O que é a estratégia de backup do Air Gap? Segurança cibernética, redes e sistemas da Air Gap

Introdução

A ameaça de ataque cibernético é mais real do que nunca, com o número de violações de dados e crimes cibernéticos crescendo em um ritmo alarmante a cada ano que passa. Na verdade, essas taxas de crescimento são tão preocupantes que a Cybersecurity Ventures prevê a ocorrência de um ataque de ransomware em algum lugar do planeta a cada 2 segundos até o ano de 2031, com os custos anuais do ransomware sendo de US$ 265 bilhões. Com a segurança de dados sendo uma prioridade tão grande nos últimos anos (e como a tendência em questão não mostra sinais de parar), é fácil ver por que a segurança de dados se tornou um dos tópicos mais prioritários para a maioria das empresas em todo o mundo.

A abordagem de segurança tradicional geralmente tinha problemas para proteger os dados não armazenados dentro do “perímetro de segurança” em torno da rede interna da empresa. Em seu lugar, foi apresentada uma abordagem de segurança centrada em dados para esses problemas. O método de segurança centrado em dados usa muito contexto para proteger os dados em si, e não o perímetro fixo.

A definição de air gapping e backup air gapped

O air gapping é um conceito relativamente antigo no contexto da segurança de dados. Ele também costuma ser a última linha de defesa contra falhas no sistema ou atos mal-intencionados contra as informações confidenciais de uma empresa. O air gapping é uma medida de segurança que usa o isolamento físico de outros dispositivos e redes para impedir o acesso não autorizado a informações confidenciais.

A maneira mais curta de descrever como o air gapping funciona é a palavra “isolamento”. O air gapping implica a separação física de um dispositivo ou de uma rede de dispositivos de influências externas, incluindo conexões físicas e sem fio, o que significa que os clientes de FTP, navegadores e clientes de e-mail dentro dessa rede estão totalmente desconectados do resto do mundo.

Os backups com airgap seguem a mesma lógica – são backups do sistema armazenados de uma maneira muito particular, cortando completamente a capacidade dos dados com airgap de se conectarem com o restante da infraestrutura. Essa é uma das proteções mais básicas contra as formas modernas de ransomware que agora podem encontrar e afetar os backups juntamente com os arquivos originais.

Diferentes tipos de sistemas com air gap

Não existe apenas um único padrão de segurança de air gap que deva ser seguido. Na verdade, existem diferentes tipos de estratégia de backup de air gap, tais como

1. O air gapping lógico é um tipo um tanto incomum ou “impuro”, pois a própria definição de air gapping implica que é necessário haver um isolamento físico para que o conceito funcione. No entanto, o air gapping lógico visa manter os dispositivos ou sistemas dentro da mesma rede fisicamente, mas separando-os logicamente. Há várias maneiras de realizar esse tipo de separação. A maioria requer sistemas e tecnologias avançados, como uma combinação de RBAC (controle de acesso baseado em função) e criptografia de dados.
2. A separação aérea isolada consiste em ter um sistema localizado no mesmo ambiente que o restante dos dispositivos, mas não conectado à mesma rede. Esse arranjo pode ser útil em alguns casos, mas também anula, até certo ponto, o objetivo do air gapping.
3. O air gapping físico é o caso principal que discutimos acima – uma separação física completa de um sistema ou rede, incluindo hardware e software. Uma separação completa do hardware é para esse tipo de air gapping, e também há muitos casos em que medidas de segurança adicionais são instaladas para esse novo local remoto – a maioria girando em torno de restrições de acesso físico.

Variações de uma estratégia de backup com air gap

As estratégias de backup de air gap podem ser complicadas, pois apenas alguns métodos de armazenamento podem suportar essa técnica. Podemos usar duas categorias principais para explicar as diferentes variações de backups de intervalo de ar: nuvem e fita.

Nuvem

O armazenamento em nuvem, tanto público quanto privado, se enquadra na definição de air gapping em um aspecto técnico, pois os dados em questão são armazenados em um armazenamento em nuvem separado da infraestrutura física original. Dessa forma, o ransomware não pode viajar da infraestrutura física para o armazenamento em nuvem.

