APT: Sponzorisani napadi

Napredna trajna prijetnja (Advanced persistent threat – APT) je najkompleksnija vrsta sajber napada. Ovi napadi obično podrazumijevaju grupe sponzorisane od strane države ili dobro organizovanih kriminalnih udruženja, koje ciljaju veoma vrijedne sisteme i podatke.

APT napad je sofisticiran, dugoročan i napad u više faza, dobro upravljan i sponzorisan. Naziv je prvobitno bio korišten da opiše grupe koje se kriju iza napada, ali danas se ovaj naziv odnosi na stil napada koji koriste  ove grupe. Veliki broj ovih grupa je numerisan i dobili su neko odgovarajuće ime, a često jedna APT grupa ima nekoliko naziva zbog toga što im svaka sigurnosna agencija dodjeli svoje ime. Primjera radi, APT1 je numerički naziv za Kinesku grupu koja je poznata još kao PLA Unit 61938, Comment Crew, Byzantine Panda i neki drugi nazivi. Grupa APT 29 je Ruska grupa poznata kao Cozy Bear, Cozy Duke, Office Monkeys i nekoliko drugih imena. Postoji mnogo numerisanih APT grupa, a i nove se grupe često otkrivaju. Ako se oslonimo na sredstva informisanja na zapadu, dobijamo sliku da APT prijetnje dolaze samo iz zemalja koji se predstavljaju u javnosti kao protivnici zapadnih vrijednosti: Iran, Kina, Sjeverna Koreja, Rusija i ostali. Međutim, možemo govoriti o APT grupama u Izraelu, Francuskoj, SAD i drugim zapadnim državama. Najpoznatija APT grupa na zapadu je Equation Group povezana Nacionalnom Bezbjednosnom Agencijom Sjedinjenih Američkih Država (eng. US NSA - United States National Security Agency) sa primarnim metama napada na suparničke države, Islamske aktiviste, kompanije koje razvijaju algoritme za enkripciju, telekomunikacione kompanije, kompanije koje se bave naftom i gasom, medijske kompanije, transportnu infrastrukturu, vojsku, finansijske institucije i druge slične mete.

 

Zbog kompleksnosti i troškova pokretanja APT napada, ove grupe koriste svoje napredne tehnike u napadu na visoko pozicionirane mete, kao što su državne agencije ili velika preduzeća. Njihovi napadi podrazumijevaju špijunažu, krađu osjetljivih podatka i sabotažu. Statistički gledano ovi napadi su veoma rijetki, ali njihov uticaj može biti izuzetno razoran.   Razlike između  APT napada i ostalih sajber napada je u složenosti i trajanju napada koji su usmjereni za razliku od drugih oportunističkih prijetnji. Ukratko rečeno, APT napadi koriste tehnike koje omogućavaju napadačima da izvrše zadatke, koje bi bilo nemoguće izvršiti sa jednostavnijim sajber napadima. To se odnosi na:

 

METE. Sama činjenica da mjere zaštite proporcionalno odgovaraju vrijednosti štićenog sredstva, ne znači da se do tog sredstva ne može doći. U svetu informacija, sistema i digitalnih sredstava, određeni entiteti kao što su vlade i velike korporacije, imaju veoma vrijedne informacije koje su poželjne za krađu. S druge strane ove organizacije znaju vrijednost informacija koje bi drugi željeli da imaju, pa su te informacije veoma dobro zaštićene. Kada se uzme u razmatranje  da je postavljen snažan mehanizam zaštite, priliku za preuzimanje podataka može omogućiti samo visoko sofisticiran napad. U ovakvom slučaju je potreban APT napad. Ako je do podataka moguće doći slanjem obične posebno pripremljene elektronske pošte, zašto trošiti vrijeme i novac na kompleksan napad. Zbog toga, APT napadi se koriste samo kada mete imaju veoma vrijedne podatke na čiju je zaštitu utrošeno mnogo truda i novca. U ove parametre se uklapaju:

 

- Državne agencije: kao što su ministarstvo odbrane, obavještajne agencije, poreska uprava ...

 

- Univerziteti, fakulteti i istraživački programi.

 

- Velika preduzeća i institucije: sektor finansija, proizvodnja, tehnologija, oružje i slično.

