بازیابی سایبری یا همان Cyber Recovery
چقدر احتمال دارد که کسب و کار شما هدف حمله سایبری قرارگیرد؟ این احتمال بسیار فراتر از آن چیزی است که فکر می کنید. از زمان شروع همهگیری COVID-19 بسیاری از کسبوکارها مجبور شدند که به سمت سرویس های دورکاری روی آورند، در این بازه جرایم سایبری ۶۰۰٪ افزایش یافته است.
فقط یک شکاف کوچک در سیستم امنیت سایبری شما یا یک کلیک روی یک پیوند اشتباه لازم است تا مجرمان سایبری به سیستمهای رایانهای کسبوکار شما و دادههای دیجیتالی بالقوه حساس دسترسی داشته باشند. برخی از حملات سایبری می توانند بلافاصله شبکه های شما را فلج کنند، در حالی که برخی دیگر هفته ها و حتی ماه ها طول می کشد تا کشف شوند. اما یک چیز مشترک همه حملات سایبری این است که همه آنها می توانند به طور بالقوه به کسب و کار شما آسیب وارد کنند که ممکن است نتوانید از ضررهای مالی و اعتباری پیش آمده را جبران کنید، هیچ ضمانت یا راهکار امنیتی جادویی برای محافظت از کسب و کار شما در برابر انواع بسیاری از جرایم سایبری وجود ندارد. بهترین کاری که می توانید انجام دهید این است که راهکار های موثر و مداوم امنیتی بهره بگیرید و به کارکنان خود آموزش دهید تا خطرات خود را به حداقل برسانید.
برنامه ریزی برای مقابله با یک رخداد امنیت سایبری و طراحی و بازنگری سناریوهای پاسخ به رخدادهای سایبری و بازیابی پس از بحران سایبری برای انواع مختلف حملات می تواند یک نجات دهنده برای شرکت شما باشد.
مدت زمان بازیابی و بازگشت به حالت عادی پس از یک حمله سایبری بسیار مهم است،که این امر نیازمند یک واکنش سازمان یافته و برنامه ریزی دقیق است. با این حال، یک مطالعه اخیر نشان می دهد که تنها ۵۴٪ از بیش از ۵۰۰ سازمان کارمند، یک برنامه بازیابی در سطح شرکت دارند. روند نگرانکننده دیگری در یافتههای Cybnet نشان داده شد که میگوید ۷۷ درصد سازمانها برنامه پاسخگویی به حوادث امنیت سایبری ندارند. اگر هنوز اهمیت یک برنامه بهبود برای کسب و کار خود را در نظر نگرفته اید، ممکن است اکنون زمان مناسبی برای تغییر آن باشد. فرقی نمیکند تیمی از متخصصان سایبری را در داخل سازماندهی کنید یا کمک برونسپاری میکنید، اهمیت وجود فردی در سازمانتان را دست کم نگیرید که بتواند به شما کمک کند که بزرگترین ریسکهایتان را شناسایی کنید و به کسبوکارتان بیاموزید که چگونه و با انجام چه فرآیند هایی پس از بروز یک حمله سایبری، کسب وکار شما به حالت عادی بازگردانده شود.
تفاوت بازیابی سایبری با بازیابی فاجعه
هر دو سیستم بازیابی سایبری و فاجعه برای کمک به شرکت شما برای بازیابی عواقب حمله سایبری یا نقض داده طراحی شده اند. اگرچه تا حدی همپوشانی دارند، اما اهداف و طرح های متفاوتی دارند. هدف طرح بازیابی فاجعه اطمینان از تداوم کسب و کار پس از بروز اختلال و یا افزایش بار پردازشی و ترافیکی است. از سوی دیگر، بازیابی سایبری حفاظت از دارایی داده ها را فراهم می کند و از دست رفتن داده ها در آینده جلوگیری می کند.
برنامه ریزی برای بازیابی فاجعه به این معنی است که در صورت کشف نقض در شبکه امنیت سایبری خود، آمادگی بیشتری برای اقدام خواهید داشت. از آنجایی که این طرح بر تداوم کسب و کار تمرکز دارد، باید به شما کمک کند تا سیستم خود را تعمیر کنید و در اسرع وقت عملیات را از سر بگیرید.
