כל 11 שניות מתבצעת התקפת כופרה:

אסטרטגיית ההגנה של Veeam תעזור לכם להתגונן
בשנה החולפת מספר מתקפות הכופרה גדל בצורה ניכרת והגיע לשיאו עם המתקפה נגד שירביט. בפועל, הגיעו ב- 2020 כ- 200 תלונות של חברות ואזרחים למרכז המבצעי לניהול אירועי סייבר אבל מספרם בשטח היה גבוה בהרבה. אילוצי הריחוק החברתי ושימוש במידע ארגוני ברשתות לא מאובטחות תרם לעליה של כ- 50% במספר איומי הסייבר וב-2021 צפויה קפיצה נוספת של פי שניים בהשוואה ל- 2019, כולל מתקפות בעלות אופי חדש. מחקרים נוספים מראים כי ב-2021, צפויה להתקיים מתקפת כופרה מדי 11 שניות.
זו הסיבה המרכזית אשר הובילה לגידול של 37% במכירות של Veeam ישראל ב- 2020, כאשר תחום פתרונות הגיבוי בענן של החברה רשם גידול של 220% בהשוואה לאשתקד. במטרה להכיר את אסטרטגית ההגנה של Veeam מקרוב, וכדי להבין כיצד צוות התמיכה מסייע לארגונים להתאושש ממתקפות כופר באופן ייעודי, שוחחנו עם אלי ביטון, מהנדס מערכות בכיר ב- Veeam.

החידוש של Veeam: נעילת מידע באופן הרמטי על גבי דיסקים פשוטים
אסטרטגית ההגנה על המידע של Veeam כוללת טכנולוגיות, יכולות ויישומים, תוך הסתמכות על שלבי עבודה ברורים ומובנים. "השלב הראשון הוא שלב הזיהוי ומטרתו לתייג דאטה ולענות על שאלות כמו: האם החברה יודעת איפה נמצא המידע שלה? כיצד, אם בכלל, הוא מקוטלג? וכד'. כך, במקרה אסון תוכל החברה להעניק תיעדוף בטיפול למידע החשוב ביותר" אומר ביטון. קטלוג ותיעדוף של דאטה מתאפשר באמצעות יכולות כמו Data Locality ו- Business View המגולמים כחלק מפתרון Veeam Availability suite.
"השלב השני הוא שלב ההגנה ובו אנחנו מיישמים את אסטרטגיית 3-2-1-0 המפורסמת של Veeam: 3 עותקים של מידע, 2 עותקים על גבי מדיה שונה מהייצור, 1 עותק מחוץ לארגון (offsite), 0 ווידוא תקינות הגיבויים באמצעות Backup Recoverability Verification."

אחד היישומים המוכרים המאפשרים את ההגנה על המידע הוא הנושא של אחסון הרמטי (Immutable Storage) - כלומר, נעילת המידע כך שלא ניתן יהיה לשנות או למחוק אותו לעולם. עד כה ניתן היה ליישם אותו על שירותי ענן ציבורי של AWS S3 או פתרונות אחסון בענן של Backblade, Wasabi או באמצעות דדופליקציה עם מוצרים של Exagrid ואחרים. "ואילו עכשיו, באמצעות Veeam Secure Repository, אנחנו מביאים את היכולת החשובה הזאת לעולם של דיסקים פשוטים ונועלים את המידע בצורה בלתי הפיכה. היישום הזה נותן הגנה מלאה מפני כופרות משום שהקבצים נעולים ואינם יכולים להיפגע באופן וירטואלי, ואם הם נפגעים באופן פיזי יש כאמור גיבוי של עותקים באתרים אחרים."
ויש גם יישומים שנולדו למטרה מסוימת אבל הלקוחות הגדילו ראש ומשתמשים בהם באופן שונה, כדי להגן על המידע. כך, ל- veeam יש יכולת לבצע בדיקות מחזוריות אוטומטיות לגיבויים ורפליקציות של הלקוח, במטרה לוודא תקינות של הגיבוי והרפליקציה ושלמות המידע בעת שחזור. אבל, לקוחות רבים, אפרופו הפתיח על שנת הכופרות, משתמשים ביכולת הזאת דווקא כדי לאתר כופרות בסביבות הייצור.

מתריאה ומגיבה לתקיפות סייבר במיידי
השלב השלישי באסטרטגיה של Veeam הוא שלב האיתור. המערכת מזהה ומאתרת נקודות פגיעות, חולשות, כופרות ונוזקות בסביבות הייצור באמצעות שתי יכולות של המוצר: 1. ניטור בזמן אמת של סביבת הייצור וחיפוש כופרות עם התראה מובנית במקרה שמתבצע תהליך של הצפנת מידע. 2. מעקב אחר משך הגיבוי של הקבצים, כאשר במקרה בו משך הגיבוי חורג מהזמן הרגיל - ניתן לשער כי המידע הוצפן ואז נדלקת נורה אדומה. "חשוב להבין כי Veeam לא רק מתריאה על אירועים אלא גם מאפשרת להגיב מהר כמו למשל לבודד את המכונה הספציפית, להריץ באופן מיידי גיבוי להקטנת הסיכון, להריץ סקריפט ועוד."
"יכולת נוספת של הפתרון נקראת Data Integration API ומאפשרת לחשוף את הגיבויים לכלי צד שלישי, כולל כלי אנליטיקה לאיתור כופרות או איומי Zero Day המסתתרים בקבצי הגיבוי. היכולת מאפשרת לסרוק מידע ישן כמו גרסאות קודמות של גיבויים שיש עליהן חתימות חדשות. Veeam חושפת את המידע אך לא צריכה לשחזר אותו לביצוע הפעולות."

6 צורות שונות להתאוששות זריזה מאסון
השלב הרביעי הוא שלב התגובה. במסגרת זו Veeam מסייעת בניהול ה- DR, ווידוא תקינותו וחיבור "ספר אתר" באופן אוטומטי. לשם התאוששות מאסון Veeam מציעה להשתמש במספר יכולות שחזור בהתאם לסוג הפגיעה:
שחזור מתוך הסנאפ-שוטים של מערכת האחסון אשר יכול להתבצע באופן מיידי ומהיר, גם אם מדובר בכמויות גדולות של מידע.
שחזור מאובטח ייחודי ל- Veeam המאפשר סריקת המידע המשוחזר במטרה לאתר נקודות תורפה/וירוסים/תקיפותzero day עוד לפני שהמידע חוזר לסביבת הייצור.
התאוששות ברמת האייטם הבודד המתבססת על יכולות שחזור גרנולריות מתקדמות ומהירות, במידה וכבר התגלתה כופרה.
התאוששות בהרף עין כתוצאה מיכולות שחזור מיידיות במקרה של גילוי כופרה ויכולת להחזיר אפליקציות שלמות במהירות שיא לרבות, מסד נתונים ענק אשר יכול לחזור לייצור באופן מיידי.
העברת מכונה או אפליקציה ישירות מהגיבוי או מהסנאפ-שוט של האחסון והפעלתה בסביבה מבודדת (sandbox). היכולת הזאת מאפשרת לוודא כי המידע שאנחנו מתכוונים לשחזר תקין לחלוטין, מבחינת המידע ומבחינת השירות אותו הוא מספק (Datalabs).
הדלקת מכונות בסביבה מבודדת, ללא חיבור לרשת כדי לבצע פעולות הקשורות באירועי סייבר כמו סריקה או בידוד של מידע לא רצוי.