Dostarczamy rozwiązania zapewniające ochronę we wszystkich aspektach cyberodporności

Z Przemysławem Mazurkiewiczem, Senior Sales Engineering Director na region EMEAI Central (Austria, Niemcy, Polska, Szwajcaria) w Commvault rozmawiamy o: zmieniającej się specyfice cyberzagrożeń i niezbędnym podejściu do nich; znaczeniu koncepcji cyberodporności; oferowanych przez firmę rozwiązaniach pozwalających uniknąć okupu za ransomware, błyskawicznie odtwarzać i przenosić środowiska IT pomiędzy różnymi platformami.

Na jakich obszarach funkcjonowania organizacji koncentrują się dziś działania cyberprzestępców?

Grupy cyberprzestępcze najczęściej koncentrują się na działaniach, które mają zachęcić pracowników firmy do podjęcia określonych czynności, uruchomienia złośliwego oprogramowania, a na koniec otrzymania okupu. W tym kontekście szczególne znaczenie ma phishing.

Tego typu działania będą stawały się coraz bardziej skuteczne m.in. za sprawą generatywnej sztucznej inteligencji, która daje możliwość podejmowania bardziej efektywnych działań na szeroką skalę. Już teraz znaczna większość udanych ataków ransomware wiąże się z czynnikiem ludzkim. Absolutnie priorytetowym zagadnieniem staje się edukacja pracowników i troska o ich czujność.

Obserwujemy także nasilenie wrogich działań wywiadów obcych państw i wspieranych przez nie grup przestępczych, które skupiają się na wyciągnięciu danych wrażliwych czy takich, które mogą pomóc w zrozumieniu polityki innego państwa albo zaszkodzić w jego zaangażowaniu np. w działania na rzecz Ukrainy.

Trzeba pamiętać, że zdarzają się ataki nastawione na zniszczenie infrastruktury krytycznej. Taki charakter miał – wymierzony w ukraińską firmę Kyivstar – atak z grudnia 2023 roku. W efekcie, infrastruktura telekomunikacyjna tego dostawcy została w znacznym stopniu uszkodzona.

Warto też mieć na uwadze, że również w Polsce możemy spotkać się z tego typu działaniem. Podobnie jak z aktywnościami, które mają na celu dezinformację. Taki właśnie był cel niedawnego ataku na Polską Agencję Prasową.

W jaki sposób, w obliczu takich zagrożeń, należy podejść do konieczności zapewnienia bezpieczeństwa infrastruktury IT?

Na pewno nie wolno nie doceniać kwestii zapewnienia właściwych zabezpieczeń, ale też działań z zakresu prewencji i wykrywania zagrożeń.

Metody ochrony są różne, od tych najbardziej tradycyjnych, jak zapora firewall, przez segmentację sieci, która ma na celu ograniczenie potencjalnego zakresu ataku, po stosowanie dodatkowych, bardziej wyspecjalizowanych zabezpieczeń, jak Web Application Firewall, czy systemy zarządzania tożsamością pozwalające ograniczyć zakres uprawnień, jakie mają do dyspozycji użytkownicy.

W dzisiejszych realiach połączenie tych wszystkich metod działania jest absolutnie konieczne. Warto też wykorzystać różnego rodzaju systemy, które służą szybkiemu wykrywaniu i reakcji na potencjalne sygnały o zagrożeniach. Poza tym, trzeba poświęcić siły i środki na ocenę ryzyka w zakresie funkcjonowania poszczególnych elementów infrastruktury IT, aplikacji i usług.

Jednocześnie, należy przyjąć założenie, że wszystkich zagrożeń nie da się wyeliminować. To oznacza, że na znaczeniu zyskują rozwiązania pozwalające wyprowadzać cyberprzestępców w pole i minimalizować skutki ataków.

Na czym polega istota koncepcji cyberodporności? Czy chodzi jedynie o minimalizowanie podatności?

Cyberodporność jest pojęciem szerszym niż cyberbezpieczeństwo, które skupia się przede wszystkim na wykrywaniu, prewencji i minimalizacji ryzyka ataku.

Cyberodporność dokłada do tego również ochronę przed skutkami udanych ataków, z którymi wcześniej czy później, w mniejszym lub większym zakresie, większość przedsiębiorstw zapewne się spotka.

Cyberodporność obejmuje m.in. rozwiązania, które pozwalają w szybki i skuteczny sposób odtworzyć dane i zweryfikować ich bezpieczeństwo, tak aby mieć pewność, że przywracając je, nie wprowadzimy szkodliwego oprogramowania do naszego środowiska.

Jakie rozwiązania przeciwdziałające cyberzagrożeniom zapewnia Commvault?

