Daha öncelerde belirttiğimiz üzere siber kurtarma, tüm BT karar vericilerinin günümüz tehditlerini ele almak üzere veri korumayı modernize edip dönüştürürken değerlendirmeleri gereken muhtemelen en önemli özelliktir. Ürünlerinde bazı siber kurtarma özelliklerini sunmak veri koruma satıcıları için öncelik haline gelmiştir, ancak tüm siber kurtarma koruma çözümleri eşit bir şekilde oluşturulmamıştır.
Bu konuda net olalım. “Yeterince İyi” olmak, şirketinizin en önemli verilerini bir siber saldırıdan koruma söz konusu olduğunda kabul edilebilir bir yaklaşım değildir. Otomobilinizin güvenliği söz konusu olduğunda “Yeterince İyiyi” kabul eder misiniz? Evinizi veya ailenizi kişisel bir kayba karşı korumak üzere ev sigortası yaptırırken “Yeterince İyiyi” kabul eder misiniz? Cevap hayır ise şirketinizi ayakta tutan ve şirketinizin yoluna devam etmesini sağlayan veri ve uygulamalar söz konusu olduğunda “Yeterince İyi” kabul edilebilir mi?
Bazı satıcılar siber bir saldırıyla karşılaşıldığında belirli özelliklerin veya stratejilerin yeterince iyi olduğunu iddia ediyor, ancak bir saldırı sonrasında önemli verilerinizi kurtarmak mümkün olmadığında bu durumla yüzleşmek zorunda kalanlar kendileri olmayacak. Bu durumla CEO, CFO ve CISO olarak sizler yüzleşeceksiniz. Bu nedenle siber kurtarma çözümlerini değerlendirirken, şirketin hayati öneme sahip varlıklarını korumaya yardımcı olmak üzere aşağıda belirtilen siber kurtarma ile ilgili üç temel noktaya dikkat etmelisiniz.
Üretimde Saklananları Kilitleme (Retention Lock)
Saklananları kilitleme kullanıcı tarafından belirlenen süre zarfında belirli dosyaları üstüne yazma, değiştirme veya silinmeye karşı korur ve siber dayanıklılığını artırmak isteyen şirketler için mükemmel bir başlangıçtır. Dell Technologies dahil olmak üzere çoğu satıcı, güç sağlayan bu özelliği sunuyor ancak biz bu korumayı bir adım öteye taşıyoruz. SEC 17a-4(f) standardı ile uyumluluğu test edilen Dell EMC PowerProtect DD saklananları kilitleme özelliği iki seçenek sunan standart bir özelliktir: Yönetişim ve Uyum modu. Yönetişim modunda veri belirli bir süreliğine korunur, ancak hesap bilgilerine sahip bir yönetici tarafından üzerine yazılabilir veya değiştirilebilir. Bu mod, yasal tutma gibi bazı kullanım durumlarında önemli bir özelliktir. Diğer taraftan Uyum modu daha sıkıdır, saklama süresince (gelişmiş) kimlik bilgilerine sahip bir yönetici bile verileri düzenleyemez veya silemez. PowerProtect DD, standart bir özellik olarak siber kurtarma kasasında verilerin korunması için Uyum Modunu da içerir. Daha iyi koruma karşılığında ekstra bir maliyet getirmez veya performans kaybı yaşanmaz.
Dell Technologies olarak Saklananları Kilitleme özelliğine önem veriyoruz ve bu nedenle iki mod sunuyoruz. Bu, verilerin güçlendirilmesinde yardımcı olan bir ilk adımdır ancak siber kurtarma stratejinize ilişkin son derece önemli bir adımdır.