 

- Kritična infrastruktura: električna mreža, vodovodna mreža, transportna mreža, telekomunikacije, nuklearni programi i slično.

 

CILJEVI. Ako je APT napad kompleksan, veoma dobro organizovan i dobro finansiran, namijenjen da zaobiđe rigorozne mjere zaštite, tada cilj napada mora da bude veoma isplativ, kako bi opravdao uložen napor i sredstva. Zašto gubiti vrijeme na nečemu što ne može opravdati ulaganje, je glavna ideja prilikom odabira cilja. U većini slučajeva, napadači koji koriste APT taktike, ciljaju na informacije ili sisteme sa:

 

- Bazama podataka: finansijski zapisi, zdravstveni podaci i ostali podaci koji se mogu iskoristiti u raznim vrstama kriminala.

 

- Intelektualno vlasništvo: industrijska špijunaža često podrazumijeva krađu planova, trgovačkih tajni i ostalih informacija koje mogu biti interesantne konkurenciji, drugoj državi ili nekom trećem.

 

- Povjerljive informacije: državni dokumenti, vojni planovi i finansijski zapisi.

 

- Prisluškivanje komunikacije između visokopozicioniranih ciljeva: uvid u planove ili lične informacije koje mogu omogućiti ucjenjivanje ili nešto drugo.

 

- Sabotaža: Obaranje Internet stranice ili brisanje važnih podataka.

 

- Preuzimanje Internet stranice: U cilju političkog aktivizma, sajberterorizma ili finansijske koristi.

 

U većini slučajeva cilj je novac. U drugim slučajevima, APT napad ima za cilj da nanese štetu konkurenciji, suparničkoj državi i kao način dokazivanja moći.

 

KOMPLEKSNOST. Većina uobičajenih napada na informatičke sisteme su automatizovani i ponašaju se dosljedno, tražeći svugdje iste slabosti sistema. Iako se često prilagođavaju za napad na nove organizacije i sisteme, njima nedostaje detaljna analiza, planiranje i upravljanje, što je karakteristično za APT napade. APT napadi često podrazumijevaju ulaganje dosta vremena na istraživanje mete i ispitivanje slabosti, prije nego što se razvije primjenjiv plan za zaobilaženje sigurnosnih mjera, izbjegavanje mehanizama za detekciju i konačno postizanje cilja. Napadači koji učestvuju u APT napadu posjeduju zavidno znanje, sa širokim spektrom vještina, uključujući razne napredne alata i strategije napada. To sve obuhvata:

 

- Najnovije tehnike nadzora i prikupljanja informacija.

 

- Vrhunsko znanje o vlasničkom softveru i softveru otvorenog kôda: Ovo se odnosi na komercijalne verzije softvera za testiranje sistema, kao i softver nabavljen na mračnom Internetu, ali često se razvija sopstveni softver od nule.

 

- Ciljanje više ulaznih tačaka u organizaciji kroz testne napade, uz procjenu povratne informacije: Ako se napad izvrši na više različitih tačaka u organizaciji, to može služiti za skretanje pažnje bezbjednosnom timu organizacije.

 

- Izbjegavanje mehanizama za detekciju: Napadači koriste tehnike sakrivanja i taktike izbjegavanja, kako bi zaobišli alate za nadzor i detekciju koje koristi meta napada. Imati pristup sistemima i dokumentima mete napada što duži period vremena je ključna stvar u APT napadu, pa zato napadači ulažu značajan napor za razvijanje tehnika i taktika za izbjegavanje otkrivanja.

 

APT napad u svojoj kompleksnosti može kombinovano koristi socijalni inžinjering, pecanje korisnika preko elektronske pošte, iskorištavanje ranjivosti softvera, instalacija zlonamjernog softvera, DNS preusmjeravanje i razne vrste drugih tehnika. Neke taktike koje se koriste u APT napadima pojedinačno ne izgledaju napredne, ali planiranje, veličina i povezanost napada u cjelinu je ono što APT napad čini izuzetno kompleksnim i opasnim.