Alguns provedores de armazenamento em nuvem também têm serviços específicos para arquivamento de dados de longo prazo como uma contramedida direta contra o ransomware. Geralmente é mais barato e leva mais tempo para ser recuperado quando necessário. No entanto, o fato de esses dados não poderem ser acessados imediatamente é outra camada de proteção que tecnicamente se encaixa no termo “air gapping”.

Fita

O backup em fita é geralmente considerado a estratégia “original” de backup air gap, pois se presta prontamente à separação física de qualquer rede quando a fita é removida da unidade. Portanto, o armazenamento em fita é um ambiente perfeito para o armazenamento de dados off-line e com air gap. Para deixar claro, a própria fita pode até ser ejetada do armazenamento em fita após o término do processo de gravação, criando uma separação física completa entre a cópia de dados e sua versão original.

A necessidade de interação manual com o armazenamento em fita nem sempre está em harmonia com a digitalização e a automação contínuas do setor de backup, em que há uma tendência de arquiteturas de TI “sempre ativas”. No entanto, essa tendência se desenvolveu antes do aumento maciço dos ataques de ransomware, e é um preço pequeno a pagar por uma medida de proteção de dados altamente eficaz contra ransomware e outros tipos de ataque.

Com relação a isso, vale a pena mencionar outra tática de backup no contexto do air gapping, embora não seja o mesmo processo. A tática em questão é chamada de imutabilidade de dados.

Imutabilidade versus air gapping

O air gapping, como tópico, compartilha muitas semelhanças com outro elemento do setor de backup: a imutabilidade dos dados. Tanto os backups imutáveis quanto os backups com air gap devem oferecer alguma forma de proteção contra ransomware e, ao mesmo tempo, aderir às estruturas de conformidade necessárias. No entanto, também há várias diferenças entre eles.

O fator potencial mais significativo do armazenamento imutável no aumento de custos é o crescimento exponencial da empresa e o consequente aumento do volume de armazenamento de dados. Como alternativa, os backups com air gap teriam um aumento de custo a longo prazo devido à necessidade de manter o estado físico adequado do armazenamento com air gap (como fita).

Os valores objetivos do tempo de recuperação também diferem significativamente entre essas estratégias de backup. O armazenamento imutável é mais rápido, em média, mas também é suscetível a muitos problemas com os quais o air gapping não precisa lidar, seja personificação, falha de rede etc.

No final das contas, ambas as estratégias contribuem significativamente para uma estratégia de backup bem-sucedida. Elas também não precisam ser mutuamente exclusivas – há muitos exemplos de backups imutáveis e tecnologias de air gapping operando em uníssono para melhor proteção de dados, maior resiliência de dados e assim por diante.

Vulnerabilidades de segurança do air gap

O air gapping oferece um nível considerável e altamente significativo de proteção para seus backups contra ameaças cibernéticas. No entanto, é importante entender que o air gapping não é uma solução para todos os problemas de segurança de backup. Os sistemas de backup com air gapping têm seus problemas e vulnerabilidades, embora a maioria deles seja extremamente específica para cada caso e seja improvável que seja usada por alguém sem intenção maliciosa real.

Como mencionamos anteriormente, embora seja extremamente difícil infectar ou influenciar um sistema de backup com air gap usando redes com ou sem fio, ainda pode haver maneiras (embora bastante exóticas!) de violar os backups com air gap. Por exemplo, uma solução chamada AirHopper foi apresentada em 2014, mostrando uma maneira de transferir dados de um sistema de backup com air gap para um telefone celular com um padrão de ataque bifurcado transferido por meio de sinais de frequência FM.

Outro método (publicado em 2015), chamado GSMem, usa uma ideia semelhante de extrair dados de um sistema com lacunas de ar, mas esse método usa frequências de celular para fazer isso, usando um barramento interno padrão que pode ser conectado a praticamente qualquer computador comum.