“Ağ Dışında” Güvenli Bağlantı İzolasyonu
Siber suçluların teknikleri her gün değişiyor ve gün geçtikçe daha gelişmiş hale geliyor. Çoğu durumda, saldırıyı başlatmadan çok daha önce ağa sızıyorlar. Şirket ağına girdikten sonra kurtaramayacağınız noktaya gelince harekete geçiyorlar. Yedeklemeyi devre dışı bırakarak, NTP saatlerini değiştirerek, CIFS ve NFS yedekleme paylarını şifreleyerek ve daha birçok yöntemle bunu yapıyorlar. Bu nedenle görev bakımından kritik verilerinizin ağ dışında güvenli bağlantıya sahip bir kopyasının bulunması gereklidir. Böylelikle bir saldırı durumunda verilerinizin korunmuş bir kopyasının elinizde bulunduğundan emin olursunuz.
Güvenli bağlantı çözümlerini çevrimiçi olarak arattığınızda piyasadaki çoğu satıcının buna benzer bir çözüm sunduğunu iddia ettiğini görürsünüz, ancak şeytan ayrıntıda gizlidir. Verilerini şirket dışına teyp ile yollamak da dahil olmak üzere güvenli bağlantıyla ilgili herkesin farklı bir tanımı vardır. Şirket dışına teyp gönderiminin güvenli bağlantı sunduğu doğrudur ancak birçok olumsuzluğu da beraberinde getirir. Fidye yazılımı saldırısında geçen dakikalar ve şirket dışındaki bir tesisten teypleri getirmek ve bu kasetlerden tüm yedekleme ortamını geri yüklemek için geçen süre maliyetlidir. Diğer bir risk ise yedekleme kataloğunun ve teyp ortam kataloğunun saldırının bir parçası olarak ihlal edilebilecek olmasıdır. Çevrimdışı teypleri kurtarma veya yeniden dizinleme için işleme tabi tutmak kurtarma süresini önemli ölçüde artırır.
Ayrıca, teybin eskiliğine bağlı olarak verileri geri yüklemeniz mümkün olacak mı? Teyplerin zaman içerisinde bozulduğunu hepimiz biliyoruz. Şirketinizin en önemli verilerini bozulması muhtemel bir ortamda saklayarak neden riske atıyorsunuz?
Son zamanlarda, bazı satıcılar değiştirilmesi mümkün olmayan verileri veya değişmez kopyaları bir güvenli bağlantı siber kurtarma çözümü olarak genel bir buluta gönderme fikrini uyguluyor. Buluta gönderilen veriler değişmez olabilir ancak bulut hesabınız kesinlikle öyle değildir. Doğru kimlik bilgilerine (ağa girdikleri için siber saldırganların bu bilgilere sahip olması olasıdır) sahip bir yönetici bu hesapta bulunan dosyaları veya içeriği silmeye gerek duymadan bulut hesabınızı silebilir ve buluttaki güvenli bağlantı kopyanız ortadan kaybolur.
Diğer taraftan Dell EMC PowerProtect Siber Kurtarma, tam bir ağ izolasyonu sunmak için otomatik bir ağ dışı güvenli bağlantı sağlar. PowerProtect Siber Kurtarma, önemli verileri üretim ve yedekleme ortamlarındaki saldırı yüzeyinden uzağa taşır; veri merkezinde (veya şirket dışında) korunan bir parça olarak fiziksel olarak izole eder ve erişim için ayrı güvenlik kimlik bilgileri gerektirir. Güvenli bağlantı ile ayrılan bu izole ortama PowerProtect Siber Kurtarma kasası diyoruz ve bu da çözümümüzün temelini oluşturuyor. PowerProtect Siber Kurtarma kasası, içten bir tehdit olsa bile siber saldırılara karşı dayanıklılık sağlamak üzere çok katmanlı bir koruma sağlar. PowerProtect Siber Kurtarma, kilitli saklama politikaları ile değişmez kopyalar oluşturarak birincil yedekleme sistemi ve kasa arasında senkronizasyonu otomatikleştirir. Siber saldırı durumunda, verilerinizin temiz bir kopyasını hemen tanımlayabilir ve şirketinizi yedeklerine hemen sahip olarak çalışmaya devam etmesi için kritik sistemlerinizi kurtarabilirsiniz. Ayrıca, PowerProtect DD ile eşleşen üçüncü taraf yazılımları da destekliyoruz. Bu durum müşterilere ve ortaklara esneklik ve seçim şansı sunuyor.
