Isolate Restore Environment (IRE), bilgisayar sistemlerinde veri ve uygulamaların güvenli bir şekilde yedeklenmesini ve geri yüklenmesini sağlayan bir teknolojidir. Bu teknoloji, veri kaybını önlemek ve iş sürekliliğini sağlamak için kullanılır. IRE, bilgisayar korsanlarının veya kötü amaçlı yazılımların neden olduğu veri kaybını tersine çevirmek için geliştirilmiştir.
IRE Nasıl Çalışır?
IRE, bilgisayar sistemlerinin anlık bir görüntüsünü oluşturarak çalışır. Bu görüntü, tüm verileri, ayarları ve uygulamaları içerir ve sistemin tam bir kopyasıdır. Bu kopya, sistemde herhangi bir sorun oluştuğunda veya kötü amaçlı bir saldırı gerçekleştiğinde kullanılabilir.
IRE, sistemin normal işleyişini kesintiye uğratmaz. Veri ve uygulamaların çalışmasını sürdürebilir ve aynı zamanda bir yedek oluşturabilir. Bu, iş sürekliliği için kritik bir faktördür, çünkü işletmeler veri kaybını en aza indirmek ve operasyonlarını sürdürmek isteyecektir.
IRE’nin Avantajları Nelerdir?
Veri Koruma: IRE, verilerinizi beklenmedik olaylara karşı korur. Bu olaylar, kötü amaçlı yazılımlar, sistem çökmeleri veya doğal felaketler gibi çeşitli nedenlerle ortaya çıkabilir.
İş Sürekliliği: IRE, iş sürekliliğini sağlama konusunda kritik bir rol oynar. Sistemde bir sorun olduğunda, IRE sayesinde işlemler hızla eski haline getirilebilir.
Hızlı Kurtarma: IRE’nin bir diğer avantajı, hızlı bir kurtarma süreci sunmasıdır. Veri ve uygulamaları geri yüklemek için uzun süreler beklemek zorunda kalmazsınız.
IRE Kimler için Uygundur?
IRE, özellikle işletmeler için önemlidir. Büyük veya küçük işletmeler, veri kaybını önlemek ve iş sürekliliğini sağlamak için IRE teknolojisini kullanabilirler. Ayrıca, IRE kişisel bilgisayar kullanıcıları için de mevcuttur ve kişisel verilerin kaybını önlemeye yardımcı olabilir.
IRE Teknolojisinin Uygulama Alanları
Isolate Restore Environment (IRE) teknolojisi, çeşitli uygulama alanlarında kullanılabilir. İşte bu teknolojinin bazı örnekleri:
Kurumsal IT Altyapısı: Büyük işletmeler, veri merkezleri ve sunucuları için IRE kullanarak iş sürekliliği sağlayabilirler. Özellikle kritik iş uygulamaları için bu tür bir teknoloji, veri kaybını ve iş kesintilerini önlemeye yardımcı olur.
Küçük İşletmeler ve Esnaf: Küçük işletmeler ve esnaflar, IRE teknolojisini kullanarak önemli iş verilerini ve müşteri bilgilerini koruyabilirler. Bu, işletmelerin veri kaybı nedeniyle müşteri güvenini kaybetmelerini önler.
Kişisel Bilgisayarlar: Bireyler, kişisel bilgisayarlarında IRE kullanarak önemli belgeleri ve dosyaları koruyabilirler. Özellikle fidye yazılımları gibi siber tehditlere karşı ek bir savunma sağlar.
IRE’nin Zorlukları
IRE teknolojisi, büyük avantajlar sunsa da bazı zorluklarla da karşılaşabilir:
Maliyet: IRE sistemleri genellikle maliyetlidir. Hem donanım hem de yazılım gereksinimleri yüksektir. Bu nedenle küçük işletmeler için yatırım yapmak zor olabilir.
Yedekleme Süreleri: İlk yedeklemenin yapılması ve ardından sürekli güncellemelerin takip edilmesi gerekebilir. Bu, bazı durumlarda kaynak ve zaman gerektirir.
Kullanım Karmaşıklığı: IRE teknolojisi, karmaşık bir yapıya sahip olabilir ve doğru konfigürasyon gerektirebilir. Bu nedenle, kullanıcıların bu teknolojiyi doğru bir şekilde kullanmaları için eğitim almaları gerekebilir.
