Säker Backup med fokus på Vault och Clean Room

av | Cybersäkerhet

Cuebid har pratat om säker backup tidigare med flera viktiga punkter såsom dessa nedan;

ÅTKOMSTSÄKRA: MFA, RBAC, kryptering och åtkomst bara från en eller ett fåtal klienter
IMMUTABLE BACKUPS: (ej raderbara backuper)
KRYPTERA: Både kryptering på redan lagrat data (at rest) och data som går över nätverket (in-flight)
SECURE RESTORE: Säkerställ att ditt backupdata inte innehåller ransomware, virus mm…
TIERED REPOSITORIES: 3-2-1-1-0

  • Tre kopior av ditt data
  • Två olika medier
  • En offsite
  • En offline (Air-Gapped)
  • Noll fel i din backup (secure restore)

Nu tänkte vi prata lite mera om just den sista ettan i 3-2-1-1-0 Vaultet, (Air-Gapped-funktionen)

Vaultet kan även vara offsite, men det är inget krav. Det viktiga är att den är offline från produktionsdata.

Vad är ett Vault?

Vault är en Air-gapped lösning i sin ädlaste form. För några år sen var det banker och liknande större organisationer och företag som använde sig av en Vault funktion.

Nu befinner vi oss i sådan tid där ransomware och intrång blir vanligare och vanligare. Nu måste varje företag och organisation räkna med att bli drabbad på ett eller annat sätt.

Ett Vault ska vara ditt företags sista livlina för att återskapa data om allt annat data i produktion eller i backupmiljön har blivit ransomwareattackerat och inte går att återskapa.

Det får ta lite längre tid att återskapa datat från ett Vault, men hellre det än att inte kunna återskapa alls.

Om ditt företag är inom den finansiella sektorn kommer DORA-regelverket börja gälla i januari 2025. Med DORA kommer nya krav på stort sett alla företag inom den finansiella sektorn.

 

Vad menar vi på Cuebid med ett Vault och Clean Room?

Ett Vault ska vara ”osynligt” från produktionssidan. En hacker som kommit in i din it-miljö ska inte kunna se eller på något sätt ta reda på att det finns ytterligare ett ställe ”Vaultet” dit backupkopior skickas.

  • All anslutning in till Vaultet ska vara nedstängd, förutom under tiden data skickas in i Vaultet.
  • Vaultet ska initiera öppning av portar mm in till Vaultet.
  • Rapporter ska kunna skickas ut från Vaultet.
  • Ett fåtal personer ska veta om att Vaultet finns, och ännu viktigare ett fåtal personer ska ha åtkomst till Vaultet.
  • Säker hantering av systemens lösenord. Såsom lösenordsförvaring och lösenordspolicy.

Konkreta punkter som definierar ett Vault;

  • En Air-gapped och immutable kopia av ditt viktigaste data, en sista livrem för att överleva en ransomwareattack och som är nödvändig att ha om katastrofen är framme.
  • ISOLERA (fysisk isolerad hårdvara från produktion)
  • KRYPTERA (data at rest encryption, in-flight encryption)
  • IMMUTABILITY (ej raderbar backup data)
  • DUAL SIGN IN (for eyes login, security officer) många namn på samma sak. Ett extra konto som måste godkänna vissa viktiga kommandon som utförs, så att inte en illasinnad person som fått tag på t.ex administratörsrättigheter på ett system kan utföra kommandon som t.ex radera data eller konfiguration.
  • HÄRDNING (säkerställer lösenords policy, nedstängning av portar mm)
  • CLEAN ROOM: (SECURERESTORE) En lagringsyta i ditt Vault där man kan återställa från backup och sen kontrollera sitt data att det är fritt från virus och går att använda som det är tänkt.
  • KLASSIFICERA (Gå igenom ditt data och klassificera t.ex Guld, Silver, Brons och där ex Guld och Silver får leva i ett Vault)
  • KATASTROFPLAN (skap en rutin och testa återställningsplan, utbilda din it personal, öva öva öva)

Ta steget & börja planera för ditt Vault, hur kommer du i gång med ditt Vault och Clean Room;

  • Fråga oss på Cuebid om du vill veta mer om hur du kan tänka gällande Vault och Clean Room.
  • Vi kan bolla idéer och tankar om hur vi har gjort hos våra kunder för att sätta upp och konfigurerar en Vault och Clean Room lösning.

Jonas Åström