با این حال، اگر حمله باجافزاری رخ دهد و شما بهدرستی برای عواقب آن آماده نشده باشید، اگر پروتکلهای بازیابی سایبری شما به اندازه نباشد، احتمال زیادی وجود دارد که دادههای در معرض خطر با سرورهای پشتیبان شما همگام شوند، به این معنی که آخرین نسخه پشتیبان از اطلاعات شما نیز توسط بدافزار آسیب می بیند.
Cyber Resilience | Disaster Recovery | Category |
Reliable & fast | Close to instant | Recovery Time |
۱-day average | Ideally Continuous | Recovery Point |
Cyber attack, targeted | Flood, power outage, weather | Nature of Disaster |
Global; spreads quickly | Regional; typically Contained | Impact of Disaster |
Isolated, in additional to DR | Connected, multiple targets | Topology |
Selective, includes foundational service | Comprehensive, all data | Data Volume |
Iterative, selective recovery; part of CR | Standard DR (e.g., fallback) | Recovery |
یک سیستم بازیابی سایبری به یک مرکز مجزا نیاز دارد که هم از نظر فیزیکی و هم مجازی ایزوله شده باشد و به عنوان یک مرکز داده مستقل عمل کند. بدین صورت که در به صورت خودکار و درشرایطی که شبکه و زیرساخت در حالت عادی و پاک قرار دارد به واسطه برقراری ارتباط نسخ پشتیبان اخذ و پس از اتمام ارتباط بین این مرکزداده با مرکزداده اصلی قطع گردد. مرکز داده مستقل و برون خط به عنوان یک مرکز پشتیبان تغییر ناپذیر است به این معنی که در صورت بروز حمله سایبری و از دست داده داده ها در سایت اصلی داده های این مرکز به هیچ عنوان دستخوش تغییر نخواهند شد و داده های ان فقط به صورت read only ذخیره می گردند. و پس از پاکسازی آلودگی از مرکزداده اصلی به عنوان یک نسخه پشتیبان تمیز می تواند مورد بهره برداری قرار گرفته ومنجر به بازیابی کسب و کار سازمان شما گردد.
بازیابی پس از یک حمله سایبری
حملات سایبری می تواند برای یک تجارت بزرگ و کوچک ویرانگر باشد. آخرین گزارش نقض داده توسط IBM نشان می دهد که میانگین هزینه نقض داده ها در سال ۲۰۲۱ به رقم باورنکردنی ۴.۲۴ میلیون دلار برای هر حادثه رسیده است که بالاترین میانگین هزینه در تاریخ این گزارش است.
این عدد ترسناک است و وقتی با این واقعیت همراه شود که طبق تحقیقات Net Set Security، حملات بدافزار تقریباً ۴۰۰٪ در سال ۲۰۲۰ افزایش یافته است، واضح است که شرکت ها باید این خطرات را بسیار جدی بگیرند.
مراحل بازیابی پس از حمله سایبری
برنامه واکنش به حوادث سایبری خود را دنبال کنید: یک برنامه دقیق واکنش به حوادث سایبری داشته باشید که می توانید از آن پیروی کنید تا روند بازیابی خود را خسته کننده تر کنید. طرح واکنش به حادثه باید به وضوح مسئولیتهایی را به تیمها و افراد اختصاص دهد و شامل تمام گامهای لازم برای بهبودی هر چه کمتر سازمان شما باشد.
یک برنامه تداوم کسب و کار ایجاد کنید
اگر کاملاً نیاز به از سرگیری عملیات دارید در حالی که سیستم شما هنوز در معرض خطر است، باید یک برنامه عملی بر اساس موقعیت ایجاد کنید. جایگزین هایی برای فرآیندهای حیاتی که توسط این حادثه قطع شده اند پیدا کنید و به کارکنان خود آموزش دهید که چگونه با شرایط کاری جدید سازگار شوند. برای مثال، ممکن است مجبور شوید به بخش خدمات مشتری خود دستور دهید که به جای ایمیل زدن با مشتریان تماس بگیرد یا کارمندان شما می توانند از رایانه های شخصی استفاده کنند که بخش امنیت سایبری شما تأیید کرده است، در حالی که رایانه های کاری در حال بازیابی به حالت کار هستند.
