De definitieve gids voor dataprotectie

Dataprotectie is het proces van het beschermen van data tegen verlies, corruptie of de verstoring van diensten door het gebruik van back-ups en databestendige architectuur. Van back-ups tot herstel en hergebruik van data, het omvat alle technologieën en technieken die een organisatie kan gebruiken om data veilig en in hoge mate beschikbaar te houden voor haar producten, diensten en activiteiten.

In deze gids gaan we in op de verschillende technologieën en technieken waarover een systeembeheerder beschikt om de data veilig te houden.

Hoewel de term dataprotectie vaak door elkaar wordt gebruikt met databeveiliging en dataprivacy, zijn er subtiele verschillen tussen de drie termen:

• Dataprotectie wordt vaak gebruikt als een overkoepelende term die databeveiliging en dataprivacy omvat. In de industrie verwijst het echter vaak meer specifiek naar het voorkomen van dataverlies of corruptie door veerkracht, redundantie en herstel.
• Databeveiliging is specifieker, met betrekking tot het voorkomen van onbevoegde toegang, manipulatie of corruptie van data door interne en externe partijen door middel van firewalls, encryptie en andere technologieën.
• Dataprivacy richt zich op het controleren van de toegang tot data om de blootstelling van gevoelige data en informatie te voorkomen. Het omvat beveiligingstraining, authenticatiestrategieën en naleving van informatiebeveiligingsvoorschriften zoals de AVG.

U zult in alle drie willen investeren als u ervoor wilt zorgen dat de data van uw organisatie volledig beschermd zijn. Voor deze gids richten we ons voornamelijk op dataprotectie, hoewel er van nature enige overlap bestaat tussen de drie domeinen.

De filosofie achter databescherming in de serverruimte of het datacenter is er al lang een van redundantie. U kunt het zich niet veroorloven om uw data te verliezen, te beschadigen of te compromitteren, dus maak altijd een back-up.

Natuurlijk is het in de praktijk een minimum om een back-up te maken van uw data. Databescherming is echt een oefening in het managen van uw herstelpuntdoelstellingen (RPO's) en hersteltijddoelstellingen (RTO's) voor de meest kritische diensten in uw operationele technologiestack. Met andere woorden, het is hoe snel u een back-up kunt maken en uw data kunt herstellen om de verstoring van kritieke bedrijfsactiviteiten te voorkomen.

Dus wat zijn RTO en RPO precies?

• RTO: De maximale tijd die uw bedrijf zich kan veroorloven om toegang te verliezen tot de data die uw apps en activiteiten voeden. Het bepaalt hoe snel u uw systeem moet herstellen. 

• RPO: Verwijst naar de maximale hoeveelheid data die u zich kunt veroorloven om te verliezen. Gebruik dit om de frequentie van uw back-ups te bepalen.

RTO en RPO zijn de belangrijkste prestatie-indicatoren (KPI's) waarvan u op de hoogte wilt zijn bij het opbouwen van uw disaster recovery-strategie.

Ontdek waarom met Ransomware herstel de nieuwe back-up is

Ook bekend als back-up en disaster recovery, verwijst back-up en restore naar de praktijk van het maken van back-ups van uw data, zodat u in geval van een ramp bedrijfsdiensten en -activiteiten kunt herstellen. Disasters kunnen alles omvatten, van natuurrampen en black-outs tot menselijke fouten en cyberaanvallen. 

Planning van databack-ups

Afhankelijk van de technologieën en resources die voor uw organisatie beschikbaar zijn, moet u mogelijk een of meer van deze back-uptechnieken gebruiken als onderdeel van een grotere disaster recovery-strategie voor datacenters:

• Volledige beeldback-up: U maakt een back-up van uw full-image data om een herstelpunt te creëren waar u direct naar terug kunt keren. Omdat u een volledige back-up uitvoert, duurt deze techniek het langst om op te slaan.
• Differentiële back-up: Maakt een back-up van alle wijzigingen sinds de laatste back-up van het volledige beeld. Voor herstel zijn slechts twee bestanden nodig: de laatste volledige back-up van het beeld, gevolgd door de meest recente differentiële back-up. 
• Incrementele back-up: U maakt stapsgewijs een back-up van wijzigingen sinds het laatste volledige beeldherstelpunt. Na een bepaald aantal incrementele back-ups wordt de cyclus voltooid met een volledige beeldback-up. Herstel begint met de laatste volledige back-up van het beeld, gevolgd door incrementele back-ups naar de beoogde RPO . 
• Realtime back-up: Deze methode, die ook wel een continue back-up wordt genoemd, houdt in dat elke wijziging van uw data direct wordt gekopieerd naar een separaat opslagapparaat. Het biedt de meest granulaire en uitgebreide back-up.
• Direct herstel: Voor een productie-VM wordt een continu geüpdate virtuele back-upmachine (VM) onderhouden. Wanneer de productie-VM uitvalt, neemt de back-up het onmiddellijk over, met nul RTO en nul RPO als resultaat.