 

VREMENSKA LINIJA. Obični sajber napadi su usmjereni na lake mete, po sistemu zgrabi i bježi, bez brige o tome da li će njihov ulazak u sistem mete napada biti primijećen odmah ili tek kada dobiju ono po što su došli. Kao suprotnost navedenom, APT napad ima težnju da traje što duže. Upad u sisteme koji su kompleksni i dobro čuvani zahtjeva posmatranje, planiranje i prolazak kroz više faza realizacije prije postizanja cilja, što nije moguće uraditi jednostavnim ili automatizovanim tehnikama. Izvršavanje svake faze tačno onako kako treba zahtjeva vrijeme, posebno kada napadač ne želi biti otkriven. Kada se u to uloži znatna količina resursa i truda, napadači znaju da moraju biti veoma oprezni pri svakom koraku ako žele izbjeći otkrivanje i blokiranje napada.

 

Početak napada može obuhvatiti nekoliko serija pecanja preko elektronske pošte, postavljanje lažnih Internet stranica, ubacivanje zlonamjernog softvera, preuzimanje korisničkih privilegija, izvlačenje podatka i mnogo drugih taktika prije postizanja konačnog cilja. U mnogim slučajevima, napadači ostaju u sistemima i mnogo duže poslije postizanja cilja. Kada su već uložili toliko sredstava i truda, ostvarili konačni cilj, zašto ne bi  pokupili i neke druge stvari kad već mogu. Dugoročni nadzor može omogućiti uvid u informacije o novim razvojnim planovima, omogućiti pristup novim bazama podataka i pružiti informacije o komunikaciji između ključnih ljudi u organizaciji. Vremenski period od uspješnog ulaska u sistem ili organizaciju preko APT napada, do njegovog otkrivanja se naziva vrijeme boravka (eng. dwell time), koje zavisi od mnogih faktora, uključujući vještinu napadača i mehanizama odbrane koji se koriste. Vremenom, organizacije su se usavršile u otkrivanju APT napada, pa prema dostupnim informacijama vrijeme boravka u 2019. godini bilo oko 30 dana, a godinu prije oko 50 dana prije interne detekcije. Kada je u pitanju eksterna detekcija, u 2018. godini je trebalo u prosjeku oko 184 dana, dok u 2019. godini je to trajalo oko 141 dana. Ipak, zabrinjavajuća je činjenica da neki podaci pokazuju detekciju APT napada poslije 700 ili više dana, kod jednog manjeg broja organizacija.

 

U određenim situacijama, napadači mogu preuzeti izuzetno vrijedne informacije ili izazvati  veliku štetu u nekoliko minuta djelovanja. Sada je potrebno zamisliti, šta može uraditi napadač koji ima pristup sistemu ili organizaciji jednu, dvije ili više godina. U tako dugom periodu, moguće je preuzeti sve podatke ili jednostavno uništiti poslovanje organizacije sabotirajući njene planove razvoja.

 

RESURSI. Kompleksnost i utrošeno vrijeme čini APT napade veoma skupim investicijama.  Za samo početak, potrebno je angažovati veću grupu izuzetno vještih hakera. Osoba sa iskustvom i znanjem o vođenju ovakvih napada može biti dobro plaćena kao sistemski inžinjer ili inžinjer za testiranje sistema,  pa entiteti koje žele organizovati APT napade moraju tim ljudima ponuditi značajne finansijske nagrade kako bi se odlučili da učestvuju u kriminalnim aktivnostima. Ali to nije sve, potrebno je platiti prostor za boravak, infrastrukturu, davaoce usluga  i još mnogo toga. Cijena alata za hakovanje, softverskih ranjivosti, zlonamjernogsoftvera, špijunskog softvera, certifikata i ostalog, može da se kreće od nekoliko stotina američkih dolara pa do  oko dva miliona američkih dolara zavisno od kompleksnosti i mogućnosti. Najskuplje su visoko kompleksne alatke i servisi koji se nisu predhodno koristili u drugim masovnim sajber napadima, jer potencijalno omogućavaju da se zaobiđu antivirusna riješena i drugi sistemi za otkrivanje. Kada se sve uzme u obzir, jasno je da APT napad na državnu instituciju ili poslovnu organizaciju ne može izvesti svako, pa se sužava izbor ko zapravo može pokrenuti ovakvu vrstu napada.