İzole Kurtarma Ortamı (IRE) Nasıl Oluşturulur?
Ransomware, şirketler için en büyük siber güvenlik tehditlerinden biridir. Sophos’un 5.000’den fazla kuruluşu içeren bir anketine göre, 2022 yılında %66’sı ransomware saldırısına uğradı. Ransomware saldırılarının sıklığı o kadar yüksektir ki artık bir organizasyonun “eğer” değil, “ne zaman” saldırıya uğrayacağı sorusu değil, bir gerçektir. Çünkü ransomware, kritik verileri, uygulamaları ve sistemleri şifreler ve bir saldırı işletmeyi son derece olumsuz etkileyebilir. Kurtarma süresi ne kadar uzun sürerse, kaybedilen gelir o kadar fazla olur.
Ransomware kurtarma sürelerini azaltmak için şirketlerin önleme ve tespit odaklı yaklaşımlarından uzaklaşmaları ve daha fazla zaman ve kaynak harcamaları gerekmektedir. Ransomware kurtarma özellikle kötü amaçlı kodunun nasıl kolayca üretimden yedek verilere ve sistemlere yayılabildiği için zor bir süreçtir. Gartner’daki uzmanlara göre ihtiyaç duyulan şey, üretim altyapısından tamamen ayrılan özel bir izole kurtarma ortamıdır (IRE).
Bir kurtarma ortamı, ransomware ve diğer siber güvenlik ihlallerinden kurtulma konusuna atanmış olan sistemler ve ağ kaynaklarından oluşur. Kurtarma ortamı, ekiplerin verileri geri yüklemek ve uygulamaları yeniden oluşturmak için çalıştığı yerdir, bu işlemler üretim ağına geri yüklenmeden önce gerçekleştirilir.
Birçok organizasyon, kurumsal ağı üzerinde izole bir VLAN oluşturarak bir kurtarma ortamı uygular. Ancak, kurtarma ortamının üretim ağına bağımlılığı varsa, ransomware’ın erişimi kesme riski vardır. Örneğin, kötü amaçlı yazılım kimlik doğrulama sistemlerini, yönlendiricileri veya anahtarları enfekte ederse, yöneticiler kurtarma VLAN’ına erişimlerini kaybedebilirler. Ayrıca, üretim bağımlılıkları ransomware’ın kurtarma ortamına sıçramasına ve sistemleri yeniden enfekte etmesine olanak tanır.
İzole bir kurtarma ortamı (IRE), üretim ortamından tamamen bağımsız olan belirtilmiş bir ağ altyapısı kullanır. IRE, Retention Lock, rol tabanlı erişim kontrolü (RBAC) ve out-of-band (OOB) yönetim gibi araçları kullanarak yöneticilerin yeniden enfeksiyon riski olmadan kritik iş hizmetlerini hızla kurtarmalarını sağlar.
İzole Kurtarma Ortamı Nasıl Oluşturulur?
İdeal bir IRE, üç temel kavram etrafında inşa edilir: Survivable data,Separation ve isolation,Designated infrastructure.
Survivable data
Ransomware verileri ve sistemleri şifreler ve bir fidye (genellikle kripto para birimi biçiminde) karşılığında şifre çözme anahtarını almak için bir fidye talep eder. Ancak saldırganlar, ödüllerini aldıktan sonra geçerli bir şifre çözme anahtarı sağlayacaklarına dair bir garanti yoktur, bu nedenle maliyeti ve riski tamamen ortadan kaldırmak için temiz yedek verilere sahip olduğunuzdan emin olmanız en iyisidir. Bu yedekler, sağlam veriler olarak adlandırılır – saldırganlar tarafından kaldırılamayan veya şifrelenemeyen veriler.
Yedek verilerinizin sağlam olduğundan emin olmak için şunları uygulamalısınız:
Immutability: Bir şey, hiçbir şekilde değiştirilemiyorsa, örneğin değişmez altyapı gibi, bu, ransomware ve diğer kötü amaçlı yazılımların dosyaları şifrelemesini veya bozmasını imkansız kılar. Veri değişmezliği, Retention Lock gibi araçlarla uygulanabilir.
