• 
• 

Siber Tehditlere ve Fidye Yazılımlarına (Ransomware)
Karşı RUBRIK Kalkanı ile Nasıl Korunursunuz?

Hazırlayan: Ramazan Öğütcen – Sekom – Veri Merkezi Çözümleri Birim Müdürü

Son zamanlarda ransomware (fidye yazılımları) ile ilgili şirketlere yapılan siber saldırıları çokça duymaya başladık. Bugün sizlere bu tür siber saldırılar ile karşılaştığında, kurumunuzun herhangi bir fidye ödemesine gerek olmadan nasıl kısa süre içerisinde bu olaydan kurtulabileceğini anlatacağız.

Öncelikle kurumsal bir firma olarak şunu bilmelisiniz ki artık “bu tür saldırılar benim şirketime de yapılır mı ki acaba?” diye düşünmek yerine (ki artık bunlardan kaçmak artık neredeyse imkânsız hale geldi) bu saldırıları önlemek için neler yapılması gerektiğini ve en kötü durumda kaldığınızda son seçenek olarak ne yapabileceğinizi çok iyi bir şekilde düşünmeniz ve planlamanız gerekir. Tabii ki siber saldırı önleme faaliyetleriniz en üst düzeyde, güvenlik ve network katmanlarında, donanım ve yazılım ürünleri ile gerçekleştirilmeli fakat tüm bu önlemlere rağmen IT altyapınızdaki herhangi bir açık nedeniyle kötü niyetli saldırganlar tarafından ‘’tüm ateş duvarları aşılmış’’ ve “tüm kaleleriniz ele geçirilmiş” bir duruma gelir, verileriniz artık tamamen korumasız bir şekilde kalırsa, onları kurtarabilmeniz için güvenli bir sığınağa ihtiyacınız olacaktır.

“Rubrik”, işte size böyle bir sığınak sunmaktadır.

Rubrik, yedekleme dünyasında oldukça yeni bir oyuncu olarak yenilikçi ve öncü bir teknoloji ile 10 yıl önce kurulan ve 9 yıl önce ilk ürününü ortaya çıkaran bir üreticidir. Yenilikçi olmasının nedeni o tarihe kadar farklı şekilde sunulan yedekleme yazılımı ile yedekleme cihazı ikilisini aynı ortamda birleştirebilmesidir. “Converged” olarak adlandırabileceğimiz bu altyapı sayesinde daha önce kompleks ve karmaşık bir bileşenler grubu ile birlikte çalışmak zorunda olan yedekleme ortamları, artık basit ve kullanışlı bir hale dönüştürülmüş ve en önemlisi çok daha güvenli hale gelmişlerdir. Yedekleme ortamı içerisinde farklı üreticilerin farklı yedekleme yazılım ve donanımlarına sahip olması (hatta aynı üreticinin farklı bileşenlere sahip olması), güvenlik bakış açısıyla baktığımızda saldırı yüzeyini artırarak, güvenlik duruşu (security posture) yaklaşımınıza da zarar verebilmektedir. Bütünleştirilmiş yedekleme ünitesi olarak tanımlayacağımız Rubrik, bu sebeplerden ötürü güvenlik konularında da öncü bir firma olarak karşımıza çıkmaktadır.

Rubrik ürününe donanım anlamında göz atacak olursak, 4 adet node’a ve içerisinde disk alanı olarak 150 TB kullanılabilir kapasiteye sahip 2U büyüklüğünde bir appliance olduğunu görebiliriz. Bu appliance hem yazılım hem de donanım katmanı olarak Rubrik tarafından karşılanabildiği gibi Rubrik’in anlaşmalı olduğu üreticilerde (DELL, Cisco, HPE) yer alan ve sadece Rubrik ile birlikte üzerinde mutabık kalınmış belli konfigürasyonları içeren sunucu donanımları ile birlikte de müşterilere sunulabilmektedir.