 

IZVRŠIOCI. Za APT napad je potreban tim i značajna količina sredstava. Istorijski gledano, APT napadi se povezuju sa grupama koje imaju veze sa državnim institucijama. Malo je drugih grupa  koji imaju potrebnu finansijsku podršku, organizaciju i dozvolu da rade u ime svoje vlade i pod njenom zaštitom, a da nisu sponzorisani od iste. Iako grupe sponzorisane od strane države dominiraju scenom, postoji nekoliko APT grupa koje djeluju samostalno i jedino ih interesuje finansijska korist, a nisu povezani sa nekom državom. Najpoznatije ovakve APT grupe su Silence, koja cilja globalno sve banke kradući milione američkih dolara i Carbanak Group za koju se tvrdi da je do sada kriminalnim aktivnostima ostvarila profit od preko milijardu američkih dolara.

 

APT napadi, generalno, se izvršavaju po istom obrascu. Kada napadač izabere metu, počinje izviđanje, istraživanje najboljeg načina ulaska u sistem, širenje pristupa, postizanje cilja napada i izbjegavanje otkrivanja.

 

BIRANJE METE. Izbor mete zavisi od prirode same APT grupe. Ako je grupa finansijski motivisana, napad će biti usmjeren na finansijske institucije, velike korporacije i organizacije, što podrazumijeva traženje ranjivosti koja može omogućiti uspješan napad. Nakon toga se vrši procjena koja je meta najlakša, uz potencijalno najveću nagradu ili koja će meta omogućiti veliki povrat uloženih sredstava. Grupe koje su sponzorisane od strane države mogu dobiti specifičan cilj, kao što je krađa vojnih planova ili nadzor komunikacija visoko pozicioniranih ličnosti. U ovim situacijama napadač mora detaljno da osmotri metu i pokuša da shvati koja će taktika napada donijeti uspjeh. Pored toga, ovim grupama se može dati i širi spektar ciljeva, kao što je sabotaža Internet stranice suparničke vlade kao odgovor na neku neprijateljsku mjeru ili traženje informacija koje će omogućiti ucjenjivanje protivničke vlade. Ovaj pristup APT grupi daje malo prostora, zato što imaju ograničen izbor meta i moraju se fokusirati na one koje su najvrednije ili ciljano napasti sve njih i onda izvlačiti informacije iz mete kod koje napad bude uspješan.

 

IZVIĐANJE. Kada je meta izabrana, sljedeći korak je potraga za informacijama koje će olakšati napad. Što više informacija napadač ima o meti, njenim sistemima, zaštiti, metodama detekcije, sredstvima, zaposlenim i ostalim faktorima, on može bolje planirati faze napada. Ako je napadač upoznat sa detaljima sistemske ranjivosti, sigurnosne zaštite, alata za nadgledanje, pa čak nezadovoljstvom radnika, to mu daje prednost prilikom izbjegavanja otkrivanja napada i omogućava postizanje konačnog cilja. Početna potraga može obuhvatati potragu za informacijama na Internet stranici kompanije, novinske članke, stranice na društvenim mrežama, pa sve do skeniranja organizacije na sistemske ranjivosti. Moguće je još i ubacivanje nekog iz grupe u samu organizaciju za djelovanje iznutra ili pridobijanje nekog ko već radi u organizaciji, bilo novcem ili ucjenom.

 

PLANIRANJE. Kada napadač procjeni da ima dovoljno informacija o svojoj meti, počinje planiranje napada. Prikupljene informacije se koriste za izbor najboljeg načina prolazaka pored odbrane mete, širenja pristupa kroz sisteme mete i postizanja konačnog cilja bez otkrivanja svog prisustva. Ovdje se mogu izdvojiti sljedeće faze:

 

- Odlučivanje od načinu ulaska i dalje kretanje kroz ciljane sisteme.

 

- Okupljanje tima sa potrebnim vještinama.

 

- Postavljanje otpreme i infrastrukture.

 

- Nabavka potrebnih alata: pravljenje vlastitih softverskih alatki, kupovina softvera, alata i sistemskih ranjivosti od drugih grupa ako je potrebno.

 

 

TESTIRANJE. Prije početka napada, APT grupa će izvršiti testiranje pripremljenih alatki i tehnika, kako bi provjerila njihovu efikasnost. Moguće je da će čak pokušati zaobilaženje odbrambenih sistema mete, kako bi znali kako da se ponašaju u određenoj fazi napada i tako izbjegli da budu otkriveni.

