O guia definitivo para proteção de dados

Proteção de dados é o processo de proteger dados contra perda, corrupção ou interrupção de serviços por meio do uso de backups e arquitetura resiliente de dados. Desde backups até recuperação e reutilização de dados, ela abrange todas as tecnologias e técnicas que uma organização pode usar para manter os dados seguros e altamente disponíveis para seus produtos, serviços e operações.

Neste guia, veremos as várias tecnologias e técnicas à disposição do administrador do sistema para manter os dados seguros.

Embora o termo proteção de dados seja frequentemente usado de forma intercambiável com segurança e privacidade de dados, há diferenças sutis entre os três termos:

• A proteção de dados é frequentemente usada como um termo abrangente que inclui segurança e privacidade de dados. No setor, no entanto, muitas vezes se refere mais especificamente à prevenção da perda ou corrupção de dados por meio de resiliência, redundância e recuperação.
• A segurança de dados é mais específica, relacionada à prevenção de acesso não autorizado, manipulação ou corrupção de dados por partes internas e externas por meio de firewalls, criptografia e outras tecnologias.
• A privacidade de dados se concentra no controle do acesso aos dados para evitar a exposição de dados e informações confidenciais. Isso inclui treinamento de segurança, estratégias de autenticação e conformidade com os regulamentos de segurança da informação, como o GDPR.

Você vai querer investir em todos os três se quiser garantir que os dados da sua organização estejam totalmente protegidos. Para este guia, vamos nos concentrar principalmente na proteção de dados, embora exista naturalmente alguma sobreposição entre os três domínios.

A filosofia por trás da proteção de dados na sala de servidores ou no datacenter tem sido uma redundância. Você não pode pagar para ter seus dados perdidos, corrompidos ou comprometidos. Portanto, sempre faça backup.

É claro que, na prática, fazer backup dos dados é o mínimo. A proteção de dados é realmente um exercício de gerenciar seus objetivos de ponto de recuperação (RPO, Recovery Point Objectives) e objetivos de tempo de recuperação (RTO, Recovery Time Objectives) para os serviços essenciais em sua pilha tecnológica operacional. Em outras palavras, é a rapidez com que você pode fazer backup e restaurar seus dados para evitar a interrupção das operações comerciais essenciais.

O que exatamente são RTO e RPO?

• RTO: o tempo máximo pelo qual a sua empresa pode ficar sem acesso aos dados que movimentam seus aplicativos e operações. Ele determina o quão rapidamente você precisa que o sistema seja recuperado. 

• RPO: refere-se ao volume máximo de dados que você pode se permitir perder. Use-o para determinar a frequência dos backups.

RTO e RPO são os indicadores-chave de desempenho (KPIs, Key Performance Indicators) dos quais você desejará estar ciente ao criar sua estratégia de recuperação de desastres.

Saiba por que com Ransomware, a restauração é o novo backup

Também conhecido como backup e recuperação de desastres, backup e restauração se refere à prática de fazer backup de seus dados para que você possa restaurar serviços e operações de negócios em caso de desastre. Os desastres podem incluir tudo, desde desastres naturais e apagões até erros humanos e ataques cibernéticos. 

Planejamento de backup de dados

Dependendo das tecnologias e recursos disponíveis para sua organização, talvez seja necessário empregar uma ou mais dessas técnicas de backup como parte de uma estratégia de recuperação de desastres de datacenter maior:

• Backup de imagem completa: você faz backup da imagem completa de seus dados a fim de criar um ponto de restauração para o qual é possível reverter instantaneamente. Como você está fazendo um backup completo, essa técnica tem o armazenamento mais demorado.
• Backup diferencial: Faz backup de todas as alterações desde o último backup de imagem completa. A restauração requer apenas dois arquivos: o último backup de imagem completa, seguido pelo backup diferencial mais recente. 
• Backup incremental: Você faz backup incremental das alterações desde o último ponto de restauração de imagem completa. Depois de um número definido de backups incrementais, o ciclo é concluído com um backup completo da imagem. A restauração começa com o último backup de imagem completa, seguido por backups incrementais para o RPO. 
• Backup em tempo real: também chamado de backup contínuo, esse método envolve copiar instantaneamente cada alteração feita em seus dados em um dispositivo de armazenamento separado. Ele fornece o backup mais granular e abrangente.
• Recuperação instantânea: uma máquina virtual (VM, Virtual Machine) de backup atualizada continuamente é mantida para uma VM de produção. Quando a VM de produção falha, o backup assume instantaneamente, o que resulta em RTO e RPO zerados.