Yedekleme dünyasında tecrübeli olanlar yıllardan beri bu alandaki süregelen karmaşıklığı az çok tecrübe etmişlerdir. Her bir iş yükü için ayrı yazılım veya lisans ihtiyacı, bazı iş yükü tipleri için Proxy sunucu gereksinimi, medya sunucusu için farklı, katalog için farklı sunucular kullanılması, network tabanlı veya disk tabanlı ünitelerin yedekleme ortamı olarak kullanılması, tape ve kartuşlar, tape üniteleri, tape kütüphaneleri gibi ancak birçok bileşenin bir arada kullanılması sayesinde tam manada yedekleme ortamı istenilen seviyede ve düzeyde çalışabilir hale gelebilmektedir. Bu karmaşıklık, beraberinde hem birden fazla bileşene sahip olması nedeniyle güvenilir olmayan, hem de birbirleri ile uyumluluk gibi konularda sorun çıkarabilme potansiyeli nedeniyle de yönetilmesi ve işletilmesi zor bir ortam yaratmaktadır. Dolayısıyla yedekleme ortamları için basitlik, kolay kullanım ve minimum bileşen ile tüm yedekleme ihtiyaçlarını karşılayabiliyor olmak çok daha güvenli bir yedekleme ortamı sunduğu gibi, bileşenlerin uyumsuzluğu gibi sorunları da ortadan kaldırmaktadır. Şirketinize ait bütün kritik verilerin, altındaki Hypervisor, OS, veri tabanı veya uygulama ve iş yükünün ne olduğundan bağımsız olarak sadece 2U’luk bir cihaz yardımı ile içerisinde 4 adet yedekleme sunucusu ve 150 TB kullanılabilir kapasite (tabii bu tekilleştirme ve sıkıştırma ile PB’lar seviyesini rahatlıkla aşabilmektedir) ile tüm yedekleme işlemlerinin yapılabildiğini düşünebiliyor musunuz? Hem de tüm bu verilerin ransomware koruma garantisi altında olması ve ayrıca kolaylıkla restore edilebilir halde bulunması “Rubrik”i rakiplerinden ciddi şekilde öne çıkarıyor.

Az önce belirtildiği üzere, Rubrik, diğer yedekleme yazılımı ve donanımı üreticilerinde olan örneğin tekilleştirme, sıkıştırma gibi tüm özelliklerinin yanında, onlarda olmayan “scale out” mimariye de sahiptir. Rubrik ile birlikte yedekleme maceranıza 4 node ile başlayıp daha sonra 8, 12 veya 16 node’a yükseltebilirsiniz. Böylelikle benzersiz cluster mimarisi ve node’ların paralel şekilde ve dağıtık biçimde çalışabilme yetenekleri sayesinde yedekleme performansı rakiplerinden oldukça üst seviyelere çıkabilmektedir. . (Ayrıca sadece dörder dörder büyümek zorunda da değilsiniz, 4 node sonrasında her büyüme sırasında 1 node, 2 node ve 3 node ekleyerek de büyüyebilirsiniz.) Böylelikle yüksek kapasitedeki veri tabanı gibi iş yüklerinin, genelde geceleri kısa sürelere sıkışmak zorunda kalan yedekleme aralıklarında sorunsuz şekilde yedeklenmesine olanak sağlayabilir.

Yine yedekleme dünyasında çokça söylenen bir söz vardır. “Back-up almak önemli değil, önemli olan onu gerektiğinde hızlı şekilde restore edebilmektir.” Gerçekten 20 yıl öncesinde yedekleme ortamlarını yönetirken tape kartuşları ve tape kütüphaneleri ile ilgili yaşanan tecrübeleri hatırladığımızda, o zamanlarda tape kullanıldığından dolayı herhangi bir yedekten dönmenin ne kadar zor ve meşakkatli bir iş olduğunu gözünüzün önüne getirebilirsiniz. Daha sonraları “tekilleştirme”nin yedekleme işlemlerindeki sihrinin keşfedilmesi ile disk ortamına yedekler alınmaya başlandı ve restore süreleri ve operasyonel süreçler çok kısaldı. Son zamanlarda ise yine diske yedek alınan sistemlerdeki hızlı SSD diskleri ve veriyi orijinal yerine restore dahi etmeden sistem üzerinden hızlı şekilde erişim sağlayabilen teknolojiler sayesinde restore işlemleri ayrı bir boyut kazandı. Yedekleme dünyasındaki en son teknolojiler ile donatılmış Rubrik içerisinde de “Live Mount” adını verdiğimiz özellikle Oracle ve SQL veri tabanları için kullanılması önerilen bu teknoloji sayesinde kullanıcılar yedeklere hızlı bir şekilde ulaşabiliyorlar, hatta bu özelliği Dev/test sistemleri için dahi kullanıp bu anlamda kapasite tasarrufu da sağlayan müşteriler olduğunu belirtebiliriz.