Há também várias pesquisas sobre como os dispositivos USB infectados podem vazar dados de sistemas com air gap – o ProjectSauron é um exemplo, sendo descoberto em 2016 (embora tenha operado sem ser detectado por cerca de cinco anos antes disso) e mostrando como as partições ocultas do Windows podem ser usadas como canais de transporte de um sistema com air gap para um computador comum.

A comunicação por campo de proximidade (NFC) também foi uma tecnologia transformada em um gateway para sistemas com air gap, com uma solução chamada NFCdrip que foi apresentada em 2018. Ela também mostrou como a NFC tem recursos muito maiores do que a maioria das pessoas imagina, oferecendo até 100 metros de alcance efetivo em casos específicos.

É claro que esses são apenas alguns exemplos de como uma pessoa pode, teoricamente, acessar sistemas de lacunas de ar com experiência suficiente nessas tecnologias. No entanto, vale a pena observar que grande parte dessa pesquisa foi realizada como prova de conceito, e não como uma solução pronta para invadir sistemas com entreferro.

Vantagens de um sistema de backup com gap a ar

• Imunidade à maioria das ameaças à segurança. O principal motivo pelo qual os backups com air gap são considerados vantajosos em termos de segurança é bastante simples: a grande maioria das ameaças à segurança é disseminada pela Internet ou pela capacidade de conexão das estações de trabalho e dos PCs comuns, bem como de todos os tipos de outros dispositivos diferentes.
• Além das medidas de segurança de backup existentes, é útil. O estado geral de um sistema com air gap que atua como uma cópia de backup também é uma ótima maneira de combater alguns dos métodos mais não convencionais que o ransomware ou as ameaças internas podem trazer. Um desses problemas é quando um vírus ou uma pessoa mal-intencionada tenta sabotar todas as cópias dos dados da empresa antes de adulterar o original – para garantir que não haja recuperação possível de um ataque de ransomware ou de um evento de exclusão de dados. Dessa forma, a natureza isolada de um sistema com air gap torna muito mais difícil que esse tipo de sabotagem seja 100% bem-sucedido, aumentando as chances de recuperação da empresa. No entanto, deve ficar claro que alguns fornecedores descrevem seus produtos como “Air Gapped” quando não há separação física real do dispositivo de armazenamento. O Bacula recomenda aos leitores que tomem cuidado com essa afirmação.
• Implementação mais fácil de hardware ou software legado. No tópico das vantagens do air gapping, uma delas pode ser em relação ao software legado. A falta de conexão com a Internet pode possibilitar a implementação de software legado sensível de maneira mais confiável quando ele está em um ambiente com air gapping, garantindo que ele não seja capaz de se atualizar acidentalmente para uma versão mais recente e se torne potencialmente inutilizável para o uso pretendido. O uso de software legado tem seus riscos; entretanto, é difícil que alguns tipos de software sejam atualizados com frequência suficiente para acompanhar a velocidade geral do desenvolvimento tecnológico, especialmente quando se trata de software ou hardware específicos.

Outra vantagem do air gapping são suas qualidades complementares para garantir que pelo menos uma cópia dos dados de uma empresa sobreviva, não importa o que aconteça. Nesse contexto, o air gapping é parte integrante da conhecida estratégia de backup “3-2-1” já usada por muitas organizações.

Benefícios adicionais do air gapping

O air gapping, como tecnologia, não se trata apenas de proteção contra ataques maliciosos e vantagens semelhantes relacionadas à segurança. A possibilidade de restaurar informações de forma conveniente após uma exclusão acidental ou um erro de software é uma opção adicional significativa, embora não necessariamente relacionada diretamente à segurança das informações. Qualquer forma de corrupção de dados também é menos provável no armazenamento com air gap devido à falta de conexão externa, que é de onde vem todo software mal-intencionado.

O air gapping pode ser um recurso essencial em alguns tipos de auditorias ou certificações de conformidade. Se os resultados da auditoria forem publicados, essa demonstração dos níveis de segurança dos dados também poderá criar confiança entre as partes interessadas e os usuários finais. Qualquer estratégia abrangente de backup de dados deve ter backups com air gap de alguma forma. O armazenamento com air gap é uma das poucas medidas de segurança que podem permanecer limpas mesmo que todo um sistema de produção já tenha sido comprometido ou danificado.