Encryption: Yedek verilerin hem iletim sırasında hem de dinlenirken şifrelenmiş olması gerekir. Bu, verileriniz zaten şifreliyse, ransomware’ın kendi şifrelemesini uygulamasını çok daha zorlaştırır. Ayrıca, verilerin iletim sırasında şifrelenmesi, saldırganların üretim, yedek ve kurtarma ortamları arasında hareket ederken onu yakalamasını ve çalmasını daha zorlaştırır.
RBAC: Rol tabanlı erişim kontrolü veya RBAC, hesabın rolüne veya işlevine dayalı erişimi kısıtlayan politikalara atıfta bulunur (örneğin, ‘yöneticiler’ veya ‘insan kaynakları’ gibi).
Kurtarma çabaları, kötü amaçlı yazılımın üretim ağına geçme riski olmadan izole bir ortamda gerçekleştirilmelidir. Yeniden kurtarılan sistemler, uygulamalar ve veriler, üretime yeniden entegre edilmeden önce temiz olduğundan taranmalı ve doğrulanmalıdır. Bu yalnızca belirtilmiş bir ağ altyapısı kullanarak tamamen izole bir ortam oluşturularak başarılabilir.
MFA: Çoklu Faktör Kimlik Doğrulama, kullanıcıların bir sisteme veya uygulamaya erişmeden önce kimliklerini birden fazla yöntemle kanıtlamalarını zorlar. Örneğin, bir yönetici, kimliklerini kanıtlamak için kullanıcı adı ve şifrelerini sağlaması gerekebilir, ayrıca yetkilendirilmiş mobil cihazlarına veya e-posta adreslerine gönderilen altı haneli bir kodu girmeleri gerekebilir, böylece kendileri olduklarını kanıtlayabilirler. Bir saldırgan bir yöneticinin kullanıcı adını ve şifresini çalırsa, MFA, onların yedek sistemlere erişmesini, çalmasını veya şifrelemesini engeller.
Designated infrastructure
IRE, üretim ağından hem fiziksel hem de mantıksal olarak ayrılmalıdır, böylece sistem, uygulama ve veri restorasyonu için tamamen temiz bir ortamın olduğundan emin olunur. Bu, IRE’nin kendi yönlendiricileri, switchleri, depolama cihazları, hesaplama seçenekleri ve güç içermesi gerektiği anlamına gelir. Ayrıca, IRE’nin kendi out-of-band (OOB) kontrol düzlemine sahip olması gereklidir ki bu, LAN veya WAN’ın konfigürasyon hataları veya diğer sorunlar nedeniyle çökmesi durumunda bile yöneticilerin IRE’ye sürekli uzaktan erişim sağlar.
Ayrıca, ekiplerin IRE içinde güvenlik araçlarına erişimi olması gerekecektir, bu nedenle bu araçlar saldırı meydana gelmeden önce yapılandırılmalı ve hazır olmalıdır. Organizasyonlar ayrıca izole kurtarma ortamının tüm yedek verileri ve sunucu yeniden inşalarını işleyebilecek kadar depolama alanına sahip olduğundan emin olmalıdır.
İzole Kurtarma Ortamı (IRE) Oluşturmak İçin Ek Kaynaklar
İzole bir kurtarma ortamı (IRE), yöneticilere bir fidye yazılımı saldırısı sırasında kritik iş hizmetlerini yeniden inşa etme ve geri yükleme için bir ortam sağlar. Sağlam veri yedeklemeleri, tam izolasyon ve belirtilmiş altyapı, kurtarma operasyonlarının bütünlüğünü korumak ve yeniden enfeksiyonu önlemek için gereklidir.
Bir IRE’yi özellikle büyük ölçekte uygulamak ve kullanmak çok fazla zaman ve çaba gerektirir. Otomasyon, bu süreçleri hızlandırmak ve insan hatalarını azaltmak için kilit bir unsurdur. Organizasyonlar, ihlaller, doğal felaketler ve diğer kesintiler sırasında dayanıklılığı ve iş sürekliliğini sağlamak için ağ otomasyonunu kullanabilirler.
Ransomware tehdidi giderek artmaktadır ve organizasyonlar güvenliklerini sağlamlaştırmak için izole kurtarma ortamları oluşturarak bu tehdide karşı daha iyi korunabilirler. İzole bir kurtarma ortamı, organizasyonların hızlı ve güvenli bir şekilde normale dönmesini sağlayabilir ve ransomware saldırılarına karşı daha dirençli hale getirebilir.
Döküman için Mehmet Sait YILMAZ’a teşekkürler