Oferujemy wiele takich narzędzi. Wśród nich są rozwiązania związane z tzw. decepcją, czyli oszukiwaniem hakerów poprzez podsuwanie im odpowiednio spreparowanych przynęt, wabików, a także te, które pozwalają zmniejszyć ryzyko powodzenia ataku i szybko wykryć działania zmierzające do jego przeprowadzenia. Mam tu na myśli choćby próby analizy infrastruktury danej organizacji na wczesnym etapie przygotowania ataku. Jest skuteczna metoda wykrywania tzw. zagrożeń zero-day, które wykorzystują nieznane powszechnie luki w oprogramowaniu.

Rozwiązania z obszaru decepcji to dobry przykład tego, jak bardzo charakterystyka rozwiązań Commvault zmieniła się w ostatnich latach.

Nasza oferta wykracza dziś poza kwestię odzyskiwania danych. Commvault dostarcza rozwiązania pozwalające na zapewnienie ochrony we wszystkich aspektach cyberodporności, poczynając od elementów związanych z wykrywaniem i wczesnym alarmowaniem o potencjalnym ataku.

System decepcyjny Commvault Threatwise pozwala wykryć wrogie działania hakerów, przyciągając ich do fałszywych zasobów. Ponadto mamy możliwość oceny ryzyka kradzieży danych. Możemy w automatyczny sposób zweryfikować, gdzie w ramach konkretnego środowiska, znajdują się krytyczne dla działania przedsiębiorstwa dane, związane np. z danymi osobowymi. Co więcej, jeśli takie informacje znajdują się tam, gdzie nie powinny być przechowywane, nasze rozwiązania mogą wszcząć alarm albo automatycznie przenieść lub usunąć takie dane.

Rynek rozwiązań bezpieczeństwa jest bardzo rozdrobniony i dynamiczny. Ciągle pojawiają się nowe zagrożenia i odpowiadające im narzędzia obronne, więc nie jesteśmy w stanie samodzielnie pokryć całego spektrum rozwiązań bezpieczeństwa IT. Stawiamy zatem na ścisłą integrację z zewnętrznymi systemami cyberbezpieczeństwa, w tym rozwiązaniami klasy SIEM (Security Information and Event Management), czy wyspecjalizowanymi narzędziami analizy ryzyka. Wychodzimy z założenia, że tylko w ten sposób można zbudować w pełni funkcjonalny system bezpieczeństwa.

Commvault oczywiście słynie też z tego, że mamy rozwiązania wspierające odzyskiwanie danych dla najszerszej gamy aplikacji, zarówno tych używanych w modelu tradycyjnym, on-premise, w ramach lokalnych centrów danych, ale także w publicznej chmurze.

Co wyróżnia podejście Commvault w zakresie odtwarzania danych i całych środowisk IT po ataku lub awarii?

Nie ma na rynku innego dostawcy rozwiązań odtwarzania danych, który byłby w stanie zabezpieczyć tak wiele obciążeń aplikacyjnych w chmurze i on-premise. Skupiamy się na jak najszybszym procesie odtwarzania i wsparciu nie tylko operacyjnego odtwarzania danych, ale również Cyber Recovery, gdzie – po wystąpieniu cyberataku – po zaszyfrowaniu danych, jesteśmy w stanie odtworzyć je z bezpiecznej, tzw. złotej kopii umieszczonej w odseparowanym  galwanicznie środowisku.

Co więcej, jesteśmy też w stanie przetestować odtwarzanie danych w czystym, wyizolowanym środowisku – tzw. Cleanroom – przeznaczonym do tego, aby kompleksowo zweryfikować możliwość bezpiecznego przywrócenia danych. W takim Cleanroomie, inaczej nazywanym Isolated Recovery Environment, można np. przeskanować dane zewnętrznymi narzędziami bezpieczeństwa, czy też inne działania typu Forensic – m.in. poszukiwania wektorów ataku.

Stawiamy na zapewnienie bezpieczeństwa i szybkości procesu sprawdzenia, czy czasem nie wprowadzamy ponownie infekcji do naszego środowiska.

Czy te rozwiązania są dostępne tylko w odniesieniu do środowisk on-premise, czy także do infrastruktury budowanej na bazie usług chmury publicznej?

Commvault Air Gap Protect umożliwia stworzenie tzw. złotej kopii danych, oddzielonej od – lokalnego lub chmurowego – środowiska produkcyjnego. Zapewniamy więc klientom szerokie możliwości wyboru.

