Jeszcze kilka lat temu dostawcy pamięci masowych chwalili się wydajnością bądź skalowalnością swoich produktów. Jednak w ostatnim czasie narracja nieco się zmieniła i coraz więcej mówią o zabezpieczeniach stosowanych w urządzeniach.

Gartner prognozuje, że do 2028 roku wszystkie systemy pamięci masowych przeznaczone dla klientów biznesowych będą oferować elementy aktywnej ochrony. Jednym z motorów napędowych tych przemian są gangi ransomware. Decydenci IT zapytani przez Enterprise Strategy Group jakie rozwiązania wykorzystują do zwalczania ataków ransomware, wymienili na pierwszym miejscu proaktywne narzędzia cybernetyczne (67 proc.), na drugim air-gap (53 proc.), zaś na trzecim ubezpieczenia od cyberataków (42 proc.).

Dostawcy pamięci masowych starają się wychodzić naprzeciw tym potrzebom, zaś użytkownicy zdają sobie sprawę, iż żaden pojedynczy system ochrony nie gwarantuje stuprocentowej skuteczności. Narzędzia do identyfikacji złośliwego oprogramowania, a także odzyskiwania danych, zwiększają bezpieczeństwo firmy, aczkolwiek zawsze istnieje ryzyko, że napastnicy wtargną do sieci. Trzeba być przygotowanym na taką ewentualność i posiadać w zanadrzu plan B, pozwalający szybko podnieść się po ciosie i w maksymalnie krótkim czasie odzyskać sprawność.  W związku z tym działy IT powinny skoncentrować się na trzech podstawowych zadaniach: identyfikacji ataków na wczesnym etapie, ograniczaniu do minimum ewentualnych szkód oraz odzyskiwaniu danych przy użyciu znanej, dobrej kopii. Jednak to wymaga koordynacji wszystkich komponentów przetwarzania danych – sprzętu, oprogramowania, ludzi i zachodzących procesów.

Macierze IBM wpisują się w najnowsze trendy ochrony danych, czego najlepszym przykładem są produkty z rodziny FlashSystem oferujące użytkownikom kilka rodzajów zabezpieczeń. Bardzo często jednym z pierwszych działań podejmowanych przez gangi ransomware jest niszczenie kopii zapasowych. Ofiara pozbawiona backupu jest bardziej skłonna do opłacenia okupu. Dlatego też IBM oferuje rozwiązanie o nazwie Safeguarded Copy, czyli bezpieczne kopie zapasowe, przechowywane w izolowanym środowisku. Są one ukryte, niezmienne, nie można ich usunąć, posiadają mechanizmy zabezpieczające przed atakami zewnętrznymi, takimi jak usunięcie kopii zapasowych przez nieuczciwego pracownika.

Z kolei inne rozwiązanie IBM CyberVault automatycznie skanuje kopie tworzone regularnie przez Safeguarded Copy. To służy dwóm celom. Po pierwsze, pomaga w wykryciu malware’u. Po drugie, identyfikuje kopie danych niedotknięte atakiem. Poprawna i szybka weryfikacja niezmiennych kopii pozwala administratorom łatwo zidentyfikować właściwą kopię, przetestować ją, a następnie przywrócić z niej dane.

FlashCore Modules 4 chronią przed atakami ransomware

W najnowszej wersji macierzy FlashSystem zadebiutowały układy FlashCore Modules 4 (FCM4), które wnoszą nową wartość do procesów związanych z  wykrywaniem złośliwego oprogramowania.  W pamięciach masowych zazwyczaj identyfikacja ransomware’u jest domeną rozwiązań  do tworzenia kopii zapasowych. IBM poszedł o krok dalej i użył do tego celu FCM4, modułu integrującego zaawansowane technologie przechowywania danych z mechanizmami identyfikacji cyberzagrożeń.  FlashCore Module 4 jest w stanie monitorować i analizować aktywność na poziomie każdej operacji wejścia/wyjścia (I/O), wykrywając potencjalnie niebezpieczne anomalie, mogące świadczyć o obecności oprogramowania ransomware. Należy dodać, iż FCM4 jest w pełni obsługiwany przez IBM Storage Virtualize (system zarządzający i optymalizujący pracę pamięci flash).

Cały proces związany z identyfikacją złośliwego oprogramowana składa się z trzech części:

1. Moduł IBM Flash Core. gromadzi i analizuje szczegółowe statystyki dotyczące ransomware’u na poziomie każdej operacji wejścia/wyjścia bez wpływu na wydajność.

2. IBM Storage Virtualize uruchamia silnik sztucznej inteligencji na każdej macierzy korzystającej z modeli uczenia maszynowego opracowanych przez zespół badawczy IBM

3. IBM Storage Insights zbiera informacje o zagrożeniach z podłączonych macierzy, ostrzega użytkowników i inicjuje reakcję oprogramowania SIEM/SOAR. Poza tym wykorzystuje statystki w celu dalszego doskonalenia modeli uczenia maszynowego.

Jak widać rywalizacja dostawców pamięci masowych powoli przenosi się na nowe pole, jakim jest cyberochrona. Bezpieczeństwo w macierzach dyskowych staje się pojęciem wykraczającym poza backup i odzyskiwanie danych po awarii.  Produkty z rodziny IBM FlashSystem już od jakiegoś czasu mierzą parametry takie jak entropia czy losowość danych i przekazują informacje do oprogramowania IBM Storage Insights. To pozwala ostrzegać operatorów o rozmaitych anomaliach, mogących świadczyć o obecności złośliwego oprogramowania szyfrującego dane. Z kolei wykrywanie ransomware’u już na poziomie modułu FCM to kolejny etap cyberochrony w macierzach dyskowych, wyznaczający nowe trendy rynkowe w zabezpieczaniu danych.