Meer informatie over gelaagde back-ups en databunkers voor langdurige, zeer beschikbare back-upoplossingen

disaster recovery van datacenters

Het implementeren van een solide back-upplan is slechts één onderdeel van de vergelijking van databescherming. Het tweede deel gaat over het bereiken van uw RTO's. Met andere woorden, hoe kunt u uw bedrijfssystemen weer operationeel krijgen in de nasleep van een ramp? Een typisch disaster recovery-plan omvat:

• Disaster recovery-team: Wijs een groep direct verantwoordelijke personen (direct responsible individuals, DRI's) aan voor de implementatie van het disaster recovery plan.
• Risicoanalyse: Het loont om voorbereid en bewust te zijn van wat er binnen uw organisatie mis zou kunnen gaan. Risico's en actieplannen identificeren in geval van ongeplande downtime of een ramp.
• Naleving: Het feit dat u het slachtoffer bent van een aanval betekent niet dat u een pauze krijgt van de regelgeving inzake datanaleving. Een compliance officer kan ervoor zorgen dat uw organisatie het bewaar- en verwijderingsbeleid volgt en geen back-ups maakt van gevoelige data die eerder om nalevingsredenen zijn gepland voor verwijdering.
• Bedrijfsimpactanalyse: In de nasleep van een ramp moet iemand de potentiële impact op de bedrijfsdiensten beoordelen. Het kan mogelijk zijn om de meest kritieke diensten eerder weer aan de slag te krijgen. Het identificeren en documenteren van welke systemen, applicaties, data en activa het meest cruciaal zijn voor de bedrijfscontinuïteit kan uw disaster recovery-team helpen de meest efficiënte stappen te nemen die nodig zijn om te herstellen.
• Databack-up: Afhankelijk van welke back-upstrategieën en -technologieën u gebruikt, kunt u de bedrijfsvoering hervatten door terug te keren naar de meest recente back-up. RTO's en RPO's variëren afhankelijk van de getroffen back-up en diensten. 

Het draait allemaal om continue dataprotectie

In een steeds digitaler wordende wereld verwachten klanten dat bedrijven hun diensten 24/7 kunnen leveren, zonder downtime of verstoring. Continue dataprotectie (CDP), ook bekend als een continue back-up, is de praktijk van het maken van een back-up van de continue datastroom die nodig is om moderne bedrijfsactiviteiten te ondersteunen. Het geeft organisaties de mogelijkheid om een systeem te herstellen naar een eerder tijdstip. Het doel van CDP is uiteindelijk om RTO's en RPO's te minimaliseren in geval van een ramp. Door gebruik te maken van continue realtime back-ups en een solide disaster recovery-strategie te implementeren, is het mogelijk om de bedrijfscontinuïteit te handhaven via CDP.

Tot nu toe hebben we de dingen behandeld die u over het algemeen kunt doen om uw data te beschermen en de bedrijfscontinuïteit te behouden in het geval van een ramp. Maar er is één soort ramp die in opkomst is en de moeite waard is om alleen aan te pakken: ransomware.

Cybercriminelen zijn altijd al een bedreiging geweest, maar hoewel de hacktivisten van vroeger werden gemotiveerd door politieke, culturele en religieuze overtuigingen, worden de huidige cybercriminelen grotendeels gemotiveerd door financiële winsten. Ransomware , waarbij een hacker u via encryptie uit uw data houdt totdat u losgeld betaalt, is nu een sector die miljoenen dollars waard is. En in een wereld waar downtime zich direct vertaalt in verloren inkomsten, is het nog nooit zo verleidelijk geweest om gewoon dat losgeld te betalen.

In de volgende paragrafen behandelen we de dingen die u kunt doen om een ransomware-aanval te beperken.

Voorkomen van een ransomware-aanval

De beste manier om ransomware te bestrijden is om te voorkomen dat het in de eerste plaats optreedt. Het gaat om het verkrijgen van systeembrede zichtbaarheid, het toepassen van goede datahygiëne en het hebben van een plan om een bedreiging aan te pakken zodra u deze hebt geïdentificeerd.

