เปิดใช้งานระบบการป้องกันข้อมูลจาก Ransomware และ Cyber attack ด้วย IBM FlashSystem Safeguarded Copy ได้ฟรี!!! และสร้างความปลอดภัยขั้นสุดด้วยการผนึกกำลังกับ IBM QRadar
เมื่อปีที่แล้วจนกระทั่งเริ่มต้นปีใหม่ปีนี้ก็ยังคงร้อนแรงอย่างต่อเนื่องสำหรับสถานการณ์ภัยคุกคามของโรคระบาด และที่ไม่แพ้กันเลยก็คือภัยคุกคามทางโลก IT ที่นับวันจะยิ่งทวีความซับซ้อนและรุนแรงมากขึ้น ถือว่าเป็นภัยใกล้ตัวที่มีความเสี่ยงสูงมากสำหรับทุกหน่วยงาน ถ้าหากยังไม่มีการเตรียมความพร้อมในการรับมือกับสิ่งเหล่านี้ ก็อาจจะสร้างความเสียหายอย่างมหาศาลให้กับหน่วยงานของคุณได้
ในเบื้องต้นจะขอกล่าวถึง IBM FlashSytem ที่ได้มีการนำเสนอวิธีการสร้าง Data Protection และการรับมือกับภัยคุกคามในยุคปัจจุบันไว้หลากหลายรูปแบบ (ตามภาพด้านล่าง) เพื่อให้ธุรกิจสามารถดำเนินต่อได้โดยไม่มีสะดุด (Business Continuity) แม้เกิดเหตุการณ์ที่ไม่คาดฝันใดๆ ก็ตาม
[img]https://i.imgur.com/Gtn1skT.png[/img]
และในครั้งนี้เราจะขอนำเสนอโซลูชันที่มีความสามารถในเรื่องของการช่วยปกป้องข้อมูลของคุณจาก Cyber Attack ด้วยการจัดเก็บสำเนาที่แก้ไขเปลี่ยนแปลงไม่ได้ (Immutable Copy) ซึ่งนับได้ว่าเป็นวิธีการอีกอย่างหนึ่งในเรื่องของการทำ Data protection ที่ช่วยให้เราคงสภาพของข้อมูลให้มีความปลอดภัยจากการถูกโจมตีจาก ransomware หรือจากการทำลายข้อมูลของผู้ไม่ประสงค์ดี รวมทั้งการลบข้อมูลแบบไม่ได้ตั้งใจของผู้ดูแลระบบ ด้วยความสามารถของ IBM FlashSystem Safeguarded Copy
สำหรับลูกค้าที่ใช้งาน IBM FlashSystem อยู่แล้วสามารถเปิดใช้งานฟังก์ชั่น Safeguarded Copy นี้ได้ฟรี!!!
##สำเนาที่แก้ไขเปลี่ยนแปลงไม่ได้ หรือเรียกว่า Immutable copy คืออะไร ?
รูปแบบการทำสำเนาที่แก้ไขเปลี่ยนแปลงไม่ได้ หรือเรียกว่า Immutable copy มีอยู่ด้วยกัน 2 รูปแบบสำหรับใช้ในการจัดเก็บสำเนาข้อมูล (Snapshot) ให้ปลอดภัย ซึ่งอธิบายหลักการทำงานแบบเข้าใจง่ายๆ ได้ดังนี้
- การจัดเก็บสำเนาข้อมูลไว้บน Storage ชุดเดียวกันกับต้นฉบับ (Primary volume) แต่ว่าพื้นที่จัดเก็บข้อมูลต้นฉบับกับพื้นที่จัดเก็บข้อมูลชุดสำเนา(Snapshot) จะมีการแยกขาดแบบเสมือน (logically air-gapped) คือไม่สามารถเข้าถึงข้อมูลซึ่งกันและกันได้ แม้จะอยู่บน Storage ชุดเดียวกันก็ตาม กล่าวคือ Host Server ที่เชื่อมต่อใช้งานไม่สามารถมองเห็นหรือใช้งาน logically air-gapped นั้นได้
- การจัดเก็บสำเนาข้อมูลไว้ที่หน่วยจัดเก็บข้อมูลประเภทอื่นที่เป็นคนละชุดกัน ไม่ว่าจะเป็น Cloud Storage, TAPE หรือ Storage อื่นๆ ซึ่งเป็นอุปกรณ์แยกขาดจากกัน (Physically air-gapped) คือเป็นคนละเครื่องกับหน่วยจัดเก็บข้อมูลต้นฉบับ
