QNAP to producent zaawansowanych rozwiązań sieciowych, skupiający się głównie na dostarczaniu urządzeń do bezpiecznego przechowywania danych w sieci. QNAP NAS to funkcjonalne rozwiązania pozwalające na długoterminowe przechowywanie każdego rodzaju danych w jednym miejscu oraz łatwe zarządzanie nimi i udostępnianie. Jednak dzięki dedykowanemu systemowi operacyjnemu oraz możliwości instalacji aplikacji, możemy uzyskać wiele więcej. Tym razem jednak skupimy się na tematyce bezpieczeństwa danych i sieci LAN.
Jednym z największych problemów dotykających instytucje i firmy, które padają ofiarą ataku cybernetycznego, szczególnie przy użyciu ransomware, jest czas przywrócenia systemów do działania. Niektóre jednostki, które padły ofiarą takiego ataku potrzebowały wielu dni, aby wrócić do normalnej pracy! Dlatego warto wybrać odpowiednie narzędzia monitorujące to, co się dzieje w sieci, ale też dobrać rozwiązanie, który pozwoli szybko przywrócić systemy do normalnej pracy.
Rozwiązanie NDR sprawdzi się w każdej firmie i instytucji, ponieważ pozwoli w czasie rzeczywistym monitorować ruch sieciowy pod kątem nietypowego zachowania klientów i aplikacji, a jednocześnie będzie w stanie wykryć próby ataku już na jego wczesnym etapie. QNAP ADRA NDR to rozwiązanie, które fizycznie oparte jest o 16-portowy zarządzany przełącznik, co nie tylko pozwala na monitorowanie ruchu i reagowanie na zagrożenia w czasie rzeczywistym, ale też umożliwia zastąpienie starszych wykorzystywanych przełączników. Plusem jest też polski język interfejsu, który pozwoli administratorom na jeszcze wygodniejsze zarządzanie. Dzięki zastosowaniu różnych mechanizmów wykrywania zdarzeń, inspekcji pakietów oraz pułapek, ADRA NDR na bierząco monitoruje ruch z każdego podłączonego do niej urządzenia (a więc nie tylko komputerów czy serwerów) oraz go analizuje, wykrywając anomalie, które mogą świadczyć o niepożądanym działaniu atakującego, malware czy ransomware. Dodatkowo ADRA NDR uruchamia pułapki, będące izolowanymi, słabo zabezpieczonymi systemami, które mają wabić aplikacje skanujące sieć w poszukiwaniu systemów, które są przestarzałe i podatne na znane ataki. To pozwala wykryć oraz zablokować atak już na wczesnym etapie – gdy tylko niepożądany gość rozpoczyna rekonesans sieci, skanując sieć, otwarte porty czy działające usługi. Ważnym argumentem uzasadniającym posiadanie rozwiązania NDR jest to, że nie wymaga instalacji na urządzeniach klienckich, a więc jest w stanie monitorować ruch nie tylko stacji roboczych czy serwerów, ale też serwerów plików, routerów, kamer, drukarek sieciowych, skanerów sieciowych czy coraz bardziej popularnych urządzeń IoT. Pozwoli również zwiększyć ochronę tych sieci, gdzie wciąż używane są przestarzałe systemy operacyjne (np. urządzenia diagnostyczne czy komputery sterujące w liniach produkcyjnych).
Co ważne, NDR nie zastępuje urządzeń UTM czy firewall, monitorujących ruch na styku LAN-Internet, ale zajmuje się monitoringiem tego, co dzieje się w samej sieci LAN, dlatego jest w stanie wykryć działania „z wnętrza” sieci. Jeśli laptop użytkownika, który jest wynoszony z firmy, podłączany do różnych sieci zostanie zainfekowany złośliwym oprogramowaniem, po podłączeniu do sieci LAN taka infekcja nie zostanie wykryta, zwykle do samego ataku. Jak wskazuje wiele firm, które padły ofiarą ataku ransomware, od pierwszej infekcji do faktycznego incydentu mija kilka tygodni a nawet miesięcy. W tym czasie zainfekowane urządzenie normalnie działa, ale zbiera informacje o sieci, aby w momencie ataku skierować swoje działania na najbardziej podatne usługi i systemy. Jedynie rozwiązania NDR mogą już na wczesnym etapie wykryć takie działanie, tym samym uniemożliwiając przejście przez etap rekonesansu sieci i faktycznego ataku.
