O que é a estratégia de backup do Air Gap? Segurança cibernética, redes e sistemas da Air Gap

Introdução

A ameaça de ataque cibernético é mais real do que nunca, com o número de violações de dados e crimes cibernéticos crescendo em um ritmo alarmante a cada ano que passa. Na verdade, essas taxas de crescimento são tão preocupantes que a Cybersecurity Ventures prevê a ocorrência de um ataque de ransomware em algum lugar do planeta a cada 2 segundos até o ano de 2031, com os custos anuais do ransomware sendo de US$ 265 bilhões. Com a segurança de dados sendo uma prioridade tão grande nos últimos anos (e como a tendência em questão não mostra sinais de parar), é fácil ver por que a segurança de dados se tornou um dos tópicos mais prioritários para a maioria das empresas em todo o mundo.

A abordagem de segurança tradicional geralmente tinha problemas para proteger os dados não armazenados dentro do “perímetro de segurança” em torno da rede interna da empresa. Em seu lugar, foi apresentada uma abordagem de segurança centrada em dados para esses problemas. O método de segurança centrado em dados usa muito contexto para proteger os dados em si, e não o perímetro fixo.

A definição de air gapping e backup air gapped

O air gapping é um conceito relativamente antigo no contexto da segurança de dados. Ele também costuma ser a última linha de defesa contra falhas no sistema ou atos mal-intencionados contra as informações confidenciais de uma empresa. O air gapping é uma medida de segurança que usa o isolamento físico de outros dispositivos e redes para impedir o acesso não autorizado a informações confidenciais.

A maneira mais curta de descrever como o air gapping funciona é a palavra “isolamento”. O air gapping implica a separação física de um dispositivo ou de uma rede de dispositivos de influências externas, incluindo conexões físicas e sem fio, o que significa que os clientes de FTP, navegadores e clientes de e-mail dentro dessa rede estão totalmente desconectados do resto do mundo.

Os backups airgapped seguem a mesma lógica – são backups de sistema armazenados de uma maneira muito particular, cortando completamente a capacidade dos dados airgapped de se conectarem com o restante da infraestrutura. Essa é uma das proteções mais básicas contra as formas modernas de ransomware que agora podem encontrar e afetar os backups juntamente com os arquivos originais.

Diferentes tipos de sistemas com air gap

Não existe apenas um único padrão de segurança de air gap que deva ser seguido. Na verdade, existem diferentes tipos de estratégia de backup de air gap, tais como:

1. A abertura lógica de ar é um tipo um tanto incomum ou “impuro”, pois a própria definição de abertura de ar implica que é necessário haver um isolamento físico para que o conceito funcione. No entanto, o air gapping lógico visa manter os dispositivos ou sistemas dentro da mesma rede fisicamente, mas separando-os logicamente. Há várias maneiras de realizar esse tipo de separação. A maioria requer sistemas e tecnologias avançados, como uma combinação de RBAC (controle de acesso baseado em função) e criptografia de dados.
2. A separação isolada do ar consiste em ter um sistema localizado no mesmo ambiente que o restante dos dispositivos, mas não conectado à mesma rede. Esse arranjo pode ser útil em alguns casos, mas também anula o objetivo do isolamento de ar até certo ponto.
3. O air gapping físico é o caso principal que discutimos acima – uma separação física completa de um sistema ou rede, incluindo hardware e software. Uma separação completa do hardware é para esse tipo de air gapping, e também há muitos casos em que medidas de segurança adicionais são instaladas para esse novo local remoto – a maioria girando em torno de restrições de acesso físico.

Variações de uma estratégia de backup de air gap

As estratégias de backup de air gap podem ser complicadas, pois apenas alguns métodos de armazenamento podem suportar essa técnica. Podemos usar duas categorias principais para explicar as diferentes variações de backups de air gap: nuvem e fita.