ไม่ว่าจะใช้วิธีการแยกพื้นที่จัดเก็บข้อมูลบน Storage เดียวกัน (logically air-gapped) หรือแยกไปเก็บไว้ที่อุปกรณ์อื่น (Physically air-gapped) ก็ตาม “การที่จะเรียกได้ว่าเป็น Immutable copy นั้น ข้อมูลสำเนา (Snapshot) ที่จัดเก็บนั้นจะต้องไม่สามารถถูกมองเห็นหรือเข้าถึงได้จาก Host Server ที่เป็นเจ้าของข้อมูลต้นฉบับนั้นได้ และนอกจากนี้จะต้องไม่ถูกแก้ไข, ถูกเข้ารหัส, หรือเปลี่ยนแปลงไป ในกรณีที่ข้อมูลหลัก(Primary volume) ถูกโจมตีโดย ransomware จึงจะเรียกได้ว่าเป็น Immutable copy อย่างสมบูรณ์”
จากสิ่งที่ได้กล่าวมาข้างต้น “ทางออกของปัญหาทั้งหมดที่เกิดขึ้น เราสามารถแก้ไขได้ด้วย IBM FlashSystem Safeguarded Copy ที่จะช่วยสร้าง Immutable copy ได้อย่างสมบูรณ์และยังสามารถทำการ Restore กลับมาได้อย่างรวดเร็วอีกด้วย
ก่อนจะไปถึงการเตรียมตัวเพื่อเปิดใช้งาน IBM FlashSystem Safeguarded Copy หลายๆ คนอ่านมาถึงตรงนี้ก็คงอยากรู้จักกับ Safeguarded Copy โดยละเอียด ซึ่งผมเองได้กล่าวถึงความสามารถและจุดเด่นของ Safeguarded Copy ไว้แล้วในบทความ “กู้คืนข้อมูลบน Storage จาก Cyber Attack เพื่อให้ธุรกิจไปต่อได้ไม่สะดุดด้วย IBM FlashSystem”
สามารถอ่านได้ที่ลิงค์นี้ https://www.techtalkthai.com/faster-restore-your-storage-after-attacked-with-ibm-storage-safeguarded-copy-by-cu/
ตอนนี้เราก็รู้กันแล้วว่า Safeguarded Copy ทำงานยังไง สามารถช่วยปกป้องข้อมูลของเราได้อย่างไร แต่ก่อนที่เราจะเปิดใช้งาน Safeguarded Copy ในเบื้องต้นเราจะต้องจัดเตรียมสิ่งเหล่านี้ก่อน
- มีเครื่อง IBM FlashSystem ในรุ่น FS5100, FS5200 , V7000 Gen3, FS7200, FS9xx0, SVC
- มีพื้นที่ว่างภายในเครื่อง จะต้องมีเพียงพอตามความต้องการขั้นต่ำที่กำหนดไว้สำหรับการใช้งาน Safeguarded Copy
- IBM FlashSystem จะต้องมี Spectrum Virtualize เวอร์ชั่น 8.4.2 ขึ้นไป “ไม่ว่าจะเป็นลูกค้าใหม่ หรือลูกค้าเก่าที่เครื่องอยู่ในประกันอยู่แล้ว สามารถอัพเดตเวอร์ชั่นของ Spectrum Virtualize เพื่อใช้งาน Safeguarded Copy ได้”
- ถ้าเป็น IBM FlashSystem รุ่น FS5100, V7000 Gen3, SVC จะต้องมี FlashCopy license ลงภายในเครื่องด้วย
##เพิ่มศักยภาพในการปกป้องข้อมูลขององค์กรจาก Cyber Attack ให้ถึงขีดสุดด้วยการผสานการใช้งาน Safeguarded Copy และ IBM QRadar”
IBM QRadar เป็นระบบ Security Information and Event Management (SIEM) system จาก IBM เมื่อนำมาใช้งานร่วมกับ IBM FlashSystem Safeguarded Copy จะยิ่งเพิ่มความสามารถให้กับทีมรักษาความปลอดภัย (Security Admin) ในการตรวจจับ และจัดลำดับความสำคัญของภัยคุกคามที่กระทำต่อข้อมูลสำคัญได้อย่างแม่นยำทั่วทั้งองค์กร
หลายท่านอาจมีข้อสงสัยว่า IBM Storage และ IBM Security Software จะผสานการทำงานร่วมกันได้อย่างไร หรือทำไมต้องนำมาใช้ร่วมกัน