Saiba mais sobre backups em camadas e bunkers de dados para soluções de backup de longo prazo e altamente disponíveis

Recuperação de desastres de datacenter

Implementar um plano sólido de backup é apenas uma parte da equação de proteção de dados. A segunda parte envolve atingir seus RTOs. Em outras palavras, como você coloca seus sistemas de negócios de volta em funcionamento após um desastre? Um plano típico de recuperação de desastres incluirá:

• Equipe de recuperação de desastres: Designe um grupo de indivíduos diretamente responsáveis (DRIs) para implementar o plano de recuperação de desastres.
• Análise de risco: Vale a pena estar preparado e ciente do que poderia dar errado em sua organização. Identifique riscos e planos de ação em caso de tempo de inatividade não planejado ou desastre.
• Conformidade: Só porque você é vítima de um ataque não significa que você tenha uma pausa nas regulamentações de conformidade de dados. Um diretor de conformidade pode garantir que sua organização siga as políticas de retenção e exclusão e não faça backup de dados confidenciais anteriormente programados para exclusão por motivos de conformidade.
• Análise de impacto nos negócios: Na sequência de um desastre, você precisa de alguém para avaliar o possível impacto nos serviços de negócios. Talvez seja possível ter os serviços mais críticos de volta à operação mais cedo. Identificar e documentar quais sistemas, aplicativos, dados e ativos são mais essenciais para a continuidade de negócios pode ajudar sua equipe de recuperação de desastres a tomar as medidas mais eficientes necessárias para se recuperar.
• Backup de dados: Dependendo de quais estratégias e tecnologias de backup você está usando, é possível retomar as operações de negócios revertendo para o backup mais recente. Os RTOs e RPOs variam de acordo com o backup e os serviços afetados. 

Tudo se resume à proteção contínua de dados

Em um mundo cada vez mais digital, os clientes esperam que as empresas possam fornecer seus serviços 24 horas por dia, 7 dias por semana, sem tempo de inatividade ou interrupção. A proteção contínua de dados (CDP, Continuous Data Protection), também conhecida como backup contínuo, é a prática de fazer backup do fluxo contínuo de dados necessário para dar suporte às operações de negócios modernas. Ele permite que as organizações restaurem um sistema a qualquer momento anterior. O objetivo do CDP é, em última análise, minimizar RTOs e RPOs em caso de desastre. Ao aproveitar backups contínuos em tempo real e implementar uma estratégia sólida de recuperação de desastres, é possível manter a continuidade dos negócios por meio do CDP.

Até agora, abordamos as coisas que você geralmente pode fazer para proteger seus dados e manter a continuidade dos negócios em caso de desastre. Mas há um tipo de desastre que está em ascensão e vale a pena resolver sozinho: ransomware.

Os criminosos cibernéticos sempre foram uma ameaça, mas embora os hacktivistas do passado tenham sido motivados por crenças políticas, culturais e religiosas, os criminosos cibernéticos de hoje são amplamente motivados por ganhos financeiros. Ransomware, no qual um hacker bloqueia você dos seus dados por criptografia até que você pague um resgate, agora é um setor multimilionário. E em um mundo onde o tempo de inatividade se traduz diretamente em perda de receita, nunca foi tão tentador pagar apenas esse resgate.

Nas seções a seguir, abordaremos o que você pode fazer para mitigar um ataque ransomware.

Prevenção de ataques ransomware

A melhor maneira de combater o ransomware é evitar que ele ocorra em primeiro lugar. Trata-se de obter visibilidade de todo o sistema, praticar uma boa higiene de dados e ter um plano em vigor para lidar com uma ameaça depois de identificá-la.

