Integracja obszarów backupu (ochrony danych) i bezpieczeństwa (cybersecurity) w obliczu lawiny cyberzagrożeń, jest kluczowa dla funkcjonowania organizacji.

Tradycyjnie, ochrona danych skupiała się na awariach sprzętowych i błędach ludzkich, natomiast działy bezpieczeństwa koncentrowały swoje działania na obronie przed włamaniami. Dziś, w dobie ransomware, te dwa obszary są nierozerwalnie połączone, a ich wzajemna izolacja stanowi największe ryzyko.

Brak pełnej widoczności i automatycznej reakcji na ataki

Zespoły SOC, mimo że są wyposażone w zaawansowane narzędzia klasy SIEM/SOAR, często nie mają pełnego wglądu w najbardziej krytyczny cel ataku – systemy backupu. W rezultacie, atakujący mogą bez przeszkód działać w „martwym polu”.

W tym kontekście rozwiązaniem jest synergia technologiczna. Systemy ochrony danych, takie jak Commvault, muszą stać się aktywnym komponentem infrastruktury bezpieczeństwa:

  • Dwukierunkowa komunikacja. Commvault, jako repozytorium audytowe, dostarcza systemom SIEM/SOAR kluczowych informacji o anomaliach i działaniach administracyjnych, takich jak nagłe próby zmiany retencji czy usuwania kopii zapasowych.
  • Automatyczna reakcja (SOAR). Narzędzia automatyzacji pozwalają na wyzwolenie „playbooków” bezpośrednio w systemie backupu. Przykładowo, wykrycie podejrzanej aktywności użytkownika w nocy może automatycznie spowodować wylogowanie go, zablokowanie konta w Active Directory i włączenie niezmienności danych (WORM) na kopiach zapasowych – odcinając tym samym atakującego od danych krytycznych.

    Ryzyko skażenia i odtwarzanie do zarażonego środowiska

    W przypadku dużego incydentu, pośpieszne odtworzenie danych z kopii zapasowej jest obarczone ryzykiem. Jeżeli ostatni backup zawierał już złośliwe oprogramowanie, organizacja może powtórnie zainfekować się, stając się ofiarą ataku w tzw. pętli. Ponadto, firmy zewnętrzne wymagają analizy śledczej (trwającej często dni lub tygodnie), zanim pozwolą na start środowiska.

    Aby przełamać to ryzyko, niezbędne są mechanizmy weryfikacji czystości danych oraz izolacji:

    • Skanowanie Malware. Commvault umożliwia skanowanie kopii zapasowych w poszukiwaniu złośliwego oprogramowania i anomalii, dzięki czemu odtwarzanie następuje z ostatniej czystej kopii.
    • Izolowane odtwarzanie. Kluczowe jest testowanie i odtwarzanie środowisk w wyizolowanych sieciach, co pozwala na bezpieczną weryfikację bez ryzyka ponownej infekcji środowiska produkcyjnego.

    Zagrożenia wewnętrzne i Zero Trust

    W świecie cyberbezpieczeństwa nie można ufać nikomu – nawet administratorom. Wiele ataków wykorzystuje skradzione uprawnienia lub celowe działanie niezadowolonych pracowników.

    Tutaj niezbędna jest implementacja założeń Architektury Zero Trust w systemie backupu, co Commvault realizuje przez:

    • Autoryzację dwuosobową – wymóg potwierdzenia przez drugiego administratora operacji krytycznych, takich jak kasowanie backupów, uniemożliwiający pojedynczemu administratorowi sabotaż.
    • Izolację i niezmienność – wdrożenie zasady Air-Gap (izolacji sieciowej) oraz WORM (Write Once Read Many), które fizycznie (lub logicznie) uniemożliwiają atakującemu lub administratorowi zmianę, czy usunięcie kopii zapasowych przez określony czas.
    • Cyber Deception (ThreatWise) – rozwiązanie to aktywnie wspiera skrócenie fazy ataku poprzez wdrożenie fałszywych pułapek (Decoys) w sieci. Dotknięcie pułapki (udającej np. serwer SQL lub plik z hasłami) natychmiast wyzwala alarm, umożliwiając błyskawiczną reakcję zanim atakujący dotrze do krytycznych zasobów.

      Integracja backupu i bezpieczeństwa przestała być opcją, a stała się strategiczną koniecznością. Nowoczesny system ochrony danych musi być aktywnym strażnikiem, który nie tylko pozwala szybko się odtworzyć, ale przede wszystkim współuczestniczy w wykrywaniu i mitygacji ataku.

      Chcesz dowiedzieć się więcej o tym jak rozwiązania od Commvault wspierają bezpieczeństwo organizacji? Przeczytaj również:

      Szukasz doświadczonego partnera do wdrożenia zaawansowanych rozwiązań z zakresu backupu i bezpieczeństwa? Napisz do nas. Zespół specjalistów Softinet odpowie na wszystkie Twoje pytania.