 

INFILTRACIJA. Po završetku prethodnih faza, počinje faza ulazaka u sisteme ciljane mete. Zanimljivo je spomenuti da nekada ova faza ne započinje napadom na glavnu metu. Često napadači prvo izvrše napad na dobavljače, poslovne partnere ili druge entitete koji su u bliskom kontaktu sa metom napada, kako bi korištenjem njihovog pristupa došli do stvarnog cilja. Bez obzira da li je njihova meta prva ili zadnja u fazi napada, proces dobijanja pristupa podrazumijeva sljedeće tehnike koje napadaču mogu omogućiti uporište u ciljanom sistemu:

 

- Pecanje preko elektronske pošte i druge vrste socijalnog inženjeringa protiv ključnih osoba, kako bi se došlo do njihovih pristupnih podataka.

 

- Iskorištavanje sigurnosnih ranjivosti u mreži, aplikacijama ili dokumentima.

 

- Usmjeravanje zaposlenih na stranice koje sadrže zlonamjerni softver, čijim se otvaranjem isti preuzima i instalira na ciljani uređaj.

 

- Podmetanje USB medija sa zlonamjernim softverom u okolini kancelarija mete napada, kako bi radoznali zaposleni pokupili isti i uključili u svoj uređaj u kancelariji.

 

Jedan od najčešćih strategija je ciljano pecanje preko elektronske pošte, gdje su meta važne ličnosti u organizaciji. Ova elektronska pošta je daleko naprednija od obične neželjene elektronske pošte, koju svakodnevno srećemo. Pošto ovakvi napadi koštaju, napadači neće praviti početničke greške kao što je loše sastavljen tekst ili gramatičke greške koje će svako uočiti. Dobijena elektronska pošta će biti pažljivo sastavljena uz korištenje svih prethodno skupljenih informacija o osobi kojoj je upućena, jer dobijanje pristupnih podataka te osobe može biti ključno za sljedeću fazu napada. Krajnji cilj je dobijanje pristupnih podataka za prijavu na ciljane sisteme, obično slanjem lažnog upozorenja da je iz sigurnosnih razloga potrebno promijeniti lozinku. Kada osoba krene da mijenja lozinku, od nje će se tražiti da unese korisničko ime i lozinku koji automatski budu poslani napadaču. Odnosno, klikom na link ili otvaranjem dokumenta u prilogu može se preuzeti i instalirati zlonamjerni softver. U prvom ili drugom slučaju APT grupa dobija  ulaznu tačku u ciljani sistem.

 

PROŠIRIVANJE NAPADA. Dobijanje uporišta, iskorištavanjem ranjivosti ili preko pecanja elektronskom poštom je samo prvi korak. To omogućava napadaču da uspostavi komunikaciju iz same mreže mete napada ka svom komandom serveru preko kojeg će dalje upravljati napadom. U ovoj fazi se vrši instalacija alata za daljinski pristup u mreži mete napada, što omogućava APT grupi stalni pristup. APT grupa će i dalje imati ograničen pristup i neće moći da odmah dođe do konačnog cilja. Kako bi stigli tamo napadači moraju da prošire površinu napada, što uključuje različite taktike:

 

- Dobijanje privilegija: Sam ulazak u sistem je možda bilo moguće ostvariti sa minimalnim korisničkim privilegijama. Kako bi došla do određenih korisničkih naloga ili administratorskih privilegija APT grupa počinje sakupljanje trenutno svih dostupnih informacija sa trenutnim stepenom pristupa kako bi došao do novih pristupnih podataka. Sa novim informacijama napadači pokušavaju da preko obrnutog inžinjeringa, odnosno pogađanjem lozinki (eng. brute-force) dođu do novih naloga, ili  koristi ranjivosti sistema za dobijanje većih korisničkih privilegija. Ove tehnike omogućavaju APT grupi da napreduje, strpljivo se približavajući svom cilju.

 

- Istraživanje lokalne mreže: Kada APT grupa dobije pristup lokalnoj mreži, ona će se kroz nju kretati skupljajući sve informacije o unutrašnjoj infrastrukturi mete napada. Ako je moguće, preuzeti će kontrolu nad serverima, računarima i drugim dijelovima infrastrukture, vršiti će potragu za novim ranjivostima u mreži, instalirati razne alate za pristup i upravljanje drugim dijelovima infrastrukture, kopirati potrebne informacije, i što je najvažnije osigurati pristup čak i kada jedna od ulaznih tačaka bude zatvorena od strane sigurnosnog tima.