Stosowne środowisko można zbudować na podstawie własnej platformy lub naszych rozwiązań appliance umieszczonych w centrum danych klienta albo – jeszcze lepiej – w oddzielonym od reszty środowisku data center, tylko cyklicznie łączącym się ze środowiskiem produkcyjnym.

W sytuacjach wymagających dużej elastyczności i szybkości działania polecamy odpowiednio zabezpieczone rozwiązanie chmurowe Commvault Air Gap Protect. Mamy zatem zarówno opcję on-premise, jak i rozwiązanie umieszczone w chmurze publicznej Azure czy Oracle Cloud. Co ważne, Commvault Air Gap Protect już wkrótce będzie dostępny także dla środowisk chmurowych AWS i Google.

Jeśli chodzi o Commvault Cleanroom, to obecnie jest to rozwiązanie dostępne tylko w środowisku chmurowym Microsoft Azure. Oferta ta będzie jednak rozszerzana na kolejnych dostawców usług chmury publicznej i środowiska lokalnego data center.

Warto przy tym podkreślić, że istota budowania środowisk Cleanroom w chmurze polega na tym, że całe środowisko jest tworzone na żądanie – wcześniej nie istnieje. Chmura daje nam możliwość wygenerowania całego środowiska od podstaw, tak aby wyeliminować ryzyko infekcji jakiejkolwiek warstwy. Z kolei w środowisku on-premise należy liczyć się z potencjalnym ryzykiem zakażenia na poziomie np. BIOS.

Jakie znaczenie ma ogłoszony w kwietniu 2024 roku zakup firmy Appranix?

Kupiliśmy tę firmę przede wszystkim po to, aby uzupełnić możliwość szybkiego odtwarzania całej konfiguracji usług chmurowych, zasobów, usług i zależności na potrzeby rozwiązań Cleanroom, łącznie z warstwą sieci, bezpieczeństwa i wszystkim, co składa się na infrastrukturę klienta.

Appranix łączy elementy rozwiązań typu backup i recovery, ale przede wszystkim jest to rozwiązanie wspierające zarządzanie konfiguracją środowisk chmurowych. Pozwala w szybki sposób sczytać konfigurację wszelkich usług, z których klienci korzystają w różnych chmurach, i na tej podstawie odtworzyć analogiczne środowisko w innej chmurze.

Pozwala również nie tylko testować dane i możliwość ich odtworzenia, lecz także przywrócić całe środowisko w chmurze w szybki i skuteczny sposób, niewymagający stałego utrzymywania dodatkowej subskrypcji. Appranix jest zatem elementem, który przede wszystkim wzbogaca nasze środowisko Cleanroom, ale może być wykorzystywany, aby szybko zbudować analogiczną konfigurację chmury w innym miejscu.

Czy to oznacza, że rozwiązanie Appranix  pozwala także na szybkie uruchomienie centrum zapasowego w chmurze wtedy, kiedy będzie ono faktycznie potrzebne?

Jest to na pewno uproszczenie, ale rozwiązanie Appranix bardzo dobrze uzupełnia naszą strategię w zakresie budowania zapasowych środowisk IT.

Model publicznej chmury obliczeniowej od dobrych kilku lat jest dość powszechnie wykorzystywany na potrzeby budowy centrów Disaster Recovery. W typowym podejściu jest to jednak rozwiązanie o tyle kosztowne, że wymaga ponoszenia kosztów zasobów chmurowych, które są zarezerwowane jako centrum zapasowe, ale faktycznie nie są używane.

Dzięki zastosowaniu rozwiązania Appranix jesteśmy w stanie szybko uruchomić takie centrum zapasowe od zera, nie ponosząc żadnych kosztów związanych z utrzymywaniem takiej infrastruktury chmurowej wówczas, kiedy nie jest potrzebna, odwzorowując zarazem aktualną architekturę takiego środowiska.

• 83% organizacji doświadczyło istotnego naruszenia bezpieczeństwa.
• 42% liderów obszaru IT i cyberbezpieczeństwa nie ma pewności co do tego, kto jest odpowiedzialny za cyberodporność i odzyskiwanie danych w ich organizacjach.
• 55% menedżerów IT i cyberbezpieczeństwa nie ma pełnego przekonania, że są w stanie odzyskać systemy i dane po poważnym incydencie.

Czy rozwiązania Appranix w zakresie zarządzania konfiguracją i zależnościami są dostępne dla środowisk lokalnych?

Obecnie Appranix wspiera wyłącznie środowiska chmurowe. Nie wykluczam jednak, że w przyszłości rozszerzymy możliwości tej technologii również na potrzeby odczytywania i odwzorowywania konfiguracji środowisk on-premise.

