonderlijk van de andere systemen offline worden geback-upt. Hier volgt een voorbeeld uit de AI-omgeving: gegevens die worden gebruikt om neurale netwerken te trainen, moeten zeer lang worden bewaard. Als het algoritme fouten ontdekt of verbeteringen nodig acht, moet het op elk moment mogelijk zijn toegang te krijgen tot de opleidingsgegevens. Dit scenario creëert optimale omstandigheden voor aanvallers. Het getrainde algoritme wordt tenslotte verondersteld geld op te leveren voor het bedrijf. Echte gegevensbescherming op lange termijn wordt alleen geboden door offline gegevensdragers zoals tapetechnologie.

Waarom zijn de tot nu toe gebruikte veiligheidskenmerken in flashsystemen, waarvoor een gegevensbeschikbaarheid van 99,9999 procent wordt gegarandeerd, niet voldoende?

Haußmann: De veiligheid en beschikbaarheid van de opslagsystemen is slechts één ding. Hier bieden functies als data- of meervoudige mirroring, verschillende opties voor disaster recovery, HyperSwap en uitgerekte clusterconfiguraties het optimum. Even belangrijk is echter de bescherming van de gegevens tegen aanvallen van buitenaf, toegang van onbevoegden tot de gegevens, bescherming tegen gebruikersfouten en nog veel meer. Deze bescherming wordt gewaarborgd door versleuteling van de gegevens, toegangscontrole en functionaliteiten zoals “Safeguarded Copy”. Er is nog een derde punt: de IT-omgevingen van veel bedrijven zijn de afgelopen jaren steeds complexer en kwetsbaarder geworden, bijvoorbeeld door het toegenomen gebruik van clouddiensten of mobiele eindapparatuur. Dit heeft geleid tot het ontstaan van nieuwe regelgeving op de meeste gebieden van het bedrijfsleven, waarmee rekening moet worden gehouden.

Hoe beschermt Safeguarded Copy (SGC) tegen manipulatie of verwijdering van gegevens?

Gerecke: De nieuwe softwarefunctie maakt automatisch point-in-time-kopieën (PiT) in een gegevenskluis in speciale opslagpools binnen de opslagsystemen. Daar worden de gegevens behandeld als een WORM back-up (Write Once Read Many). Dit betekent dat zij niet kunnen worden overschreven, gewijzigd of gelezen, maar alleen beschikbaar zijn voor hersteldoeleinden. Toepassingen hebben geen enkele toegang tot deze gegevens. Het voordeel is dat een restore in de primaire opslag zeer snel en veilig kan worden uitgevoerd.

Haußmann: SGC is een air gap met logische scheiding tussen computer en netwerk, terwijl bij de offline datadrager tape een fysieke air gap wordt gecreëerd door het verwijderen van cartridges. Bedrijven mogen daarom nooit zonder een back-up op tape, want alleen kopieën op een fysieke gegevensdrager bieden ultieme bescherming als na een cyberaanval alle onlinesystemen worden vernietigd.

Hoe lang duurt het voordat gemanipuleerde of verwijderde gegevens weer beschikbaar zijn?

Haußmann: Safeguarded Copy is interessant voor alle gebruikers die na een cyberaanval snel weer met hun gegevens moeten kunnen werken en niet enkele uren kunnen wachten op herstel. Safeguarded Copy maakt gebruik van Flashcopy-technologie. Daarom is de langste tijd nodig om de laatste “schone” gegevensverzameling te vinden. Het herstel van de ene back-uptoestand naar de vorige is zeer snel, zodat er praktisch geen wachttijd is voor de back-up in een herstelgebied is geïmporteerd. De restore zelf kan dan met een druk op de knop worden gerealiseerd.

Hoe werkt SGC-gegevensbescherming in het dagelijkse bedrijfsleven?

Gerecke: We raden aan de softwarefunctie te gebruiken met de IBM Copy Service Manager (CSM), zodat back-up en restore kunnen worden geautomatiseerd. CSM biedt de mogelijkheid om gedefinieerde SGC-beleidslijnen uit te voeren en bestuurt de software ook over meerdere opslagsystemen. CSM is beschikbaar in IBM Spectrum Control, de IBM VSC, de IBM Spectrum Storage Suite of als zelfstandige oplossing.