 

IZBJEGAVANJE DETEKCIJE. Od same faze testiranja pripremljenih alata za napad, pa do konačnog postizanja cilja, glavna briga APT grupe je ostati neprimjetan. Ako meta u fazi testiranja postane sumnjičava, može da unaprijedi svoju sigurnost otežavajući planirani napad. Sa druge strane, ako napad bude otkriven u bilo kojoj fazi prije postizanja cilja, on može biti zaustavljen i tako mogu biti izgubljeni novac i nekoliko mjeseci uloženog vremena. Zbog toga APT grupa razvija svoje tehnike napada pažljivom analizom lokalne mreže i alata za detekciju, testirajući načine zaobilaženja istih bez dizanja uzbune. Najčešći načini sakrivanja koji se koriste su:

 

- Fragmentacija paketa: Napadači mogu da pošalju mrežni podatak tako što ga podjele u mrežne protokole koji su manje sumnjivi, što im omogućava da zaobiđu sisteme za otkrivanje i zaštitu, nakon čega ovi paketi na svom odredištu budu ponovo sastavljeni.

 

- Steganografija: Omogućava sakrivanje podatak ili zlonamjernog softvera u sliku ili neke druge na izgled obične fajlove.

 

- Ispitivanje aktivnosti miša: Analizom klikova i drugih aktivnosti, zlonamjerni softver može odrediti da li je pokrenut na ciljanom operativnom sistemu ili u virtualnom okruženju. Ovo može zlonamjernom softveru pružiti informaciju da li je pokrenuta njegova analiza i detekcija ili ga je pokrenula stvarna osoba. Na osnovu ovih informacija, zlonamjerni softver može da se pokrene i izvrši ili da miruje, odnosno da izbriše svaki trag svog postojanja, kako bi spriječio dalju analizu.

 

- Sakrivanje porijekla: Sakrivanjem porijekla napada, odnosno pružanje lažne informacije o lokaciji napadača, APT grupa može da sakrije svoj identitet i namjere, pa čak prebaci krivicu na nekog drugog.

 

- Pogrešno usmjeravanje: Kako bi lakše zaobišli sigurnosni tim koji brani metu napada, APT grupa će ga usmjeriti na nešto drugo. Često se pokreću DDoS napadi i drugi masovni napadi na metu napada, kako bi se sigurnosni tim spriječio da primjeti šta se stvarno dešava.

 

POSTIZANJE CILJA. Kada APT grupa dobije pristup lokalnoj mreži i potrebne korisničke privilegije, tada može da ispuni svrhu napada. U ovoj fazi napada dolazi do rušenja ili preuzimanja Internet stranica, uništavanja podataka ili sabotaže kritične infrastrukture i sredstava. U većini slučajeva se radi o krađi podataka, pa će APT grupa da skupi sve vrijedne podatke koji su otkriveni istraživanjem mreže na jedno sigurno mjesto u mreži. Ti podaci obično se kompresuju i enkriptuju i tako spremaju za slanje. Kada je sve spremno, podaci se tajno šalju na server pod kontrolom APT grupe, često uz korištenje nekog napada na drugoj strani za odvlačenje pažnje sigurnosnog tima. Kada završi prebacivanje podataka, APT grupa počinje da uklanja sve dokaze o izvršenom napadu, kako bi bilo teško otkriti da se napad dogodio ili ko ga je izvršio. Nakon toga APT grupa obično zadržava pristup meti napada, kako bi po potrebi nekad kasnije ponovo izvršili napad.