Nuvem

O armazenamento em nuvem, tanto público quanto privado, se enquadra na definição de air gapping em um aspecto técnico, pois os dados em questão são armazenados em um armazenamento em nuvem separado da infraestrutura física original. Dessa forma, o ransomware não pode viajar da infraestrutura física para o armazenamento em nuvem.

Alguns provedores de armazenamento em nuvem também têm serviços específicos para arquivamento de dados de longo prazo como uma contramedida direta contra o ransomware. Geralmente é mais barato e leva mais tempo para ser recuperado quando necessário. No entanto, o fato de esses dados não poderem ser acessados imediatamente é outra camada de proteção que tecnicamente se enquadra no termo “air gapping”.

Fita

O backup em fita é geralmente considerado a estratégia “original” de backup com air gap, pois se presta prontamente à separação física de qualquer rede quando a fita real é removida da unidade. Portanto, o armazenamento em fita é um ambiente perfeito para o armazenamento de dados off-line e com air gap. Para deixar claro, a própria fita pode até ser ejetada do armazenamento em fita após o término do processo de gravação, criando uma separação física completa entre a cópia de dados e sua versão original.

A necessidade de interação manual com o armazenamento em fita nem sempre está em harmonia com a digitalização e a automação contínuas do setor de backup, em que há uma tendência de arquiteturas de TI “sempre ativas”. No entanto, essa tendência se desenvolveu antes do aumento maciço dos ataques de ransomware, e é um preço pequeno a pagar por uma medida de proteção de dados altamente eficaz contra ransomware e outros tipos de ataque.

Com relação a isso, vale a pena mencionar outra tática de backup no contexto do air gapping, embora não seja o mesmo processo. A tática em questão é chamada de imutabilidade de dados.

Imutabilidade versus air gapping

O air gapping, como tópico, compartilha muitas semelhanças com outro elemento do setor de backup: a imutabilidade dos dados. Supõe-se que tanto os backups imutáveis quanto os com air gapping ofereçam alguma forma de proteção contra ransomware e, ao mesmo tempo, cumpram as estruturas de conformidade necessárias. No entanto, também há várias diferenças entre eles.

O fator potencial mais significativo do armazenamento imutável no aumento de custos é o crescimento exponencial da empresa e o consequente aumento do volume de armazenamento de dados. Como alternativa, os backups com air gap teriam um aumento de custo a longo prazo devido à necessidade de manter o estado físico adequado do armazenamento com air gap (como fita).

Os valores objetivos do tempo de recuperação também diferem significativamente entre essas estratégias de backup. O armazenamento imutável é mais rápido, em média, mas também é suscetível a muitos problemas com os quais o air gapping não precisa lidar, seja personificação, falha de rede etc.

No final das contas, ambas as estratégias contribuem significativamente para uma estratégia de backup bem-sucedida. Elas também não precisam ser mutuamente exclusivas – há muitos exemplos de backups imutáveis e tecnologias de air gapping operando em uníssono para uma melhor proteção de dados, maior resiliência de dados e assim por diante.

Vulnerabilidades de segurança do air gap

O air gapping oferece um nível considerável e altamente significativo de proteção para seus backups contra ameaças cibernéticas. No entanto, é importante entender que o air gapping não é uma solução para todos os problemas de segurança de backup. Os sistemas de backup com air gapping têm seus problemas e vulnerabilidades, embora a maioria deles seja extremamente específica para cada caso e seja improvável que seja usada por alguém sem intenção maliciosa real.

Como mencionamos anteriormente, embora seja extremamente difícil infectar ou influenciar um sistema de backup com air gap usando redes com ou sem fio, ainda pode haver maneiras (embora bastante exóticas!) de violar os backups com air gap. Por exemplo, uma solução chamada AirHopper foi apresentada em 2014, mostrando uma maneira de transferir dados de um sistema de backup com air gap para um telefone celular com um padrão de ataque bifurcado transferido por meio de sinais de frequência FM.

Outro método (publicado em 2015), chamado GSMem , usa uma ideia semelhante de extrair dados de um sistema com lacunas de ar, mas esse usa frequências de celular para fazer isso, usando um barramento interno padrão que pode ser conectado a praticamente qualquer computador comum.