• Loggen en monitoren: Logging- en systeemmonitoringtools kunnen u een overzicht geven van uw systemen en u helpen begrijpen hoe uw IT-infrastructuur eruitziet wanneer alles soepel draait. Snelle realtime analyses kunnen u helpen om anomalieën op te sporen (bijv. een piek in het verkeer van een verdacht IP-adres) en andere activiteiten die u kunnen omleiden tot een potentiële aanval.
• Datahygiëne: Wanneer hackers malware planten, zijn ze op zoek naar beveiligingskwetsbaarheden zoals ongepatchte besturingssystemen, slecht beveiligde tools van derden en rommelig datamanagement. Datahygiëne betekent het implementeren van goede praktijken voor patchbeheer, systeemconfiguratie en dataontsmetting. Deze dingen zorgen er niet alleen voor dat uw organisatie soepeler werkt, maar ze verminderen ook het aanvalsoppervlak van een potentiële hack aanzienlijk.
• Operationele beveiliging: Mensen worden vaak over het hoofd gezien als het gaat om cybersecurity. Het implementeren van multi-factor authenticatie, administratieve controles en data tiering kan ervoor zorgen dat data alleen beschikbaar zijn voor de geautoriseerde personen die het nodig hebben. Beveiligingsbewustzijnstraining over de technieken van hackers en phishing-aanvallen kan uw organisatie helpen zich voor te bereiden op het opsporen van echte pogingen in het wild.

Wat te doen tijdens een ransomware-aanval 

Cyberaanvallen zijn in het echte leven niet zo duidelijk als voor de hoofdrolspelers van films. De aanval zelf kan slechts 30-40 minuten duren omdat ze toegang hebben tot uw bestanden en zijwaarts door uw netwerken gaan, bestanden versleutelen en back-ups verwijderen. Aan de andere kant kan een aanvaller lang na het verkrijgen van toegang op uw netwerk schuilgaan en uw reacties op anomalieën volgen terwijl ze een daadwerkelijke aanval plannen. Hoe dan ook, tegen de tijd dat u een losgeldbriefje voor uw data ontvangt, is de aanval al voltooid.

De enige manier om een ransomware-aanval op te vangen terwijl deze nog steeds plaatsvindt, is door op de hoogte te zijn van gefolieerde phishing-pogingen terwijl ze plaatsvinden (door uw werknemers op te leiden) of verdachte activiteiten op uw netwerk op te vangen via SEIM's en logs. Als u deze proactieve stappen hebt genomen en over de nodige tools beschikt, loont het om een cyberincident response (CIR)-plan te hebben om de afwijkende activiteit aan te pakken wanneer u het ontdekt. Documenteer alles en breng het relevante IT-personeel op de hoogte om getroffen systemen te isoleren en schade te beperken. U hebt die dossiers nodig om te voldoen aan de nalevingsvereisten en om wetshandhaving te helpen bij onderzoeken als die activiteit een echte ransomware-aanval blijkt te zijn. We behandelen de details van het maken van een CIR-plan later in dit artikel.

Post-ransomware aanval disaster recovery

Uw bestanden zijn dus versleuteld en u hebt zojuist een ransomware-bericht ontvangen. Wat zijn uw opties?

Een optie is gewoon het losgeld te betalen, maar dit kan uw organisatie blootstellen aan verdere afpersing.

Een betere optie, mits u de proactieve stappen voor ransomwarebeperking hebt gevolgd die in eerdere paragrafen zijn beschreven, is het opschonen, herstellen en reageren:

• Verwijder uw systemen van de kwetsbaarheden die de aanvallers toegang geven tot uw data. Aangetaste hardware en software moeten onmiddellijk worden geïsoleerd en losgekoppeld van het netwerk. Er moet een systeem- en netwerkaudit worden uitgevoerd om ervoor te zorgen dat er geen achterdeuren of andere malware achterblijft. Het is belangrijk om uw systemen te ontsmetten voordat u data van uw back-ups herstelt en live gaat.
• Herstel data door gebruik te maken van uw back-up- en herstelplan. Hopelijk beschikt u over een aantal snapshots en een infrastructuur voor disaster recovery, zodat u alles kunt oppikken vlak voordat het cyberincident plaatsvond. Uw verdedigingsteam moet een forensische analyse van uw back-updata uitvoeren binnen een ontsmette virtuele omgeving om ervoor te zorgen dat de aanvallers niets achterlieten. U bent op zoek naar een ongestoord herstelpunt waarnaar u uw systemen kunt terugrollen. 
• Reageer op de aanval door maatregelen te nemen om dossiers en auditsystemen te beoordelen en de aard van de aanval te documenteren. Om aan de regelgeving te voldoen, moet u klanten mogelijk op de hoogte stellen van een datalek en wilt u dat uw logboeken aantonen dat uw organisatie er alles aan heeft gedaan om op de aanval te reageren. De informatie die uit de aanval wordt verkregen, kan worden gebruikt om wetshandhavingsinstanties te helpen de daders op te sporen en uw eigen systemen te beveiligen tegen toekomstige aanvallen.

