Ransomware Attack
انا: هتعمل ايه ياوحش لو الشبكه عندك اتصابت ب Ransomware Attack
هو: مافيش حل غير الباكب
انا: طيب هتعمل ايه ياوحش لو اكتشتفت ان الباك بتاعتك اتشفر بفيرس Ransomware
هو: لا يابشمهندس متهرجش
انا: لا والله مابهرجش فى اكتر من حاله حصل عندها الموضوع ده ومش بس كده فى اكترمن ransomware بيقدر يخترق ESXI Servers يقدر يشفر كل VMs اللى عندك ويقدر كمان يشفر الانظمه اللى مبينه على Linux OS
هو : ابتدى يبرق ويدخل فى مرحله الاوعى اسيبه لا طبعا روحت مديلو
انا : المشكله بقى انك لو صارف ومكلف وعامل DR site وبتستخدم storage replication مع اى سيستم من انظمه DR solution مش هتقدر تحميك من النوع ده من الاتاك لان ببساطه الملفات المتشفره هيحصلها replication وهتبقى ملفات تالفه فى HQ وكمان فى DR
طيب والحل !!!!!!!!
قبل ما نشرح فكره واحد من السيليوشن اللى بتحط حل للمشكله دى تعالو نتعرف على بعض النقاط :
فى فرق جوهرى ما بين disaster recovery و cyber recovery والاتنين بيكون الغرض منهم حمايه الدتا الخاصه بالشركه بس بشكل مختلف ومن تهديدات مختلفه بمعنى ان disaster recovery بيكون ديما لحمايه انظمه الشركه والدتا طبعا فى حاله الكوارث اللى بيكون فيها main Data Center مش متاحه زى الفيضانات والحروب والحرايق ومشاكل الكهرباء المختلفه اما cyber recovery فهى بتكون لحمايه الداتا الخاصه بالشركه من التهديدات الامنيه زى الاختراق والفيروسات واهمها Ransomware attack وبيكون فيها نسخه من الداتا الخاصه بالشركه اقدر ارجعلها فى اى وقت بمرونه وبسهوله تامه
وAir Gap هو مصطلح امنى معروف بمعنى عزل اجهزه او شبكه كامله عن الشبكه الاساسيه وفكره العزل هنا بتكون عزل كامل يعنى مافيش اى اتصال بيحصل مابين الاجهزه المعزوله الاجهزه الموجوده فى الشبكه الاساسيه وهنلاقى ديما ان Air Gap ينفع نستخدمه فى حالات cyber recovery لكن ماينفعش نستخدمه فى حاله disaster recovery لان بختصار فى حاله disaster recovery هنحتاج ديما يكون فى اتصال مابين DR site ومابين Main site عشان نقدر نعمل replication ياما على مستوى الاستورج او حتى على مستوى الابليكشن AD, Exchange, SQL
السيليوشن اللى هنتكلم عنه هو Dell EMC Cyber Recovery Vault وهحاول اوضح فكرته وطريقه عمله فى النقط التاليه
0- فكره عمل CRV هو انه بيبنى سليوشين كامل مكون من Data Domain Storage مع مجموعه من Switch وكمان معاها firewall ومعاها Cyber Recovery Manager Appliance ومع CyberSense Servers تقدر تقول الكلام ده بيكون موجود فى Rack فيهما منها اللى بيكون فيزيكال ومنها الفرتوال بس ده مش موضوعنا دلوقتى الفكره ان كل المكونات دى بتكون موجوده فى rack زى ماقولنا وال rack ده هيكون فى منطقه معزله عشان هنتشتغل بفكره Air Gap
1- بعد لما نبنى السيلوشين Cyber Recovery Manager هيبعت امر لل Firewall بتفتح الاتصال مابينdata domain الموجوده فى main site وdata domain الموجوده فى Cyber Recovery site بتاعنا وساعتها هنقدر ناخود نسخه من الداتا بتاعت الباكب
2- بعد كده Cyber Recovery Manager هيبعت امر تانى لل Firewall بقفل الاتصال نهائى بيعمل disconnect interface وبيقدر Cyber Recovery Manager انه يسمح بالاتصال وفصله بناءا على وقت معين احنا بنحدده عشان كده نقدر نقول ان من مزايا CRV انه بيقدر يعمل automated operational air gap
3- بعد كده الداتا الموجوده على data domain بيتعملها retention lock بحيث ان مافيش اى حاجه تقدر تغير فيها ولا حتى الادمن نفسه وفى نفس الوقت بتتبعت الى CyberSense Servers
4- هنا يجى دور CyberSense Servers هى مجموعه من السرفيرات بتقدر تحلل الداتا وتقارن النسخ ببعضها وتشوف ان التغييرات اللى حصلت فيها هل هى تغييرات طبيعه ولا لاء عن طريق machine learning algorithms
5- فى حاله اكتشاف اى تغييرات مش طبيعه او الاشتباه فى اى ملف هيقوم CyberSense Servers بارسال تقارير وفى نفس الوقت هيحط نسخه من الملفات دى فى مكان معين احنا هنكون محددينه عشان نقدر نحلل الملفات دى ونشوف ايه اللى حصل
واخيرا فى حاله اصابه الداتا عندك بفيرس الفديه Ransomware Attack هتقدر ترجع الدتا عندك من retention lock golden image بسهوله
مش هتكلم على جزء التكلفه لان الشتايم يوم الجمعه مش مستحبه بس خلينى اقولك اننا فى الاخر بنتكلم على enterprise solution واحنا دورنا اننا نحط السيليوشون والحلول المناسبه بعض النظر عن التكلفه