Há também várias pesquisas sobre como os dispositivos USB infectados podem vazar dados de sistemas com air gap – o ProjectSauron é um desses exemplos, descoberto em 2016 (embora tenha operado sem ser detectado por cerca de cinco anos antes disso) e mostrando como as partições ocultas do Windows podem ser usadas como canais de transporte de um sistema com air gap para um computador comum.

A comunicação por campo de proximidade (NFC) também foi uma tecnologia transformada em um gateway para sistemas com air gap, com uma solução chamada NFCdrip que foi apresentada em 2018. Ela também mostrou como a NFC tem recursos muito maiores do que a maioria das pessoas imagina, oferecendo até 100 metros de alcance efetivo em casos específicos.

Obviamente, esses são apenas alguns exemplos de como uma pessoa pode, teoricamente, acessar sistemas de ar comprimido com experiência suficiente nessas tecnologias. No entanto, vale a pena observar que grande parte dessa pesquisa foi realizada como uma prova de conceito, e não como uma solução pronta para invadir sistemas com entreferro.

Benefícios de um sistema de backup com abertura de ar

• Imunidade à maioria das ameaças à segurança. O maior motivo pelo qual os backups com air gap são considerados vantajosos em termos de segurança é bastante simples: a grande maioria das ameaças à segurança é disseminada pela Internet ou pela capacidade de conexão das estações de trabalho e dos PCs comuns, bem como de todos os tipos de outros dispositivos diferentes.
• Adição útil às medidas de segurança de backup existentes. O estado geral de um sistema com air gap que atua como uma cópia de backup também é uma ótima maneira de combater alguns dos métodos mais não convencionais que o ransomware ou as ameaças internas podem trazer. Um desses problemas é quando um vírus ou uma pessoa mal-intencionada tenta sabotar todas as cópias dos dados da empresa antes de adulterar o original – para garantir que não haja recuperação possível de um ataque de ransomware ou de um evento de exclusão de dados. Dessa forma, a natureza isolada de um sistema com air gap torna muito mais difícil que esse tipo de sabotagem seja 100% bem-sucedido, aumentando as chances de recuperação da empresa. No entanto, deve ficar claro que alguns fornecedores descrevem seus produtos como “Air Gapped” quando não há separação física real do dispositivo de armazenamento. A Bacula recomenda que os leitores tomem cuidado com essa alegação.
• Implantação mais fácil de hardware ou software legado. Sobre o tópico das vantagens do air gapping, uma delas pode ser em relação ao software legado. A falta de conexão com a Internet pode possibilitar a implementação de software legado sensível de forma mais confiável quando ele está em um ambiente com isolamento acústico, garantindo que ele não possa se atualizar acidentalmente para uma versão mais recente e se tornar inutilizável para o uso pretendido. O uso de software legado tem seus riscos; no entanto, é difícil que alguns tipos de software sejam atualizados com frequência suficiente para acompanhar a velocidade geral do desenvolvimento tecnológico, especialmente quando se trata de software ou hardware específicos.

Outra vantagem do air gapping são suas qualidades complementares para garantir que pelo menos uma cópia dos dados de uma empresa sobreviva, não importa o que aconteça. Nesse contexto, o air gapping é parte integrante da conhecida estratégia de backup “3-2-1” já usada por muitas organizações.

Estratégias de backup: 3-2-1 e 3-2-1-1-0

A essência da regra de backup “3-2-1” é que sempre deve haver pelo menos três cópias de seus dados, com pelo menos dois meios de armazenamento diferentes envolvidos no armazenamento de seus backups, e pelo menos uma cópia de seus dados é sempre armazenada fora do local – longe da rede interna de sua empresa e fisicamente longe do local do escritório principal. A última parte dessa regra – uma cópia de backup armazenada fora do local – é um caso de uso perfeito para a implementação do air gapping, garantindo que seus dados não sejam completamente perdidos, independentemente do tipo de problema que o senhor encontrar.