O ADRA NDR więcej dowiesz się tutaj:
– https://www.qnap.com/pl-pl/product/qgd-1602p/adra-ndr
Oczywiście nie ma zabezpieczeń uniwersalnych i w stu procentach skutecznych, dlatego ważne jest zapewnienie firmie bezpieczeństwa danych na różnych poziomach. Dlatego ważną kwestią jest zabezpieczenie systemów, które powinno się składać ze skutecznego backupu oraz bezpiecznego repozytorium na kopie. W tym przypadku z pomocą przychodzi QNAP NAS z systemem QuTS hero, który wykorzystując system plików ZFS (obecnie uważany za najbezpieczniejszy) pozwala na optymalizację przechowywania danych (wbudowane kompresja i deduplikacja in-line, niewymagające licencji) ale też skuteczne zabezpieczenie danych przed modyfikacją, nadpisaniem, złośliwym usunięciem czy zaszyfrowaniem. Za to odpowiadają mechanizmy migawek (do 65 536 migawek per udział), replikacji SnapSync oraz WORM. Dzięki temu nawet, jeśli dojdzie do incydentu i zostaną zaszyfrowane nie tylko systemy, ale też ich backupy – te ostatnie wciąż będą dostępne w bezpiecznej kopii migawkowej.
Mechanizm migawek w QuTS hero działa w ramach systemu plików ZFS i wewnętrznie tworzy migawki na poziomie bloków (czyli w pewien sposób zamraża dane wersje plików z określonego punku w czasie – prawie jakby robił zdjęcie), aby zabezpieczyć określone wersje plików. Tak wykonane migawki są niedostępne dla użytkowników czy zewnętrznych urządzeń korzystających z przestrzeni NAS, więc w przypadku niepożądanego zdarzenia na poziomie plików – wersja na poziomie bloków jest zabezpieczona. Nawet, jeśli ransomware zaszyfruje wszystko pliki w ramach udostępnionego udziału, administrator może przywrócić wcześniejszą wersję sprzed ataku. Migawki wykonywane są w tle i w żaden sposób nie wpływają na pracę użytkowników, a dzięki możliwościom systemu ZFS, możemy dla każdego udziału wykonać nawet 65 536 migawek – a więc tworząc migawkę co godzinę, mamy historię danych z ostatnich ponad 6 lat. Co ważne, migawka jest kopią danych, a więc nie zajmuje dużej przestrzeni.
Jednak wykonanie migawki to nie wszystko – samo urządzenie też może ulec awarii (np. w wyniku problemów z zasilaniem, awarii zbyt dużej liczby dysków czy np. uszkodzenia klimatyzacji w serwerowni), więc niezwykle ważne jest zapewnienie replikacji danych. Dzięki mechanizmom replikacji migawek oraz SnapSync, migawki z produkcyjnego NAS mogą być replikowane na drugie urządzenie, które zostanie zainstalowane w innym pomieszczeniu lub budynku. Urządzenie zapasowe może być innym modelem QNAP NAS, musi tylko obsługiwać system QuTS hero. Replikacja migawek pozwala blokowo kopiować zawartość udziałów i blokowych LUN dna drugiego NAS zgodnie z określonym harmonogramem. Natomiast funkcja SnapSync to rozwiązanie dla najbardziej wymagających – pozwala replikować dane pomiędzy dwoma QNAP NAS w czasie rzeczywistym. Zapisując dane na jednym NAS, są one automatycznie zapisywanie na drugim. Gdy dochodzi do awarii – idealna kopia danych jest dalej dostępna.
Przydatnym rozwiązaniem, które oferuje QNAP NAS jest też mechanizm WORM (Write Once, Read Many), który pozwala nałożyć na określone udziały blokadę edycji i usuwania plików. W ten sposób raz zapisany plik nie może zostać przez nikogo zmieniony, nadpisany czy usunięty, bez względu na poziom uprawnień. Taka blokada może obowiązywać bezterminowo, jak również istnieje możliwości ustawienia określonego czasu – np. przez 30 dni od zapisania pliku, nie może on zostać zmieniony. W ten sposób bez względu na typ danych – czy będą to raporty księgowe, wyniki badań czy backupy wykonane przez zewnętrzne aplikacje.