Haußmann: Om de verwoestende gevolgen van ransomware-aanvallen te voorkomen, is het zinvol om Safeguarded Copy periodiek in te stellen, ongeveer elke vier tot zes uur. Als zich een noodsituatie voordoet, kunt u terugvallen op de kopie, die een consistente gegevensvoorraad weergeeft, om een kortetermijnherstel uit te voeren en snel weer online te zijn. SGC maakt het mogelijk de intervallen te bepalen waarmee kopieën moeten worden gemaakt. Bovendien kan worden bepaald hoe lang de kopieën moeten worden bewaard – gewoonlijk twee tot vijf dagen. Alle intervallen kunnen flexibel worden gekozen.

Voor welke flash-systemen is SGC beschikbaar en wat kost de software?

Gerecke: Safeguarded Copy is een integraal onderdeel van de IBM Spectrum Virtualize-software vanaf release 8.4.2 en kan zonder extra kosten worden gebruikt in alle omgevingen met deze versie. Afhankelijk van de implementatie en het gebruik kunnen er echter kosten ontstaan – bijvoorbeeld door de IBM Copy Service Manager voor de automatische uitvoering van gedefinieerde SGC-beleidsregels.

Haußmann: Er is nog één kleine beperking: Safeguarded Copy is alleen beschikbaar voor de IBM-opslagsystemen die kunnen worden uitgerust met NVMe-modules. Dit zijn de FlashSystem-modellen 5100, 5200, 7200 en 9200. De FlashSystems 5010, 5015, 5030 en 5035 worden niet ondersteund.

Wilt u meer weten over IBM Safeguarded Copy? – Download dan gratis onze functiebeschrijving:

Welke rol speelt de Security Information and Event Management-tool QRadar?

Gerecke: QRadar werkt optimaal samen met Safeguarded Copy. De tool is ideaal voor bedreigingsbeheer en analyseert permanent gebruikersgedrag op onregelmatigheden. Anomalieën en ongeoorloofde toegangsactiviteiten in het netwerk worden opgespoord en geëlimineerd. Binnen automatisering en orkestratie biedt de IBM QRadar Advisor met Watson (inclusief MITRE ATT&CK) optimale beveiliging. In geval van een aanval start de software proactief Safeguarded Copy om een beschermde reservekopie te maken.

Welke toepassingen zijn bijzonder interessant voor SGC-gebruik?

Haußmann: Hier moeten alle toepassingen of gegevens worden genoemd die in geval van niet-beschikbaarheid hoge kosten of zelfs het stilvallen van de hele operatie kunnen veroorzaken. SGC biedt met name extra bescherming tegen ransomware en alle andere cyberaanvallen zoals phishing, malware, Trojaanse paarden of afluisteren.

Wat is het USP van Safeguarded Copy in vergelijking met de concurrentie?

Gerecke: IBM biedt de klant een “best of class”-implementatie: ontwikkeld in de mainframeomgeving en geïntegreerd in de Spectrum Virtualize-software, zijn belangrijke functionaliteiten zoals de IBM Copy Service Manager voor automatisering inbegrepen. Met de integratie van beveiligingstools zoals QRadar is Safeguarded Copy de ideale aanvulling op IBM’s Modern Data Protection-concept en beveiligingsstrategie.

Haußmann: Bovendien kunnen de PiT-kopieën door de gebruiker zelf worden geconfigureerd op basis van regelgebaseerde back-ups. Een ander voordeel ten opzichte van de concurrentie is dat SGC alle soorten gegevens zonder beperkingen ondersteunt. Andere leveranciers stellen hun software-oplossingen alleen beschikbaar voor het NAS-gebied en vaak niet in HA-modus of voor functionaliteiten zoals HyperSwap. Er is echter één klein nadeel: Safeguarded Copy ondersteunt nog geen SVC Stretched Cluster-configuraties.

Kunnen we dit jaar nog meer innovaties in de SGC- en Flash-omgeving verwachten?

Gerecke: We hopen dat de ondersteuning voor IBM SVC Stretched Cluster-configuraties in het najaar beschikbaar zal zijn, aangezien deze door veel bedrijven in Duitsland worden gebruikt.

(ID:47765804)