É claro que a estratégia de backup “3-2-1” foi introduzida há muito tempo, e o setor mudou várias vezes desde então. O air gapping é apenas um dos muitos exemplos de como novas tecnologias estão sendo introduzidas nesse campo para melhorar a segurança dos dados. Nesse contexto, novas versões de estratégias existentes também começam a aparecer. Um exemplo disso é a estratégia de backup “3-2-1-1-0”, que funciona como uma extensão da estratégia “3-2-1” mencionada anteriormente.

A estratégia em questão amplia a lógica da estratégia “3-2-1”. Ela acrescenta a necessidade de que pelo menos uma cópia dos dados esteja completamente off-line e com air-gap, além de realizar verificações de integridade dos dados nos dados de backup para garantir que não haja elementos corrompidos ou ausentes. Dessa forma, as tentativas do ransomware de afetar os dados de backup e os possíveis erros humanos são resolvidos ou severamente atenuados.

No entanto, também é importante lembrar que o air gapping não é necessariamente uma solução perfeita para todos os problemas de segurança. A abordagem de segurança do air gap tem vários problemas, que vão desde o inconveniente geral até uma desvantagem significativa na forma do fator humano.

Condenações de um sistema de backup com abertura de ar

• Dificuldades para interagir com um armazenamento de backup com abertura de ar. O problema em questão inclui o trabalho extra em potencial envolvido na adição, modificação e remoção de dados de um dispositivo de armazenamento com isolamento de ar. Como todas as interfaces de conexão com e sem fio foram removidas, a única maneira de acessar esses dispositivos de armazenamento é usar algum tipo de método externo acoplável de transferência de dados – e, é claro, esse é o objetivo do air-gapping.
• “Fator humano”. Como a totalidade das interações com um sistema com isolamento de ar normalmente depende de entrada humana, há sempre uma chance de que uma das medidas de segurança em vigor possa não ser redefinida corretamente ou protegida de forma adequada, criando uma porta de entrada para os invasores usarem. Os exemplos podem ser uma porta destrancada, uma porta USB desprotegida ou até mesmo um funcionário mal-intencionado. Também há problemas com atualizações de segurança regulares e dispositivos de IoT próximos ao servidor. No entanto, ambos podem ser contornados se for dada atenção suficiente à tarefa.
• Gerenciamento problemático. A questão aqui é a praticidade absoluta de gerenciar esse sistema, sistemas ou redes autônomas que precisam de air gap. Um exemplo disso poderia ser um grande aeroporto militar. Um funcionário ou um terceiro com intenção maliciosa poderia afetar ou comprometer o sistema. O grande volume de pessoas e sistemas de TI aumenta o perigo de comprometimento; os grandes aeroportos militares geralmente têm processos que requerem dezenas, se não centenas, de pessoas dentro de seus perímetros físicos; é fácil ver como isso se torna um problema para o conceito de air gap. Pode ser difícil implementar e aplicar continuamente medidas de segurança (como a estratégia de backup do air gap), incluindo o monitoramento e o controle de todas as pessoas próximas a portas USB ou unidades de fita.

Dessa forma, há vantagens e desvantagens em um sistema com air gap. Ele tem o potencial de ser uma excelente opção de segurança. No entanto, a quantidade de trabalho necessária para fortalecê-lo é o motivo pelo qual algumas organizações só usam o air gapping para alguns de seus dados mais críticos.