• Registro e monitoramento: As ferramentas de registro e monitoramento do sistema podem oferecer uma visão geral de seus sistemas e ajudar a entender como é sua infraestrutura de TI quando tudo está funcionando sem problemas. A análise rápida em tempo real pode ajudar a detectar anomalias (por exemplo, um pico no tráfego de um endereço IP suspeito) e outras atividades que podem te levar a um possível ataque.
• Higiene de dados: Quando os hackers plantam malware, eles buscam vulnerabilidades de segurança, como sistemas operacionais não corrigidos, ferramentas de terceiros mal seguras e gerenciamento de dados desorganizado. Higiene de dados significa implementar boas práticas de gerenciamento de patches, configuração do sistema e sanitização de dados. Essas coisas não apenas tornam sua organização mais tranquila, mas também reduzem muito a superfície de ataque de um possível hacker.
• Segurança operacional: Os seres humanos são uma vulnerabilidade frequentemente negligenciada quando se trata de cibersegurança. A implementação de autenticação multifator, controles administrativos e camadas de dados pode garantir que os dados estejam disponíveis apenas para as pessoas autorizadas que precisam deles. O treinamento de conscientização sobre segurança que aborda as técnicas de hackers e ataques de phishing pode ajudar a preparar sua organização para detectar tentativas reais na natureza.

O que fazer durante um ataque ransomware 

Os ataques cibernéticos não são tão óbvios na vida real quanto para os protagonistas do cinema. O ataque em si pode durar apenas de 30 a 40 minutos, pois eles acessam seus arquivos e se movem lateralmente por suas redes, criptografando arquivos e excluindo backups. Por outro lado, um invasor pode se esconder em sua rede muito depois de obter acesso, monitorando suas respostas a anomalias enquanto planeja um ataque real. De qualquer forma, quando você recebe uma nota de resgate para seus dados, o ataque já foi concluído.

A única maneira de detectar um ataque ransomware enquanto ele ainda está acontecendo é observar tentativas de phishing frustradas conforme elas acontecem (treinando seus funcionários) ou detectar atividades suspeitas em sua rede por meio de SEIMs e logs. Desde que você tenha tomado essas medidas proativas e tenha as ferramentas necessárias, vale a pena ter um plano de resposta a incidentes cibernéticos (CIR, Cyber Incident Response) para lidar com a atividade anômala quando você a descobrir. Documente tudo e notifique o pessoal de TI relevante para isolar os sistemas afetados e reduzir os danos. Você precisará desses registros para atender aos requisitos de conformidade e ajudar a polícia com investigações caso essa atividade se prove ser um ataque ransomware real. Vamos abordar os detalhes da criação de um plano de CIR mais adiante neste artigo.

Recuperação de desastres pós-ataque de ransomware

Assim, seus arquivos foram criptografados e você acabou de receber uma nota de ransomware. Quais são suas opções?

Uma opção é pagar apenas o resgate, mas isso pode arriscar expor sua organização a mais extorsão no futuro.

Uma opção melhor, desde que você tenha seguido as etapas proativas de mitigação de ataques ransomware descritas nas seções anteriores, é limpar, restaurar e responder:

• Elimine os sistemas das vulnerabilidades que permitiram aos invasores acessar seus dados. Hardware e software comprometidos devem ser isolados e desconectados da rede imediatamente. Uma auditoria de sistema e rede deve ser realizada para garantir que não haja backdoors ou outros malwares. É importante higienizar seus sistemas antes de restaurar dados de seus backups e entrar em operação.
• Restaure dados aproveitando seu plano de backup e recuperação. Esperamos que você tenha alguns snapshots e uma infraestrutura de recuperação de desastres em vigor para permitir que você retire as coisas logo antes que o incidente cibernético ocorra. Sua equipe de defesa deve realizar uma análise forense de seus dados de backup em um ambiente virtual higienizado para garantir que os invasores não deixem nada para trás. Você está procurando um ponto de recuperação não adulterado para o qual possa reverter seus sistemas. 
• Responda ao ataque adequadamente tomando medidas para revisar registros, sistemas de auditoria e documentar a natureza do ataque. Para cumprir os regulamentos, você pode precisar notificar os clientes sobre uma violação de dados e desejar que seus logs demonstrem que sua organização fez tudo o que podia para responder ao ataque. As informações obtidas com o ataque podem ser aproveitadas para ajudar as autoridades a rastrear os agressores, além de ajudar a proteger seus próprios sistemas contra ataques futuros.