Meer lezen. Hacker's gids voor ransomwarebeperking en Ransomwareherstel

Een cyberincidentresponsplan is een formeel document dat de details beschrijft die het personeel moet volgen in het geval van een cyberaanval. Het is ook een Payment Card Industry Data Security Standard (PCI DSS)-vereiste. Cyber incident responsplannen bestaan over het algemeen uit zes verschillende fasen: 

1. Voorbereiding

In deze fase worden de stappen, rollen en procedures beschreven die moeten worden gevolgd in het geval van een cyberincident. Bereid een team voor van personen met duidelijk gedefinieerde rollen en verantwoordelijkheden voor het reageren op een cyberincident. Het omvat ook het testen van deze rollen en procedures via werknemerstraining met drillscenario's zoals valse datalekken. 

2. Identificatie

Deze fase omvat detectie en forensische analyse van afwijkende cybergebeurtenissen om te bepalen of een inbreuk heeft plaatsgevonden en de ernst van het incident. 

• Welke data werden blootgesteld? 
• Hoe werd het ontdekt? 
• Wie heeft het incident ontdekt?
• Op wie is het van invloed?

De reikwijdte en de ernst van het incident moeten worden gedocumenteerd en geanalyseerd voordat het effectief kan worden aangepakt. Systeem- en netwerklogs kunnen de sleutel zijn tot het onmiddellijk reageren op een inbreuk en het bepalen van de kritieke details van een beveiligingsincident nadat het heeft plaatsgevonden.

Meer lezen. U bent getroffen door Ransomware. Wat nu?

3. Inperking

In het geval van een cyberincident specificeert de inperkingsfase de maatregelen die zijn genomen om verdere schade te voorkomen en risico's te beperken. Inperking omvat doorgaans stappen voor het loskoppelen en deactiveren van getroffen apparaten van het internet.

4. Uitroeiing

Zodra een bedreiging is ingeperkt, kan deze door een beveiligingsprofessional worden geanalyseerd om de hoofdoorzaak van het incident vast te stellen en eventuele bedreigingen te elimineren. Malwareverwijdering, beveiligingspatches en andere maatregelen moeten in de uitroeiingsfase worden beschreven. 

5. Herstel

De herstelfase omvat stappen en procedures om de getroffen systemen en apparaten weer in productie te nemen. Redundante back-ups, snapshots en een disaster recovery-plan kunnen worden geïmplementeerd om bedrijfskritische diensten te herstellen in geval van een inbreuk. U moet ook een gefaseerde herstelomgeving hebben die u een "vooraf gebouwde" manier kan geven om direct na een gebeurtenis weer online te gaan. 

6. Geleerde lessen

Cyberbeveiliging is een continu proces. Het is belangrijk om verzamelde informatie en lessen uit een cyberincident te verzamelen en deze toe te passen op het verbeteren van beveiligingsprotocollen en het incidentresponsplan zelf.
 

Ontvang een gedetailleerd 6-Point voor de "tijdens" een datalek

In deze gids hebben we gekeken naar de verschillende tools, strategieën en technologieën die beschikbaar zijn om uw data te beschermen en de bedrijfscontinuïteit te behouden in geval van een ramp. Uiteindelijk zijn uw data slechts zo veilig als de infrastructuur die u gebruikt om ze te beheren. 

Daarom zijn Pure Storage ®-producten vanaf de basis ontworpen met moderne dataprotectie in het achterhoofd. Voorbeelden van moderne oplossingen voor dataprotectie ontwikkeld door Pure zijn onder andere:

• FLASHBLADE ® Rapid Restore: Levert 270TB/uur data recovery performance aan productie- en test/dev-omgevingen. 
• ActiveDR™: ActiveDR is ingebouwd in Purity en biedt u bijna nul RPO via robuuste asynchrone replicatie die zowel nieuwe schrijfbewerkingen als de bijbehorende snapshots en beveiligingsschema's omvat. RPO  
• Purity ActiveCluster ™: Synchrone replicatie voor RPO zero ontmoet transparante failover voor RTO zero in dit echte bidirectionele active-active Metro stretch cluster .
• SafeMode ™ snapshots: SafeMode-snapshots zijn een oplossing voor ransomwarebescherming die is ingebouwd in FlashArray ™ en FLASHBLADE . De snapshots zijn onveranderlijk, zodat uw team data kan herstellen in het geval van een ransomware-aanval.

Moderne databedreigingen vereisen moderne oplossingen voor dataprotectie. Het opslaan van uw data met Pure Storage is de beste manier om prestaties, betrouwbaarheid en veiligheid voor uw organisatie te garanderen.