PowerProtect Siber Kurtarma Analizleri
Piyasadaki birçok satıcı, veri koruma çözümleri dahilinde entegre analizler sunarken bu analizlerin neler sunduğunu anlamak önemlidir. Daha önce belirttiğim üzere, çoğu satıcı verilerin yüksek düzeyde bir görüntüsünü alır yalnızca ve meta verilere dayalı bozulmanın belirgin işaretlerini arayan analizleri kullanır. Meta veri seviyesinde bozulmayı tespit etmek zor değildir ve bir çözüm yalnızca bu türde bir analizi destekliyorsa, genellikle bir ihlali işaret eden dosyanın kendisindeki değişiklikleri gözden kaçırır. Bazı satıcılar, ilk geçişte şirket içi meta veri analizlerini kullanan ve daha sonrasında tam bir içerik analizi yapmak üzere ikinci geçiş için şüpheli verileri buluta yollayan çok geçişli yaklaşımı da kullanır. Ancak bu yaklaşımda müşteriyi iş açısından kritik verileri şirket dışına bir bulut sağlayıcıya yollamaya zorlayan olası tehditlerin geç keşfedilmesi gibi bir çok zorluk vardır. Bu durum, bu operasyonları şirket içi kasa ortamı güvenliği dahilinde gerçekleştirmekten çok daha az güvenlidir.
PowerProtect Siber Kurtarma, tam içerik analizi sunmanın yanı sıra bir saldırganın ihlal edemeyeceği şekilde kasa içerisinde de çalışır. Analizi kasa içerisindeki veriler üzerinde sürdürmek, saldırı sonrasında “bilinen iyi verilerin” hızlı bir biçimde kurtarılmasını sağlamada önemli bir bileşendir. Analizlerimiz, yedekleme biçimini okuyabildikleri için oldukça güçlüdür. Bu nedenle, veriyi geri yüklemeye gerek yoktur ve PowerProtect Siber Kurtarma yalnızca meta verilerini değil dosyanın tüm içeriğini değerlendirir. Analizlerimizin ne kadar güçlü olduğunu anlamak için nasıl çalıştığını bilmek önemlidir.
İlk olarak kasada saklandığı biçimde verileri tarar. Genellikle yedekleme dosyası biçimindedirler. Daha sonra, analiz dosya başına 100’ün üzerinde gözlem gerçekleştirir. Bu gözlemler, verinin bozulduğunu gösteren düzenleri belirleyen bir makine öğrenimi aracı tarafından toplanır ve değerlendirilir. İmzalara değil düzenlere baktığımızdan analiz daha etkilidir ve sık güncellenmesi gerekmez. Bu süreç yeni bir veri kümesi kasaya her geldiğinde tekrarlanır. Veriler, çok yavaş bir biçimde gerçekleşebilecek ve diğer araçların kaçırabileceği değişikliklerin tam bir resmini sunmak üzere her gün karşılaştırılabilir.
Bize göre, korumadan yararlanan mutlu müşteri sayısının giderek artmasının yanı sıra PowerProtect Siber Kurtarma, “Yeterince İyi” çözümler sunan çoğu satıcıyla kıyaslandığında siber saldırılara karşı “en iyi” korumayı sunar.
Bu üç temel siber kurtarma noktasını anlamak, farklı satıcıların sağladığı çözümleri karşılaştırarak şirketinizin ihtiyaç duyduğu siber kurtarmaya karar vermeniz konusunda bilgili olmanıza yardımcı olacaktır. Günlük market alışverişinizi yaparken “Yeterince İyi” kabul edilebilir olabilir ancak şirketinizin en değerli varlığı olan verileri etkileyen siber korumaya karar verirken kabul edilebilir değildir.
PowerProtect Siber Kurtarma Çözümleri ile ilgili daha fazla ayrıntı için:
