Onko tallennus-ympäristösi Ransomware suojaus kunnossa?

IBM:n teknologiajohtajuus uhkien havaitsemisessa perustuu ylivertaisiin puolijohdelevyihin, FlashCore-moduuleihin (FCM). Ne ovat aloittaneet uuden aikakauden sisältämällä tehokkaan suorittimen levyn sisäistä kyvykkyyttä parantamaan. FCM:ien etuja ovat mm:

• Quantum Safe -autentikointi, ensimmäisenä markkinoilla
• Tiedon kryptaus ja pakkaus ilman viiveitä ja työkuormarajoitteita
• Nyt uutuutena reaaliaikainen ransomwaren tunnistus, ilman viiveitä ja rajoitteita!
• Tehokkain, kestävin ja silti edullinen
• Huippunykyaikainen: NVMe4-liitäntä, teholliset koot jopa yli 100TB, 77us i/o-nopeus, …

Toimintaperiaate on kuvattuna alla. Kaikki alkaa FCM-levyistä: ne analysoivat jokaisen luku- ja kirjoitusoperaation. Se on mahdollista, koska jokainen levy sisältää riittävän laskentatehon salaukseen ja pakkaukseen. Oheessa syntyy paljon metadataa jota nyt käytetään uudella tavalla.

1. FlashCore Moduulit käsittelevät luonnollisesti jokaisen luku- ja kirjoitusoperaation. Ne sisältävät ainutlaatuisen FPGA-piirin, joka salaa, pakkaa ja optimoi jokaisen operaation ilman viiveitä. Jokainen operaatio myös taulukoidaan ja metadataan tallennetaan mm. historia-, pakkaus- ja paikkatiedot. Nämä tiedot välitetään PCIe4-väyläällä kontrollerille joka toinen sekunti. Ideana on se, että kerätään ne tiedot, josta voi päätellä entropian kasvavan – siis jotain odottamatonta tapahtuu. Esimerkki: nähdään luku/kirjoitus-operaatioita alueille, joita ei ole pitkään käytetty samalla kun kompressiosuhde heikkenee voimakkaasti. Tällöin voisi päätellä, että joku kryptaa tietoja. Se, että kryptaaja on varovainen, ei auta välttämään paljastumista.

FCM-levyt ovat markkinoiden nopeimmat. Tehot ilmoitetaan aina salauksen, pakkauksen ja ransomware-tunnistuksen ollessa päällä. IBM:n menettely onkin ainoa tapa havaita uhat tosiaikaisesti myös kovassa kuormassa. Pullonkauloja tai työkuormarajoitteita ei ole. Ratkaisu myös skaalautuu: levymäärän lisääntyessä myös prosessointikyky kasvaa.

2. FCM-moduulien lähettämät tiivisteet käsitellään AI-koulutetussa inferenssikoneessa levyohjaimessa. IBM on opettanut sen tutkimusyksikössään ja sen tehtävä on antaa tiivisteille merkitys ja varmistaa, että havainnoista saadaan erotettua todelliset anomaliat. Samalla löydökset liitetään loogisiin levyihin ja virtuaalikoneisiin. Ruuhkaisessa levyohjaimessa ei ole mahdollista käydä jokaista lohkoa tutkimaan. Sen sijaan jo kerätyn tiedon esikäsittely onnistuu tosiaikaisesti.
3. Havaittu anomalia lähetetään varmistettavaksi IBM:n telemetriapilveen, IBM Storage Insight Pro -palveluun. Siellä varsinainen tekoäly tutkii järeällä Watson-tekoälyllä havainnon. Se on esiopetettu kaikilla tunnetuilla haittaohjelmilla, mutta tärkeintä on, että se kouluttaa itse itseään jatkuvasti – onhan siihen kytketty valtaisa määrä asiakkaiden todellisia käyttötapauksia. Kun malli kehittyy, se päivitetään myös asiakkaan levyjärjestelmiin takaisin. Näin koko järjestelmä pysyy ajan tasalla ja kyvykkyys muuttuvien uhkien torjumiseksi säilyy.Storage Insight Pro on muutenkin hyödyllinen palvelu: sen avulla on helppo hallita kaikkia IBM-merkkisiä levyjärjestelmiä. Se näyttää historian ja ennustaa tulevan. Mahdolliset huoltokutsut se tekee automaattisesti eikä vian selvittämiseen tarvita asiakkaan aikaa – onhan kaikki telemetriatiedot jo huollon käytettävissä.

4. Havaittu ja varmistettu anomalia aiheuttaa hälytyksen. Tavanomaisten viestien ja sähköpostien lisäksi voidaan ottaa käyttöön integrointi jo hankittuun SIEM-järjestelmään, mikä mahdollistaa automaattiset vasteet. Näitä voisivat olla esimerkiksi riskivirtuaalikoneiden pysäyttäminen, vaarantuneen datan eristäminen myöhempää tutkimusta varten ja korvaavan virtuaalikoneen valmistelu