ก่อนอื่นทุกท่านลองจินตนาการว่าผู้โจมตี (Hacker) ทำการโจมตีต่อระบบ IT ในแต่ละครั้งเมื่อเจาะระบบเข้าไปได้สำเร็จ จะมีการปิดบังร่องรอยเส้นทางการโจมตีของตัวเองในขณะที่ปฏิบัติการ ซึ่งแน่นอนว่าการกระทำทุกขั้นตอนมีการบันทึกลงบนหลายอุปกรณ์ที่อยู่ในระบบ เพียงแต่ว่าข้อมูลที่บันทึกลงไปนั้นยากที่มนุษย์จะเข้าใจ อาจกล่าวได้ว่ามนุษย์ไม่อาจเข้าใจข้อมูลทั้งหมดนั้นได้ หรือต่อให้เข้าใจก็อาจจะสายเกินไป ซึ่งการนำ AI เข้ามาใช้วิเคราะห์สิ่งที่มีความซับซ้อนและมีจำนวนมากเหล่านี้ด้วยความเร็วสูง ทำให้ IBM QRadar สามารถเข้าใจเหตุการณ์ที่บันทึกและรูปแบบการเดินทางในระบบเครือข่าย อีกทั้งยังสามารถระบุเหตุการณ์ที่น่าสงสัยได้แบบ Real time รวมถึงเหตุการณ์ที่อาจจะมีความเกี่ยวข้องกัน ทำให้สามารถแจ้งเตือนตามระดับความสำคัญได้อย่างถูกต้อง ทั้งนี้ IBM QRadar จะช่วยให้เรามั่นใจได้ว่าจะไม่มี Cyber Attack อะไรที่ผู้ดูแลระบบจะไม่ได้รับการแจ้งเตือน และสามารถที่จะตอบสนองกับเหตุการณ์นั้นๆ ได้อย่างทันท่วงที
IBM FlashSystem Safeguarded Copy ในส่วนของการทำงานของผู้ดูแลระบบจะมีการแบ่งแยกหน้าที่กันอย่างชัดเจนระหว่าง Admin ที่ดูแล Production data และ Security Admin ที่ดูแล Immutable Copy ที่มีการจัดเก็บข้อมูลด้วย Safeguarded Copies ซึ่งกล่าวเป็นคำพูดสั้นๆ ก็คือ “อย่างน้อยๆ ก็มี Account จำนวน 2 ชุดที่มีหน้าที่แตกต่างกันในการดูแลข้อมูลคนละชุดกัน”
##จะเกิดอะไรขึ้นถ้าหากว่าผู้โจมตีระบบจะมีวิธีในการแฮกข้อมูล Account ของ Security Admin ซึ่งเป็นผู้ที่สามารถเข้าถึง Immutable Copy ที่ดูแลโดย Safeguarded Copy นับว่าเป็นเรื่องที่น่ากลัวมาก
เป็นที่แน่นอนว่าเมื่อเกิดเหตุการณ์เช่นนี้ขึ้น IBM QRadar สามารถตรวจจับการเข้าใช้งานระบบที่มีความผิดปกติ และวิธีการหรือความพยายามในรูปแบบต่างๆ ที่จะทำลาย Safeguarded Copy รวมถึงการเข้าถึง Safeguarded Copy จากหลายที่พร้อมๆ กัน จากสถานที่ที่ผิดปกติได้ นอกจากการตรวจจับเจอสิ่งผิดปกติจากการปฏิบัติการของ Admin โดยปกติแล้ว IBM QRadar ยังสามารถที่จะปิดการกระทำที่เกิดจากการโจมตีนั้นได้ ก่อนที่จะเกิดเหตุการณ์อะไรที่ร้ายแรงขึ้น
##CU as-a-Service พร้อมเติมเต็มระบบการใช้งานโซลูชั่น IBM FlashSystem Safeguarded Copy
จากข้อมูลข้างต้นเราได้เข้าใจเกี่ยวกับระบบการทำงานของ IBM FlashSystem Safeguarded Copy ซึ่งเป็นเทคโนโลยีการสำเนาข้อมูลในรูปแบบ Immutable Copy หรือการทำ Snapshot รวมถึงเทคโนโลยี logically air-gapped เพื่อป้องกันไม่ให้ Host Server สามารถเข้าถึงข้อมูลของเรา และป้องกันการเขียนข้อมูลทับไฟล์อีกด้วย แล้วถ้าหากมีความต้องการใช้งานระบบนี้ จะต้องทำอย่างไร จะต้องเตรียมความพร้อมในเรื่องอะไรบ้าง?