 

OTKRIVANJE APT NAPADA. Iz svega navedenog, može se zaključiti da je ovu vrstu napada veoma teško da se odvija ili da se uopšte dogodila. Ipak, postoje neke pojave koje mogu ukazati na APT napad:

 

- Posebno pripremljena ciljana elektronska pošta: APT grupa će obično početi napad koristeći ovu tehniku dolaska do informacija, pa povećanje elektronske pošte ovog tipa elektronske pošte može biti pokazatelj.  Ako su primaoci ovakve elektronske pošte osobe zaposlene na višim pozicijama to je još sigurniji pokazatelj da se radi o APT napadu. Ako je u pitanju elektronska pošta sa linkovima na koje treba kliknuti da se pogleda video, posjeti neka stranica i slično, to nije razlog za brigu kada se radi o APT napadu. Međutim, ako elektronska pošta sadrži informacije koje nisu poznate široj javnosti, to je siguran znak da je neko uložio vrijeme i novac da dođe do tih informacija, u potrazi za slabostima organizacije. Posebno je potrebno obratiti pažnju ako su meta ključne osobe u organizacije, pa je potrebno tražiti druge znakove, jer je APT grupa već unutar organizacije ili pokušava da nađe ulaznu tačku.

 

- Korisničko prijavljivanje: APT napadi obično imaju mete u udaljenim zemljama i samim tim i drugim vremenskim zonama. Članovi APT grupe obično djeluju tokom normalnog radnog vremena u njihovim zemljama, pa zbog toga može doći do vremenskog odstupanja između mete napada i zemlje iz koje napad dolazi. Podaci o pristupanju sistemima organizacije u neobično vrijeme, često kasno noću ili rano ujutro može biti pokazatelj djelovanja APT grupe. Naravno, moguće je da neko od zaposlenih stvarno pristupa u specifičnim terminima, ali ovaj pokazatelj u kombinaciji sa nekim drugim može skrenuti pažnju na mogućnost djelovanja APT grupe.

 

- Zlonamjerni softver: APT grupe obično instaliraju nekoliko Trojanaca u različitim dijelovima mreže mete napada, kako bi mogli održavati više pristupnih tačaka za slučaj da neka bude otkrivena. Dok pojava jednog Trojanaca u mreži ne znači ništa kada se govori o APT napadu, njih više unutar mreže uz malu Internet aktivnost korisnika je još jedan pokazatelj ove vrste napada.

 

- Neočekivani protok podataka: APT grupe obično prebacuju ogromne količine podataka kroz mrežu mete napada, pa i van lokalne mreže. Organizacija mora da zna kako izgleda kretanje podatka između klijentskih mašina, servera ili mreža, kako bi kroz alate za detekciju mogli uočiti neobično kretanje podataka. Druga stvar na koju treba obratiti pažnju je to što APT grupa sakuplja podatke unutar mreže dok ne bude spremna za slanje dalje. To znači da će na jednom mjestu da se nađe nekoliko gigabajta podatka, a da tu ne bi trebalo da budu. Saznanje o razlici između normalnog stanje u mreži i neuobičajenog, kao i pronalazak veće količine podataka tamo gdje ne bi trebalo da bude je pokazatelj djelovanja APT grupe.

 

ODBRANA OD APT NAPADA. Zaštita od APT napada je jedan od najtežih zadataka u sajber bezbjednosti. Napadači su veoma dobro finansirani, imaju vrhunska znanja i vještine, ogromne organizacione kapacitete i najnovije alate za napad. Sigurnosni tim neke organizacije da bi se zaštitio od APT napada, mora stalno da radni, da sve prati i da bude svjestan i najmanje promjene u bilo kom segmentu funkcionisanja organizacije kako bi mogao istu da zaštiti od ovih napada. Da bi ovo bilo moguće ostvariti, prvi i najvažniji korak je analiza svih sredstava, sistema zaštite, ključnih slabosti i potencijalnih meta unutar organizacije. Nakon toga je važno informisati se o svim prethodnim APT napadima na organizacije koje imaju sličnu strukturu poslovanja. Imati prave informacije o prethodnim napadima na slične organizacije, sigurnosnom timu daje mogućnost da primjeni odgovarajuću odbranu za buduće napade. Takođe je veoma važno poštovanje osnovnih pravila sajber bezbjednosti:

 

- Pravovremeno ažuriranje kompletnog softvera.

 

- Implementacija dvostepene autentifikacije (eng. 2FA - 2 factor authentication): Gdje god je moguće koristiti fizičke ključevi (eng. tokens ) i aplikacije za  autentifikaciju, jer su mnogo sigurniji od SMS provjere.

