Esta es la primera parte de una serie sobre las brechas de aire y las arquitecturas de adaptación. Lea la parte dos: Sin una arquitectura de copia de seguridad escalonada, ¿es realmente resiliente?
Los atacantes Ransomware son oportunistas despiadados, pero eso no significa que debamos facilitar sus trabajos.
Tome el ataque a las oficinas administrativas de Colonial Pipelines. La infraestructura crítica de gas y combustible estuvo fuera de línea durante más de cuatro días. Una investigación reveló que los grandes lapsos en la seguridad hicieron que fuera “muy fácil” entrar.
Debemos hacer que la vida sea lo más difícil posible para los hackers. Afortunadamente, hay un arsenal de tecnologías y paradigmas de arquitectura para hacer precisamente eso. Uno de estos enfoques se denomina “brechas de aire”, pero ¿son una ventaja para la resiliencia cibernética?
¿Qué es una brecha de aire?
¿Es una brecha de aire imprescindible, una jerga de marketing o ambas? Echemos un vistazo.
Tradicionalmente, una brecha de aire era física, utilizando copias de seguridad basadas en cinta o sistemas externos, separados con cero conectividad física. Los administradores crean una conexión entre el sistema de producción y el sistema con espacio de aire, como un puente de extracción. El puente se desconecta cuando se transfieren los datos y luego vuelve a subir el resto del tiempo.
En la actualidad, la definición y el concepto de “brechas de aire” están evolucionando más allá del “aislamiento de red física” tradicional para ser un componente valioso de una estrategia de seguridad de datos eficaz y eficiente. Las brechas de aire modernas se centran más en la separación lógica, principalmente con controles de red. Básicamente, son topologías de diseño de red que separan las redes de producción y de copia de seguridad. Algunos proveedores han adaptado el concepto a:
- Brechas de aire “virtuales”. Estos fueron presentados por primera vez por proveedores que querían enfocarse en la separación lógica de la red y vender un conjunto duplicado de infraestructura con capacidades de Escribir una vez, leer muchos (WORM). La red entre sitios se abriría y cerraría periódicamente. Esto se entregó a través de una amplia consultoría y Professional Services.
- Brecha de aire “operativa”. Cuando la “brecha de aire virtual” tuvo una recepción tópida de los clientes (es decir, ventas bajas), se crearon brechas de aire de operación en una licitación para reducir los costos de infraestructura y agregar automatización adicional en torno a la configuración y el mantenimiento.
En esencia, ambos enfoques suelen confiar en las capacidades de WORM diseñadas para los requisitos regulatorios y de cumplimiento.*
El objetivo de una brecha de aire es aislar los datos críticos de las redes locales y las áreas de producción que son más vulnerables a los ataques. Al permitir la entrada de datos desde la red de producción a intervalos regulares, las copias de seguridad se actualizan regularmente, pero las dos partes no siempre están conectadas. Estos intervalos podrían ocurrir una vez al día o con cualquier frecuencia definida.
La promesa de la brecha de aire
La idea es que, sin una conexión abierta entre los dos sitios, las amenazas, en teoría, no tienen puente. Y sin nodos de procesamiento, los sistemas con espacio de aire son aún menos accesibles. Algunos proveedores de almacenamiento de datos promocionan estas bóvedas de recuperación con espacio de aire como una innovación moderna para mantener los datos seguros. Una llamada brecha de aire incluso podría ser algo simple y programático, como un firewall.
En general, las brechas de aire pueden ofrecer una protección mejorada al:
- Proporciona mayor seguridad que la arquitectura de copia de seguridad tradicional.
- Limitar la capacidad de propagación del malware.
- Crear más trabajo para que los hackers obtengan datos con brechas de aire.
- Mejorar las probabilidades de recuperarse de un ataque
Y después del ataque, las brechas de aire también pueden ser beneficiosas para recuperar datos sin comprometer. Pero hay más que considerar.
La realidad de las brechas de aire
Hay algunos problemas que debe considerar con las brechas de aire. La primera es la accesibilidad. Después de un ataque, cuando cada segundo cuenta, una bóveda con espacio de aire no solo ha dificultado el acceso a los datos para los hackers, sino que también es difícil de acceder para usted. El segundo es el trabajo que implica mantener las brechas de aire. Cuanto más sustancial sea una brecha de aire con secuencias de comandos complejas, más cuidado y alimentación requiere para mantenerse operativo y eficaz.
Otros problemas:
- No son 100 % inmunes a los ataques.
- Pueden ser costosos de implementar y operar, y difíciles de administrar y mantener.
- No son súper escalables y pueden ser más lentos para recuperar grandes volúmenes de datos.
- No resuelven amenazas internas ni credenciales comprometidas de administradores de almacenamiento o copia de seguridad.
- La recuperación de grandes volúmenes de archivos lleva demasiado tiempo cuando necesita cumplir con RPO estrictos, y clasificar esos datos para la recuperación por niveles lleva tiempo y esfuerzo.
Las estrategias de seguridad con brecha de aire tampoco pueden abordar completamente los problemas de confiabilidad y velocidad, los dos factores más importantes para una recuperación exitosa. Entonces, ¿cuál es una solución con espacio de aire completo que aborda la sencillez, confiabilidad y velocidad?
Enfoque de Pure para la brecha de aire
Nuestra versión moderna de la brecha de aire virtual es una implementación de siguiente nivel que ofrece todos los beneficios de un búnker de datos con brecha de aire, pero con una diferencia clave: es más simple Y más rápido.
Funciona de la siguiente manera:
La función SafeMode de Pure Storage es la clave. SafeMode crea un enclave seguro, desde el cual no se pueden eliminar las snapshots, ya sea manualmente por parte de un humano o a través de un enfoque programático. Además, hay un elemento humano adicional sobre esto. Para erradicar manualmente las snapshots, la solución de Pure requiere asistencia interactiva en tiempo real, lo que agrega una capa adicional de protección.
Luego, está la sencillez. La automatización incorporada y los temporizadores predefinidos ofrecen tranquilidad sin el trabajo adicional necesario para mantener las brechas de aire programáticas o físicas.
Por último, es triste pero cierto: a menos que sus restauraciones de datos sean lo suficientemente rápidas para evitar un impacto importante en la organización, la reputación y las finanzas, todo el trabajo que ha realizado en torno a la protección no tiene valor. Independientemente de la plataforma o la tecnología subyacente (p. ej., snapshots basadas en punteros o rendimiento líder en la industria), Pure puede ofrecer velocidades de restauración que no mantendrán a su empresa esperando.
Parte 2: Arquitecturas de copia de seguridad escalonadas y en búnkeres
- https://www.nytimes.com/2021/05/10/us/politics/pipeline-hack-darkside.html
*Los productos Pure no admiten las capacidades WORM.