Estratégias de backup: 3-2-1 e 3-2-1-1-0

A essência da regra de backup “3-2-1” é que sempre deve haver pelo menos três cópias de seus dados, com pelo menos duas mídias de armazenamento diferentes envolvidas no armazenamento de seus backups, e pelo menos uma cópia de seus dados é sempre armazenada fora do local – longe da rede interna da empresa e fisicamente longe do local do escritório principal. A última parte dessa regra – uma cópia de backup armazenada fora do local – é um caso de uso perfeito para a implementação do air gapping, garantindo que seus dados não sejam completamente perdidos, independentemente do tipo de problema que o senhor encontrar.

É claro que a estratégia de backup “3-2-1” foi introduzida há muito tempo, e o setor mudou várias vezes desde então. O air gapping é apenas um dos muitos exemplos de como novas tecnologias estão sendo introduzidas nesse campo para melhorar a segurança dos dados. Nesse contexto, novas versões de estratégias existentes também começam a aparecer. Um exemplo disso é a estratégia de backup “3-2-1-1-0”, que funciona como uma extensão da estratégia “3-2-1” mencionada anteriormente.

A estratégia em questão amplia a lógica da estratégia “3-2-1”. Ela acrescenta a necessidade de que pelo menos uma cópia dos dados esteja completamente off-line e com air-gap, além de realizar verificações de integridade dos dados nos dados de backup para garantir que não haja elementos corrompidos ou ausentes. Dessa forma, as tentativas do ransomware de afetar os dados de backup e os possíveis erros humanos são resolvidos ou severamente atenuados.

No entanto, também é importante lembrar que o air gapping não é necessariamente uma solução perfeita para todos os problemas de segurança. A abordagem de segurança do air gap tem vários problemas, que vão desde a inconveniência geral até uma desvantagem significativa na forma do fator humano.

Recomendações de implementação de air gapping

A implementação correta de backups com air gap pode ser um pouco desafiadora, mas algumas recomendações facilitam o processo. Primeiro, o air gapping só deve ser aplicado às informações mais confidenciais e vitais, portanto, identificar essas informações é um excelente ponto de partida.

Os dados em questão devem ser transferidos para o armazenamento externo antes de serem desconectados do restante da rede. Embora isso tecnicamente conclua todo o processo de air-gapping, muitas outras etapas precisam ser seguidas para que os dados permaneçam seguros e protegidos por um longo período, a começar pela programação de backup.

Dependendo do tipo de informação armazenada no storage com air-gap e de vários outros fatores, as empresas podem precisar usar métodos de backup manual ou automatizar todo o processo de backup (ou até mesmo uma combinação dos dois). O primeiro permite um melhor controle de todo o processo com uma cadeia de responsabilidade transparente. O segundo permite que o usuário final configure a frequência com que um backup é realizado e, ao mesmo tempo, configure proteções adicionais para futuros processos de backup, como registro detalhado (para melhor solução de problemas) e criptografia (para maior segurança).

As ferramentas de automação podem oferecer vantagens significativas para o processo de backup. No entanto, ainda é importante documentar todo o processo e a configuração do sistema de backup da forma mais completa possível para restaurar o processo e configurá-lo novamente quando necessário.

Outras possíveis recomendações para a implementação de backups com air-gap incluem o uso de MFA e a realização de sessões de treinamento regulares. O primeiro oferece proteção adicional contra acesso não autorizado, enquanto o segundo é necessário para garantir que todos os membros da equipe estejam cientes da importância dos backups com air gap e aumentem ainda mais sua eficácia.