Saiba mais: Guia do hacker para mitigação e recuperação de Ransomware

Um plano de resposta a incidentes cibernéticos é um documento formal que descreve os detalhes que o pessoal deve seguir no caso de um ataque cibernético. É também um requisito do PCI DSS (Payment Card Industry Data Security Standard, Padrão de segurança de dados do setor de cartões de pagamento). Os planos de resposta a incidentes cibernéticos geralmente são compostos por seis fases distintas: 

1. Preparação

Esta fase descreve as etapas, funções e procedimentos que devem ser seguidos no caso de um incidente cibernético. Prepare uma equipe de indivíduos com funções e responsabilidades claramente definidas para responder a um incidente cibernético. Ele também abrange o teste dessas funções e procedimentos por meio de treinamento de funcionários com cenários de simulação, como violações de dados simuladas. 

2. Identificação

Essa fase envolve detecção e análise forense de eventos cibernéticos anômalos para determinar se ocorreu uma violação e a gravidade do incidente. 

• Quais dados foram expostos? 
• Como foi descoberto? 
• Quem descobriu o incidente?
• Quem isso afeta?

O escopo e a gravidade do incidente precisam ser documentados e analisados antes que possa ser abordado com eficácia. Os logs de sistema e rede podem ser a chave para responder imediatamente a uma violação e determinar os detalhes críticos de um incidente de segurança após sua ocorrência.

Saiba mais: Você foi atingido por Ransomware E agora?

3. Contenção

No caso de um incidente cibernético, a fase de contenção especifica as ações tomadas para evitar mais danos e mitigar riscos. A contenção normalmente envolve etapas para desconectar e desativar dispositivos afetados da Internet.

4. Erradicação

Depois que uma ameaça é contida, ela pode ser analisada por um profissional de segurança para determinar a causa raiz do incidente e eliminar quaisquer ameaças. Remoção de malware, patches de segurança e outras medidas devem ser descritas na fase de erradicação. 

5. Recuperação

A fase de recuperação envolve etapas e procedimentos para restaurar os sistemas e dispositivos afetados de volta à produção. Backups redundantes, snapshots e um plano de recuperação de desastres podem ser implementados para restaurar serviços essenciais em caso de violação. Você também deve ter um ambiente de recuperação em etapas que possa dar a você uma maneira “preconstruída” de voltar a ficar online logo após um evento. 

6. Lições aprendidas

A segurança cibernética é um processo contínuo. É importante coletar informações coletadas e lições aprendidas com um incidente cibernético e aplicá-las para melhorar os protocolos de segurança e o próprio plano de resposta a incidentes.
 

Obtenha um plano detalhado de 6-Point para o “durante” uma violação de dados

Neste guia, analisamos as várias ferramentas, estratégias e tecnologias disponíveis para proteger seus dados e manter a continuidade dos negócios em caso de desastre. No final das contas, seus dados são tão seguros quanto a infraestrutura que você usa para gerenciá-los. 

É por isso que os produtos Pure Storage ® foram desenvolvidos de baixo para cima com a proteção avançada de dados em mente. Exemplos de soluções modernas de proteção de dados desenvolvidas pela Pure incluem:

• Restauração rápida do FlashBlade ®: Oferece 270TB/h de desempenho de recuperação de dados para ambientes de produção e teste/desenvolvimento. 
• ActiveDR (AtivoDR -: Integrado ao Purity , o ActiveDR oferece RPO de ponto de recuperação quase zero por meio de replicação assíncrona robusta que cobre novas gravações e seus snapshots associados e cronogramas de proteção. 
• Purity ActiveCluster: A replicação síncrona para RPO de recuperação encontra failover transparente para zero objetivo de ponto de recuperação neste verdadeiro cluster bidirecional active-active de extensão metropolitana. cluster estendido regional 
• SafeMode: snapshots: Os snapshots do SafeMode são uma solução de proteção contra ataques ransomware integrada ao FlashArray e ao FlashBlade. Os snapshots são imutáveis, permitindo que sua equipe recupere dados no caso de um ataque ransomware.

Ameaças avançadas de dados exigem soluções avançadas de proteção de dados. Armazenar seus dados com a Pure Storage é a melhor maneira de garantir desempenho, confiabilidade e segurança para sua empresa.