Por que você precisa de proteção imutável de dados em sua estratégia de ransomware
Por que uma pilha de tecnologia enxuta e com propósito é o caminho a seguir? A imutabilidade é uma característica fundamental que desempenha um papel crucial na proteção da integridade dos dados, aumentando a resiliência dos dados e protegendo-os contra ameaças, incluindo ransomware. No entanto, certas considerações precisam ser abordadas ao avaliar soluções de backup. […]
Por que uma pilha de tecnologia enxuta e com propósito é o caminho a seguir?
A imutabilidade é uma característica fundamental que desempenha um papel crucial na proteção da integridade dos dados, aumentando a resiliência dos dados e protegendo-os contra ameaças, incluindo ransomware. No entanto, certas considerações precisam ser abordadas ao avaliar soluções de backup. Vamos explorar o conceito de imutabilidade dos dados, sua importância e o que isso significa para a plataforma de proteção de dados SaaS da Keepit.
Definição de Imutabilidade dos Dados: Por que é Importante?
O armazenamento imutável opera com um princípio simples: os dados só podem ser adicionados. Uma vez que os dados são gravados, eles não podem ser alterados, efetivamente bloqueando-os e impedindo qualquer adulteração ou exclusão não autorizada. No contexto da proteção de dados, isso significa que, uma vez que os dados são armazenados de forma imutável, eles permanecem inalterados e são protegidos contra modificações ou exclusões não autorizadas, garantindo a integridade dos dados em todos os momentos.
Como uma Solução de Backup Imutável Melhorará Sua Postura de Segurança
A importância da imutabilidade dos dados na proteção de dados é multifacetada. Aqui está um resumo rápido de alguns dos principais motivos para implantar uma solução que utiliza tecnologia de imutabilidade dos dados:
Integridade dos Dados: Primeiramente, a imutabilidade garante que os dados permaneçam em seu estado original, inalterado, preservando sua integridade. Isso é crítico para praticamente todas as indústrias.
Defesa contra Ransomware: Na batalha contra o ransomware, a imutabilidade dos dados oferece uma defesa robusta. Mesmo que o ransomware infiltre um sistema, ele não pode manipular ou excluir dados imutáveis. Por isso, oferece uma opção segura para recuperação de dados.
Conformidade e Requisitos Legais: Como os órgãos reguladores exigem que as organizações mantenham registros de dados inalterados por um período de tempo especificado, ter uma solução de backup que garanta isso é vital. Dessa forma, a imutabilidade ajuda as organizações a cumprir esses requisitos de conformidade.
Preservação de Dados Históricos: A imutabilidade permite que as organizações mantenham registros de dados históricos que são imutáveis. Isso é valioso para auditorias, investigações e análise de dados passados.
Quais Características Procurar ao Avaliar Opções de Backup que Oferecem Imutabilidade?
Primeiramente, eu diria simplicidade, porque nem sempre é simples.
"Simplicidade como Escudo"
Quem não gosta de um bom acrônimo? Software como serviço (SaaS) encontra "simplicidade como escudo". Nossa solução se distingue no backup e recuperação de dados por ser nativa da nuvem e projetada especificamente para o armazenamento de dados SaaS, com o claro objetivo de segurança de manter os dados à prova de adulteração e sempre imutáveis.
Mas o que significa simplicidade para definir imutabilidade e como isso impacta uma estratégia de proteção de dados? Ou, alternativamente, o que significa complexidade para imutabilidade? Vamos examinar ambos, começando pelo último.
Vulnerabilidades para Provedores de Backup com Adaptações Complexas
Muitos provedores de backup possuem sistemas legados que foram inicialmente projetados para ambientes locais. Para adaptar-se ao armazenamento de dados na nuvem, esses provedores tiveram que implementar soluções acopladas por meio de camadas adicionais em suas antigas pilhas de tecnologia locais, resultando em uma arquitetura muito mais complexa.