Deficiências de um sistema de backup com air gap

• Dificuldades para interagir com um armazenamento de backup com air-gap. O problema em questão inclui o trabalho extra em potencial envolvido na adição, modificação e remoção de dados de um dispositivo de armazenamento com air gap. Como todas as interfaces de conexão com e sem fio foram removidas, a única maneira de acessar esses dispositivos de armazenamento é usar algum tipo de método externo acoplável de transferência de dados – e, é claro, esse é o objetivo do air-gapping.
• “Fator humano”. Como a totalidade das interações com um sistema com air gap depende, em primeiro lugar, da entrada humana, sempre há uma chance de que uma das medidas de segurança em vigor não seja redefinida corretamente ou não esteja suficientemente protegida, criando uma porta de entrada para ser usada pelos invasores. Os exemplos podem ser uma porta destrancada, uma porta USB desprotegida ou até mesmo um funcionário mal-intencionado. Também há problemas com atualizações de segurança regulares e dispositivos de IoT próximos ao servidor. No entanto, ambos podem ser contornados se for dada atenção suficiente à tarefa.
• Gerenciamento problemático. A questão aqui é a praticidade absoluta de gerenciar esse sistema, sistemas ou redes autônomas que precisam de air gap. Um exemplo disso poderia ser um grande aeroporto militar. Um funcionário ou um terceiro com intenção maliciosa poderia afetar ou comprometer o sistema. O grande volume de pessoas e sistemas de TI aumenta o perigo de comprometimento; os grandes aeroportos militares geralmente têm processos que requerem dezenas, se não centenas, de pessoas dentro de seus perímetros físicos; é fácil ver como isso se torna um problema para o conceito de air gap. Pode ser difícil implementar e aplicar continuamente medidas de segurança (como a estratégia de backup do air gap), incluindo o monitoramento e o controle de todas as pessoas próximas a portas USB ou unidades de fita.

Dessa forma, há vantagens e desvantagens em um sistema com air gap. Ele tem o potencial de ser uma excelente opção de segurança. No entanto, a quantidade de trabalho necessária para fortalecê-lo é o motivo pelo qual algumas organizações só usam o air gapping para alguns de seus dados mais críticos.

Exemplos de sistemas de segurança cibernética de air gap

Aqui estão alguns exemplos de casos de uso de air gapping:

• Os servidores de jogos de loteria em nível estadual e nacional precisam ser completamente isolados por padrão para excluir qualquer possibilidade de fraude na loteria.
• As bolsas de valores e outros sistemas de computadores financeiros precisam ser isolados por um motivo semelhante: a possibilidade de distribuição de informações fraudulentas.
• Os sistemas críticos para a vida, em muitas formas, precisam ser isolados – e há muitos exemplos desses sistemas, desde hardware médico computadorizado e sistemas de controle de aviação até controles de usinas nucleares. As consequências desastrosas do comprometimento de até mesmo um desses sistemas ilustram por que todos eles podem ter que ser hermeticamente fechados.
• Os sistemas de controle industrial em vários campos devem ter apenas as melhores medidas de segurança possíveis por vários motivos. Um bom exemplo é o campo de produção de petróleo e gás, com sistemas SCADA (controle de supervisão e aquisição de dados) que precisam de proteção.
• Muitas redes e sistemas relacionados ao governo devem ser protegidos por air gap, bem como redes militares, usinas nucleares etc.

Observe que algumas versões desses sistemas podem não ser mais consideradas como verdadeiramente herméticas, pois algumas delas adicionaram recursos que permitem estabelecer uma conexão temporária com a Intranet ou com a Internet pública, seja para atualizações de segurança, monitoramento ou transferência de dados.

Backups e conformidade com o air gap

A recomendação – ou mesmo a exigência – de usar a regra 3-2-1 (e o air gapping como sua extensão) está incluída em várias estruturas de conformidade bem conhecidas. Alguns dos exemplos mais populares são HIPAA, GDPR, PCI e NIST. Em nosso exemplo, seria sensato explicar o raciocínio por trás dessa necessidade usando uma dessas estruturas – o NIST.

As estruturas de segurança cibernética do National Institute of Standards and Technology existem para fornecer a todos os tipos de empresas um entendimento claro e conciso de como suas informações confidenciais podem ser protegidas e gerenciadas. É uma estrutura voluntária por natureza; funciona mais como um conjunto de diretrizes sobre as práticas e os métodos que as empresas podem usar para proteger suas informações, focar em possíveis pontos fracos etc.