Exemplos de sistemas de segurança cibernética de air gap

Aqui estão alguns exemplos de casos de uso de air gapping:

• Os servidores de jogos de loteria em nível estadual e nacional precisam ser completamente isolados por padrão para excluir qualquer possibilidade de fraude na loteria.
• As bolsas de valores e outros sistemas de computadores financeiros precisam ser isolados por um motivo semelhante: a possibilidade de distribuição de informações fraudulentas.
• Sistemas críticos para a vida, em muitas formas, precisam ser protegidos por air gap – e há muitos exemplos desses sistemas, desde hardware médico computadorizado e sistemas de controle de aviação até controles de usinas nucleares. As consequências desastrosas do comprometimento de até mesmo um desses sistemas ilustram por que todos eles podem ter que ser hermeticamente fechados.
• Os sistemas de controle industrial em vários campos devem ter apenas as melhores medidas de segurança possíveis por vários motivos. Um bom exemplo é o campo de produção de petróleo e gás, com sistemas SCADA (controle de supervisão e aquisição de dados) que precisam de proteção.
• Muitas redes e sistemas relacionados ao governo devem ser protegidos por air gap, assim como redes militares, usinas nucleares etc.

Observe que algumas versões desses sistemas podem não ser mais consideradas verdadeiramente isoladas, pois algumas delas adicionaram recursos que permitem estabelecer uma conexão temporária com a Intranet ou com a Internet pública, seja para atualizações de segurança, monitoramento ou transferência de dados.

Backups de intervalo de ar e conformidade

A recomendação – ou mesmo a exigência – de usar a regra 3-2-1 (e o air gapping como sua extensão) está incluída em várias estruturas de conformidade bem conhecidas. Alguns dos exemplos mais populares são HIPAA, GDPR, PCI e NIST. Em nosso exemplo, seria sensato explicar o raciocínio por trás dessa necessidade usando uma dessas estruturas – o NIST.

As estruturas de segurança cibernética do National Institute of Standards and Technology existem para fornecer a todos os tipos de empresas um entendimento claro e conciso de como suas informações confidenciais podem ser protegidas e gerenciadas. Trata-se de uma estrutura voluntária por natureza; ela funciona mais como um conjunto de diretrizes sobre as práticas e os métodos que as empresas podem usar para proteger suas informações, concentrar-se nos possíveis pontos fracos etc.

É importante observar que as soluções de backup podem ter interpretações diferentes dos padrões do NIST, oferecendo ferramentas e métodos melhores (ou piores) para estar em conformidade com o NIST. Por exemplo, o air gapping e a imutabilidade podem ter interpretações diferentes no contexto de vários softwares de backup. Outro bom exemplo é a variedade de tipos de dados com os quais a solução pode trabalhar perfeitamente.

O cumprimento de vários requisitos de conformidade no contexto de backups aéreos especificamente e da segurança de backup como um todo exige uma solução de backup qualificada e abrangente com várias abordagens para requisitos específicos de TI, várias ferramentas centradas em backup, suporte para muitos tipos de armazenamento etc.

Conclusão

O air gapping é um conceito que oferece um nível de segurança praticamente sem precedentes para os dados mais essenciais e confidenciais de uma empresa. O Air gapping continua sendo uma abordagem popular de segurança de dados até hoje, protegendo as informações de centenas e milhares de empresas. Como resultado dos frequentes ataques de ransomware, que têm como alvo até mesmo os próprios sistemas de backup e recuperação, o air gapping está, até certo ponto, de volta aos holofotes.

Para as muitas organizações que exigem o air gapping como parte de sua estratégia de segurança e necessidades de continuidade de negócios, o Bacula Enterprise oferece um software especialmente seguro, avançado e flexível para fornecer de forma rápida e fácil backup e recuperação altamente seguros, integrando metodologias de air gapping até mesmo nos ambientes de TI mais complexos.

O Bacula é usado por algumas das maiores organizações de defesa do mundo, bem como por um grande número de empresas de médio e grande porte que tratam a segurança e a continuidade dos negócios como primordiais. A arquitetura de software do Bacula e os recursos específicos de segurança o tornam excepcionalmente robusto contra ransomware e outros malwares, quando comparado a outros fornecedores de backup e recuperação. O Bacula recomenda que a proteção de dados de qualquer organização seja levada excepcionalmente a sério; entre em contato com o Bacula para falar com um especialista sênior em software de backup e recuperação altamente seguro.