Rubrik’in ransomware’den korunma konusunda neden diğerlerinden daha farklı olduğuna gelecek olursak bunu madde madde şöyle açıklayabiliriz:

• Güvenlik anlamında güçlendirilmiş bir Linux OS üzerine, immutable bir filesystem (Google Atlas) üzerine kurulu olması. Üzerine kurulu olduğu filesystem silinemez, değiştirilemez ve encrypt edilemez, sadece ekleme yapılabilir. (append-only)
• Tüm yedekleme ve diğer network işlemleri encrypted şekilde ve FIPS 140-2 validate edilmiştir
• “Air-gapped” olarak adlandırılan NFS/SMB protokolleri ile erişilemeyen bir OS, Shell ve Storage katmanına sahiptir.
• MFA ile erişim zorunluluğu, local kullanıcılar için zaman tabanlı tek seferlik parola (TOTP) özelliği vardır.
• NTP zehirleme ataklarına karşı monotonic saat bariyeri özelliği vardır.
• Support ekibi ile birlikte kullanılabilen retention lock özelliği mevcuttur.
• 3rd parti hiçbir yazılım Rubrik Appliance üzerinde çalışamaz.

Tüm bu özellikler sayesinde Rubrik, Ransomware saldırganları tarafından ele geçirilemeyen ve müşterilerin en kritik verilerini güvenle saklayabilecekleri bir “sığınak” olarak öne çıkmaktadır.

Şunu ifade etmek gerekir ki pazarda yer alan bazı yedekleme yazılımları günün sonunda bir şekilde siber saldırılardan geri dönmeyi de başarabilirler. Ama bu konuda da en önemli kriter ne kadar süre içerisinde bu saldırıdan kurtulabildiğiniz ve kesinti süresini ne kadar az şekilde yaşadığınız olacaktır. Dolayısıyla, örneğin ransomware saldırganlarının ortamınızdaki hypervisor katmanını da ele geçirdiklerini düşünürsek (ki bu saldırıların %60’ında böyle oluyor) eğer yedekleme yazılımınız Ransomware saldırısı öncesine dönebilmek, yani restore edebilmek için hypervisor üzerinde çalışan bir bileşene sahipse bunu tekrar kurmanız ve devreye almanız takdir edersiniz ki biraz zaman alacaktır. Ama dışarıda izole edilmiş bir ortamda ve hiçbir şekilde kötü niyetli kişiler tarafından ulaşılamayan Rubrik’ten dönebilmeniz için böyle bir zaman kaybı yaşamazsınız. Yani sadece yedek kopyalarının değiştirilemez (immutable) olması yetmez, tüm yedekleme ortamının ( yazılım + donanım) değiştirilemez olması gerekir. RTO (Recovery Time Objective) olarak belirtilen bu süre ne kadar kısa olursa Ransomware saldırısında oluşan maliyet o kadar az olacaktır. Bu yüzden yedekleme yazılımı seçiminde bu kriteri dikkate almak çok önemlidir.

Ayrıca Rubrik, bir başka özelliği sayesinde müşterileri gereksiz fidye ödemekten yine hızlı bir şekilde kurtarabiliyor. Rubrik, kullandığı analiz araçları sayesinde ilk alınan yedeklemeden itibaren tüm verileri tarayabiliyor ve bu veriler ile ilgili olarak sınıflandırma yapabiliyor. Siber saldırı yaşandığında da hangi dosyalarda şifreleme yapıldığı bilgisini sunabiliyor. Böylelikle müşteriler, eğer şifrelenen veriler şirket için çok da kritik olmayan önemsiz bir veri ise herhangi bir fidye ödemeden bu saldırıyı atlatabiliyorlar.

Bunun yanında yedekleme verileri üzerindeki zararlı yazılımların taranması ve anomali tespitlerinin yapılması gibi işlemleri de yüksek performanslı şekilde ve birincil kopya üzerinden yapabilmektedir. Böylelikle bu tip performans gerektiren işlemler için farklı bir kopyanın ikincil veri alanına (vault) çıkarılarak extra bir maliyet oluşturulması da engellenmektedir.

Sizler de ransomware’den korunma konusunda benzersiz, “converged” olarak, yani yedekleme yazılım ve donanımını birlikte sunan Rubrik’i daha detaylı şekilde dinlemek, kendi ortamınızla ilgili olarak kafanızdaki soruları sormak ve demo/workshop veya POC yapmak isterseniz bizlerle iletişime geçebilirsiniz.