คอมพิวเตอร์ยูเนี่ยน เรามีทีมงาน CU as-a-Service ที่มีความเชี่ยวชาญเฉพาะด้านที่สามารถให้คำปรึกษา รวมถึงการ Implement และติดตั้งระบบ โดยเริ่มตั้งแต่กระบวนการทำงานในส่วนของ IBM FlashSystem ตรวจสอบความพร้อมของอุปกรณ์ และจัดเตรียม Environment ไปจนถึงการ Configuration เปิดใช้งานฟังก์ชัน Safeguarded Copy หลังจากที่เปิดใช้งานฟังก์ชันแล้ว จะมีการทดสอบการใช้งานสำเนาข้อมูล (Snapshot) และการกู้คืนข้อมูล เพื่อให้มั่นใจได้ว่าข้อมูลที่มีการจัดเก็บนั้นยังอยู่ครบ มีความปลอดภัย และสามารถนำไปใช้งานได้ตามปกติ นอกจากนี้ยังมีการฝึกอบรมให้ท่านสามารถใช้งานในระดับ Administrator Operation ได้อีกด้วย
[img]https://i.imgur.com/6EDIUoo.png[/img]
##บทสรุป
IBM FlashSystem Safeguarded Copy สามารถการันตีได้ว่าสำเนาข้อมูล (Snapshot) ของคุณจะไม่ถูกแก้ไข ไม่ถูกเข้ารหัส หรือถูกทำลายจากการถูกโจมตี หรือเกิดจากความผิดพลาดใดๆ และยังสามารถ Restore ข้อมูลกลับมาได้อย่างรวดเร็วเมื่อเกิดเหตุการณ์ไม่คาดฝัน อีกทั้งยังมีการแยกการบริหารพื้นที่จัดเก็บข้อมูลหลัก (Primary Volume) และพื้นที่จัดเก็บสำเนาข้อมูลที่แก้ไขไม่ได้ด้วยผู้ดูแลระบบคนละ Account ซึ่งมีบทบาทหน้าที่แตกต่างกันตาม User Role ที่กำหนดไว้
นอกจากนี้การผสานการใช้งานร่วมกันระหว่าง IBM QRadar และ IBM FlashSystem Safeguarded Copy สามารถการันตีให้คุณมีความมั่นใจได้ว่า อุปกรณ์ที่จัดเก็บข้อมูลของคุณที่จัดเก็บด้วย Safeguarded Copy จะมีความปลอดภัยถึงขั้นสุด และทำให้ไม่ถูกสวมรอยเป็น Security Admin เข้าไปจัดการ Immutable Data ด้วยระบบการตรวจจับที่แม่นยำ และแบบ Real Time จาก Security Information and Event Management (SIEM) system อย่าง IBM QRadar
หมายเหตุ
- เฉพาะฟังก์ชั่น IBM FlashSystem Safeguarded Copy เท่านั้นที่สามารถใช้งานได้ฟรี
- ในบทความนี้ยังไม่รวมค่าใช้จ่ายในส่วนของการ Implement ใช้งาน Safeguarded Copy หรือการจัดเตรียม Environment
- ในส่วนของ IBM QRadar เป็น Software ที่มีค่าใช้จ่ายในเรื่องของ License สำหรับการใช้งาน
หากต้องการสอบถามข้อมูลเพิ่มเติม สามารถติดต่อได้ที่ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด โทร. 02-311-6881 #7151, 7158 หรือ Email. cu_mkt@cu.co.th
ผู้เขียนบทความ
[img]https://i.imgur.com/9pktTKi.png[/img]
คุณเปรมปรี ศรีสุวรรณ
Presales HW Specialist
บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
[img]https://i.imgur.com/oG0aFza.png[/img]