Existem duas considerações principais que eu gostaria de discutir, do ponto de vista da segurança, com as adaptações de nuvem para soluções locais: Primeiramente, a complexidade é significativamente aumentada com as camadas adicionais necessárias para adaptar uma implantação local para a nuvem, aumentando assim a superfície de ataque e os potenciais pontos de entrada para invasores; em segundo lugar, essas camadas acopladas muitas vezes têm a imutabilidade como uma configuração, não incorporada à arquitetura.
Embora essas camadas superiores geralmente ofereçam opções para configuração manual para alcançar a imutabilidade, essa configurabilidade e complexidade adicionada criam potenciais pontos de entrada para atacantes. Isso resulta em mais pontos de entrada – mais "portas" que os atores mal-intencionados baterão para ver se alguém esqueceu de trancar.
Para piorar a situação, a complexidade adicionada por essas camadas extras torna os testes abrangentes desafiadores. Mais pontos de entrada potenciais com menos testes abrangentes significa uma superfície de ataque maior a proteger e testar para garantir que estejam seguros. Isso não é bom para a integridade dos dados, defesa contra ransomware ou preservação de dados históricos.
Nas soluções que utilizam essas adaptações em nuvem para "modernizar" sistemas legados, os atacantes podem explorar esses níveis superiores opcionais (eu digo opcionais, já que esses níveis só existem porque estão modificando uma solução local para a nuvem). Esses sistemas legados adaptados podem ser (e devem ser) considerados como tendo mais pontos de acesso potenciais para ameaças.
Complexidade Adaptada: O Calcanhar de Aquiles de Muitas Soluções de Backup?
"Os defensores precisam ser perfeitos o tempo todo, enquanto o atacante só precisa ter sucesso uma vez."
- Axioma popular de segurança
Então, onde isso tudo nos leva? Como resultado desses sistemas legados locais sendo adaptados para dados na nuvem, os cibercriminosos estão encontrando pontos de entrada mais fáceis no ambiente-alvo, ganhando acesso (Pense: engenharia social como phishing) ao ecossistema nesses níveis superiores mais vulneráveis (onde os riscos talvez não pareçam tão severos) antes de perfurar as camadas para acessar níveis inferiores com seus direitos de acesso sequestrados.
Aqui eles podem então ganhar entrada nos níveis mais baixos, mais importantes (e seguros) para corromper, criptografar ou de outra forma destruir os dados de backup — os atacantes normalmente assumem o acesso a um nível superior, mas a principal preocupação aqui é que, se a suposição é de que quanto mais alto o nível, mais fácil é a entrada, então aquelas soluções com maior complexidade também seriam as mais vulneráveis.
Dito de outra forma: Quanto mais profunda a camada de tentativa de entrada, menos chances de acesso e exploração. Portanto, soluções menos complexas – "menos complexas" significando algo bom porque você é mais deliberado no design – têm menos opções para exploração e podem ser testadas de forma muito mais holística. Isso é um ganho duplo.
Há três conceitos que quero manter em mente:
- Tipicamente, níveis superiores podem ser imutáveis, mas às vezes isso precisa ser configurado manualmente.
- Os atacantes usam esses níveis superiores "imutáveis opcionais" como pontos de entrada mais fáceis e depois perfuram para os pontos de acesso imutáveis de nível inferior com direitos de acesso assumidos que adquiriram.
- Ter menos camadas significa uma superfície de ataque menor para exploração. Simples é algo bom porque significa que você é mais deliberado no design (e pode testar de forma mais holística).
O Que uma Pilha de Tecnologia Eficiente Significa para a Defesa Contra Ciberataques
Ao contrário dos sistemas legados com complexidades acopladas e inchadas, a arquitetura projetada com propósito e otimizada da Keepit minimiza os pontos de acesso potenciais para ameaças. A simplicidade do nosso software significa ter menos camadas de complexidade e, portanto, menos pontos de entrada para atores mal-intencionados. Além disso, como é mais simples, podemos testar de forma holística (e testar é fundamental).
Simplificando, a Keepit tem menos camadas, já que nossa pilha de tecnologia foi projetada com propósito para o armazenamento de dados na nuvem. Dessa forma, evitamos muita da complexidade que outros provedores de backup "precisam" ter, mas apenas porque estão operando sistemas legados dos dias de soluções locais com modificações acopladas na nuvem.