Kluczowe znaczenie ma tu możliwość szybkiego przeniesienia konfiguracji środowiska utrzymywanego w jednymśrodowisku chmurowym w inne miejsce. W połączeniu z naszymi rozwiązaniami, pozwalającymi zabezpieczyć i odtworzyć dane, także w innym środowisku, zyskujemy zestaw narzędzi umożliwiający szybkie przeniesienie całej konfiguracji do innej platformy chmurowej, a nawet szybkie zmigrowanie podstawowej infrastruktury do innego środowiska.

Zapraszamy do kontaktu wszystkie organizacje poszukujące tego typu możliwości. Mamy już pierwszych klientów zainteresowanych tym rozwiązaniem, również w Polsce.

Kiedy warto pomyśleć o dywersyfikacji usług chmurowych i wykorzystaniu dwóch lub większej liczby platform publicznej chmury obliczeniowej?

Przypadek jednej z dużych australijskich instytucji finansowych, której dane zostały omyłkowo skasowane przez pracowników dostawcy usług chmurowych pokazuje, że warto korzystać z zewnętrznego backupu. Firma ta była w stanie odzyskać środowisko chmurowe tylko dzięki temu, że ta miała zewnętrzny backup. Nieprzypadkowo były to rozwiązania Commvault.

Oczywiście taki backup najprościej jest uruchomić w ramach tej samej platformy chmurowej, co podstawowe środowisko. Jeśli jednak chcemy mieć całkowitą pewność, że będziemy w stanie odzyskać dane i szybko przywrócić całe środowisko, to warto zapewnić redundancję także na poziomie usług chmurowych. Za każdą chmurą obliczeniową stoi przecież centrum danych, którym ktoś zarządza. Zawsze należy mieć dodatkową kopię, najlepiej u innego dostawcy.

Jaką rolę w ramach oferty Commvault odgrywa dziś platforma Metallic?

Metallic jest fundamentem oferty Commvault Cloud. Jest to również jedna z naszych głównych linii rozwojowych. Jednocześnie, jesteśmy przekonani, że istnieje coraz więcej zastosowań, w których model chmury obliczeniowej pokazuje przewagę. W szczególności dotyczy to ochrony środowisk wykorzystujących usługi chmurowe, w tym natywne chmurowo rozwiązania biznesowe, jak Salesforce czy Microsoft 365.

1. Posiadanie narzędzi bezpieczeństwa zapewniających wczesne ostrzeganie o ryzyku.
2. W pełni bezpieczny, wolny od wszelkich zagrożeń, system zapasowy.
3. Odizolowane środowisko do przechowywania niezmiennej kopii krytycznych danych.
4. Proste, uporządkowane plany reagowania na incydenty.
5. Środki analizy gotowości i weryfikacji możliwości odtworzenia środowiska po ataku.

W efekcie, dużą wagę przywiązujemy do rozwoju naszej oferty usług chmurowych. Nowe rozwiązania Commvault najczęściej w pierwszej kolejności są wprowadzane na rynek rynek właśnie w formie usługi opartej na publicznej chmurze obliczeniowej. Nie jesteśmy tu jednak purystami i nie narzucamy klientom żadnego podejścia.

Faktem jest, że oferta Metallic bardzo dobrze nam się sprawdza, a liczba klientów  wykorzystujących rozwiązania Commvault w modelu usługowym stopniowo zaczyna przewyższać liczbę klientów korzystających z naszych technologii w sposób tradycyjny.

Jakie czynniki będą mieć szczególne znaczenie dla inwestycji w obszar cyberbezpieczeństwa i – szerzej – cyberodporności?

Skala działalności cyberprzestępców będzie się nasilać. Dla przestępców może być to źródło wielkich pieniędzy, obarczone stosunkowo niskim ryzykiem. Łatwiej jest zdobyć pieniądze z ataku ransomware niż np. złożonego cyberataku wymierzonego w bank.

Trzeba też pamiętać, że większość grup ransomware operujących w Europie działa zza naszej wschodniej granicy, przy braku przeciwdziałania lub wręcz przy wsparciu służb rosyjskich i białoruskich.

Wydaje mi się, że w całej Europie świadomość związanych z tym ryzyk, a co za tym idzie także potrzeb, stale wzrasta. Działy bezpieczeństwa zyskują na znaczeniu w strukturach organizacyjnych wielu przedsiębiorstw i instytucji. Coraz istotniejsze stają się również zespoły, których zadaniem jest zapewnienie możliwości sprawnego przywrócenia danych i środowisk aplikacyjnych.

Także regulacje, takie jak NIS2 i DORA, wymuszają podjęcie działań w kwestii rozwiązań skoncentrowanych wokół  ciągłości działania, cyberodporności i ochrony danych.