از پشتیبانگیری ایمن برای از سرگیری عملیات استفاده کنید
اگر یک سیستم بازیابی سایبری در اختیار داشته باشید، یافتن یک نسخه پشتیبان امن بسیار آسانتر خواهد بود. با این حال، قبل از اینکه بتوانید اطلاعات خود را بازیابی کنید، باید منتظر بمانید تا شبکه شما تمیز و به طور کامل بازیابی شود.
بازیابی یا بازسازی داده های از دست رفته
گر سیستم بازیابی سایبری نصب نکرده اید، اما نسخه های پشتیبان را به عنوان بخشی از سیستم بازیابی فاجعه نگه می دارید، فقط باید داده هایی را که پس از آخرین نسخه پشتیبان تمیز ذخیره کرده اید، بازسازی کنید. اگر این داده ها به طور جبران ناپذیری آسیب دیدند، باید برای بازسازی آن از متخصص کمک بگیرید.
رویه های امنیت سایبری خود را تجزیه و تحلیل و بهبود دهید
یکی از مهم ترین اقداماتی که باید بعد از یک حادثه سایبری بردارید، تجزیه و تحلیل شکاف های امنیتی خود و یادگیری آنچه می توانید بهبود دهید است. پروتکل های امنیتی خود را تقویت کنید، همه رمزهای عبور را تغییر دهید و به کارمندان خود دستور دهید که همین کار را انجام دهند. آموزش کارکنان بهترین روش برای جلوگیری از نفوذ حملات بعدی به سیستم شماست.
خطرات نداشتن طرح بازیابی
موقعیتی را تصور کنید که به تازگی متوجه شده اید که کسب و کار شما هدف یک حمله سایبری قرارگرفته است. شما هیچ ایده ای در مورد منبع حمله، میزان آسیب، یا هزینه بازیابی از آن ندارید. علاوه بر این، شما یک برنامه واکنش به حوادث سایبری یا برنامه بازیابی فاجعه برای سازمان خود ندارید.
وجود یک طرح بازیابی فاجعه بسیار حیاتی است زیرا شما و تیمتان را قادر می سازد تا یک برنامه سریع و سازمان یافته برای حل بحران اجرا کنید. هر نوع حمله سایبری موفقیت آمیز می تواند باعث هرج و مرج در شبکه و کارکنان سازمان شما شود که این موضوع این می تواند منجر به طولانی زمان پاسخگویی و بازگشت به حالت عادی شود. برای درک بهتر لزوم استقرار طرح بازیابی اجازه دهید نگاهی به برخی از عواقب احتمالی نداشتن آن بیاندازیم.
از دست رفتن داده ها
هنگامی که یک سازمان مورد حمله سایبری قرار می گیرد، داده های حساس سازمان در معرض خطرات جدی قرار میگیرد. در چنین شرایطی، اقدام سریع و ایزوله کردن منبع حمله و تمام سیستم های آسیب دیده بسیار مهم است.
سازمان هایی که برنامه بازیابی ندارند نسبت به سازمان هایی که از قبل فرایند های مدیرت بحران را تهیه و تدوین کردند نیازمند صرف زمان بیشتری برای واکنش به نقض دادهها هستند. هرچه شناسایی و جداسازی یک حمله بیشتر طول بکشد، محافظت از دادهه سختتر خواهد بود چرا که طولانی بودن فرایند شناسایی و مسدود جداسازی منجر به نشت داد ها و یا تخریب هرچه بیشتر آن را به همراه خواهد داشت، در شرایطی که سازمان به هر دلیلی از دادههای خود نسخه پشتیبان تهیه نکرده باشد و یا این داده ها به واسطه رخداد های سایبری مخدوش شده باشند متاسافانه آسیب نقض دادهها جبرانناپذیر خواهد بود.