O nível de simplicidade, eficiência e simplicidade que alcançamos adiciona diretamente à força da imutabilidade em nossa solução.
Conseguimos isso porque projetamos nossa solução para a nuvem, na nuvem, e para fazer "uma coisa" extremamente bem, que é proteger e armazenar dados SaaS na nuvem de forma segura em uma nuvem independente, para que os clientes sempre tenham acesso a cópias de backup limpas de seus dados.
Simplicidade é Fundamental: Menos Camadas São Muito Mais Seguras
A SpaceX, a empresa que revolucionou o voo espacial comercial, tem uma filosofia que afirma "a melhor parte é nenhuma parte", que ressoa aqui. Ao abraçar a simplicidade e eficiência no design, a Keepit se alinha com um princípio que também está almejando o céu (bem, pelo menos a nuvem) — é uma escolha de design que aumenta a segurança, melhora a eficiência e a agilidade, e se integra perfeitamente a uma infinidade de aplicativos SaaS devido ao seu design API-only.
O software pode ser infinitamente complexo, sem forma de testar tudo (entre outros problemas, como desenvolvimento e manutenção). Do ponto de vista da segurança, se sua solução for muito complexa, simplesmente não há como você testar suficientemente. E assim, a simplicidade é fundamental. Essa é minha filosofia e a filosofia por trás da Keepit.
Imutabilidade por Padrão
No núcleo profundo da plataforma Keepit, simplesmente não há como sobrescrever dados em armazenamento: Isso simplesmente não é possível. Como as fitas de backup do passado, nossos sistemas de armazenamento baseados em disco não oferecem um mecanismo para modificar os dados de backup. Hipoteticamente, mesmo que um invasor — ou um insider malicioso — consiga obter acesso, eles simplesmente não poderiam fazer nada lá. Isso é imutabilidade.
Assim, nossa abordagem interrompe o padrão que os atacantes de ransomware estão explorando em outras soluções de backup. Ao fornecer uma base mais segura, não apenas evitando essas camadas supérfluas, mas sendo projetada especificamente para armazenamento de dados de backup na nuvem, aproveitamos a imutabilidade através da simplicidade.
Além da imutabilidade, utilizamos uma série de outras práticas recomendadas de segurança de proteção de dados.
Adicionando à Imutabilidade: Práticas Recomendadas de Proteção de Dados
Algumas das nossas outras práticas de segurança implementadas para resiliência de dados e imutabilidade de dados são a criptografia imediata dos dados de backup, backup incremental e deduplicação de dados.
A solução Keepit está operando em uma infraestrutura de nuvem independente de fornecedores, à prova de adulteração e isolada. Nossa nuvem oferece verdadeiro backup, onde os dados são armazenados separadamente do conjunto de dados de produção primário, independentemente de os dados estarem no armazenamento da Microsoft Azure, AWS, Gcloud ou outro.
Isso está isolado em linha com a , o que significa que sua capacidade de recuperar cópias de backup limpas está sempre disponível, independentemente do status do seu fornecedor SaaS.
Para resumir o que torna a abordagem da Keepit para a imutabilidade dos dados exclusivamente forte contra ransomware e outras ameaças cibernéticas:
- Nativa da Nuvem: Nossa pilha de tecnologia foi projetada com propósito para o armazenamento de dados na nuvem, então evitamos camadas desnecessárias de complexidade e as vulnerabilidades associadas aos sistemas legados.
- Pilha de Tecnologia Eficiente: Nossa pilha de tecnologia eficiente minimiza os pontos de acesso potenciais e reduz a superfície total de ataque.
- Teste Holístico: A simplicidade da nossa solução (lembre-se, simples é bom) permite testes mais holísticos, garantindo um ambiente robusto e seguro.
- Imutabilidade: O acesso administrativo não pode sobrepor ou desconfigurar a imutabilidade, pois ela é incorporada à solução desde o início, de modo que, mesmo que uma conta de cliente seja completamente comprometida, o armazenamento de dados imutável manterá os dados de backup históricos em condição impecável.