É importante observar que as soluções de backup podem ter interpretações diferentes dos padrões do NIST, oferecendo ferramentas e métodos melhores (ou piores) para estarem em conformidade com o NIST. Por exemplo, o air gapping e a imutabilidade podem ter interpretações diferentes no contexto de vários softwares de backup. Outro bom exemplo é a variedade de tipos de dados com os quais a solução pode trabalhar perfeitamente.

O cumprimento de vários requisitos de conformidade no contexto de backups aéreos especificamente e da segurança de backup como um todo exige uma solução de backup qualificada e abrangente com várias abordagens para requisitos específicos de TI, várias ferramentas centradas em backup, suporte para muitos tipos de armazenamento etc.

Dicas de manutenção de backups aéreos

A manutenção é uma parte essencial de qualquer sistema ou estrutura. Isso pode ser aplicado ao armazenamento com air gap e aos backups com air gap.

O exemplo mais comum de tarefas de manutenção para backups com air gap é verificar regularmente a integridade dos arquivos de backup. O armazenamento de informações de backup em um local seguro, fisicamente separado do restante da infraestrutura da empresa, é sempre bem-vindo como uma camada adicional de proteção contra roubo ou desastres naturais. O controle de versão também pode ser útil nesse contexto, embora sua complexidade provavelmente seja muito maior devido à natureza altamente segura do armazenamento com malha aérea.

A auditoria também pode beneficiar os sistemas de backup existentes, garantindo que os processos de backup e recuperação funcionem adequadamente do início ao fim. Um processo de cadeia de custódia para mídia de backup com documentação completa pode oferecer muita ajuda para descobrir quem e quando interagiu com os dados de backup. Como alternativa, a embalagem inviolável é outra opção aqui, pois pode ser aplicada a dispositivos de armazenamento para indicar que uma unidade de armazenamento está sendo adulterada se alguém tentar acessar o armazenamento com porta de ar sem motivo suficiente ou autorização de segurança.

Conclusão

O air gapping é um conceito que oferece um nível de segurança praticamente sem precedentes para os dados mais essenciais e confidenciais de uma empresa. O air gapping continua sendo uma abordagem popular de segurança de dados até hoje, protegendo as informações de centenas e milhares de empresas. Como resultado dos frequentes ataques de ransomware, que têm como alvo até mesmo os próprios sistemas de backup e recuperação, o air gapping está, até certo ponto, de volta aos holofotes.

Para as muitas organizações que exigem o air gapping como parte de sua estratégia de segurança e necessidades de continuidade de negócios, o Bacula Enterprise oferece um software especialmente seguro, avançado e flexível para fornecer de forma rápida e fácil backup e recuperação altamente seguros, integrando metodologias de air gapping até mesmo nos ambientes de TI mais complexos. Especificamente, o Bacula é agnóstico em relação ao armazenamento, de modo que o usuário pode usá-lo em conjunto com praticamente qualquer tecnologia de fita (ou outra) que escolher e implementar exatamente o tipo de metodologia de air gapping adequada às suas necessidades. Esse nível de flexibilidade é fundamental em ambientes de alta segurança e é raro entre os fornecedores de backup. O mesmo acontece com as opções de imutabilidade do Bacula, que vão muito além de seus pares. O Bacula pode ser personalizado, programado e arquitetado para realizar praticamente qualquer necessidade diversificada de backup e recuperação. Entre em contato com o Bacula para obter mais informações.

Por essas razões, o Bacula é utilizado pela maior organização de defesa do mundo, bem como por um grande número de empresas de médio e grande porte que tratam a segurança e a continuidade dos negócios como primordiais. As empresas são dos setores de defesa, pesquisa, finanças e infraestrutura governamental, além de muitas outras que precisam dos mais altos níveis de segurança de backup. A arquitetura de software do Bacula e os recursos específicos de segurança o tornam excepcionalmente robusto contra ransomware e outros malwares, quando comparado a outros fornecedores de backup e recuperação. O Bacula recomenda que a proteção de dados de qualquer organização seja levada excepcionalmente a sério; entre em contato com o Bacula para falar com um especialista sênior em software de backup e recuperação altamente seguro.