وقفه کسب و کار
اگر در سازمان شما هیچ راهکار و فرآیندی برای مقابله با شرایط بحرانی اندیشه نشده باشد، یک حادثه سایبری به طور اجتنابناپذیری فعالیتها و کسب و کار سازمان را متوقف خواهد کرد. وجود راهکار ها و فرآیند های مقابله با بجران منجر می گردد که کسب و کار سازمان شما بسیار سریعتر به حالت عادی بگرشته و فعالیت خود را از سر بگیرید. در مقابل یک واکنش آشفته و بی برنامه به حوادث سایبری و بحران ها می تواند وضعیت را بدتر کند و زمان و تلاش لازم برای بهبود را به میزان قابل توجهی افزایش دهد.
بازیابی گران قیمت
هرچه شناسایی و جداسازی یک حمله بیشتر طول بکشد سازمان منابع مالی و اعتباری بیشتری را از دست می دهد. صاحبان مشاغل گاهی اوقات متوجه نمی شوند که بازیابی یا ایجاد مجدد داده های از دست رفته چقدر هزینه دارد.
علاوه بر بار مالی راه اندازی مجدد سرویس ها و زیرساخت ها، عملا در برخی از موارد تولید داده های قبل ممکن است یا امکان پذیر نباشد و یا نیازمند صرف هزینه های سرسام آوری خواهد بود.
طرح کلان بازیابی سایبری
بازگشت به کسب و کار پس از یک حمله سایبری نیازمند رویکرد جدیدی برای تهیه نسخه پشتیبان است. IDC در گزارش اخیر اجرایی خود می گوید که زمان آن رسیده است که قانون قدیمی ۳-۲-۱ را بررسی کنیم. اصل قاعده هنوز پابرجاست. شما باید سه کپی از داده های خود داشته باشید، ذخیره ساز اصلی و دو نسخه پشتیبان به صورت محلی (در دو فرمت NAS، نوار یا درایوهای محلی) ذخیره شده باشند. یک نسخه باید خارج از سایت، در فضای ابری یا ذخیره سازی امن ذخیره شود. در بیشتر موارد، این باید محافظت لازم را در برابر بلایای طبیعی فراهم کند.
قانون ۳-۲-۱-۱
“۱” اضافی در ۳-۲-۱-۱ نشان دهنده ذخیره سازی تغییرناپذیر است. و این کلید بازیابی سایبری است. تغییرناپذیری زمانی است که داده ها به فرمتی یک بار خواندنی تبدیل می شوند که قابل تغییر نیستند. زمانی که در مورد بازیابی سایبری صحبت میکنیم، فضای ذخیرهسازی تغییرناپذیر مطرح میشود، زیرا برخلاف رمزگذاری دادهها، کلیدی وجود ندارد، بنابراین نباید راهی برای معکوس کردن تغییرناپذیری وجود داشته باشد. به زبان ساده، باج افزار نمی تواند فایل های تغییرناپذیر را آلوده کند. IDC میگوید که وقتی با حفاظت مداوم دادهها که دادهها را در هر نوشتن، در بازههای زمانی اندازهگیری شده در ثانیه جمعآوری میکند، جفت میشود، تغییرناپذیری به شما این امکان را میدهد که ظرف چند دقیقه پس از نقض، دادههای خود را بدون تغییر بازگردانید. البته، اقدامات خوب بازیابی و بازیابی به همان اندازه حیاتی هستند.
از این رو نیاز است در کنار سایت DR یک محیط ایزوله و کاملا مجزا برای CR نیز در نظر گرفته شود که این سایت تنها وظیفه پشتیبان گیری و حفظ یکپارچگی داده ها بود و هیچ گونه مکانیزم پردازشی نیز در این سایت صورت نخواهد گرفت و تنها در بازه های زمان منظم از داده های سایت اصلی یک نسخه پشتیبان تهیه و در این سایت به صورت Read Only ذخیره سازی خواهند شد و در شرایط بحرانی و بروز فاجعه سایبری نسخ پشتیبان گیری از این سایت بر روی سایت اصلی بازیابی خواهند شد.