 

- Ograničiti korisničke privilegije na osnovni minimum: Korisničke privilegije je potrebno podesiti da korisnik ima pravo pristupa samo potrebnim resursima u organizaciji za obavljanje svog posla. Voditi računa o ulozi korisnika u organizaciji i sa promjenom uloge odmah povećavati ili ograničavati prava pristupa resursima u organizaciji. Vršiti ukidanje prava pristupa firmama koje vrše implementaciju nekog rješenja i bivšim radnicima odmah po završetku posla.

 

- Implementacija jakih i jedinstvenih lozinki za svaki korisnički nalog.

 

- Implementacija sistema za otkrivanje upada i zaštitu od upada.

 

- Pravilna konfiguracija zaštitne barijere (eng. Firewall).

 

- Korištenje provjerenog antivirusnogrješenja.

 

- Pravilna zaštita rezervnih kopija podataka od krađe i gubitka.

 

- Koristiti sistem nadzora prijavljivanja korisnika sa detekcijom sumnjivog ponašanja.

 

- Edukacija korisnika: Jedna od najvažnijih stvari je edukacija korisnika da znaju prepoznati najčešće metode napada.

 

Primjena osnovnih pravila sajber bezbjednosti će sigurno daleko unaprijediti zaštitu  organizacije od običnih sajber napada i sigurno otežati APT napad, ali to nije dovoljno. APT napadači imaju vrhunske vještine za otkrivanje slabosti, pa u kombinaciju sa novim zlonamjernim softverima i ranjivostima sistema veoma ih je teško otkriti i zaustaviti. Ipak, komunikacija između zlonamjernog softvera i komandnog servera pod kontrolom APT grupe je konstanta. To znači da je najbolji način za otkrivanje ovakvih napada, praćenje dešavanja u lokalnoj mreži organizacije. Za otkrivanje pokazatelja djelovanja APT grupe unutar lokalne mreže potrebnoj je posjedovati informacije o prethodnim napadima, kao što su određene karakteristike i metode koje se koriste kako bi se isti mogli prepoznati.

 

MINIMALNO VRIJEME PREKIDA. Konačno, svi žele da otkriju APT napad što je prije moguće. Što duže traje, veća je moguća šteta po organizaciju. Vremenski period od kada APT napadači ostvare pristup unutar organizacije do zaustavljanje napada se naziva vrijeme prekida (eng. breakout time). Kada APT grupa dobije pristup, ona se doslovno kreće i širi pristup u organizaciji dok ne postigne konačan cilj, zbog čega je važan svaki trenutak u njenom otkrivanju i zaustavljanju. Ovdje je važna naglasiti potrebu za sistemima za rano upozoravanje i raznim sistemima nadzora infrastrukture. Potrebom za visoko obučenim i koordinisanim sigurnosnim timom koji je sposoban za brzu analizu situacije i reagovanje.

 

ZAKLJUČAK. Sajber napadi neće prestati, to je sigurno. Pored povećanja običnih sajber napada, primjetno je povećanje i APT napada. Danas preko dvadeset zemalja u svijetu agresivno radi na izgradnji najnaprednijih sajber organizacija. Napredak u vještačkoj inteligenciji i brzim 5G mrežama donosi nove mogućnosti napada u geopolitičkoj areni, povećavajući šanse za uspjeh državno sponzorisanih napada. Poslovne organizacije pojedinačno, ne mogu izdvojiti dovoljno novca za vrhunske sisteme zaštite ili za angažovanje sigurnosnih inžinjera. To jednostavno nije finansijski realno i praktično izvodljivo. Zbog toga je potrebno uložiti maksimalno realnih sredstava u sajber bezbjednost organizacije, a ostatak probati nadoknaditi kroz saradnju i razmjenu informacija za državnim bezbjednosnim agencijama koje se bave sajber bezbjednošću.

REZERVNA KOPIJA I ČUVANJE PODATAKA

Tehnološki razvoj u sferi informacionih tehnologija je pokazao da su podaci mnogo važniji od samog uređaja. Pokazalo se na primjeru korisnika telefona, da prilikom gubitka uređaja,  korisnik pokazuje više brige za kontakte, slike, muziku i ostale dokumente, nego sam uređaj. U slučaju privatnog korisnika, govorimo u većini slučajeva o emocionalnoj boli zbog gubitka važnih podataka, međutim u poslovnom okruženju, to podrazumijeva zastoj u poslovanju, gubitak novca, pa čak i pravne sankcije od države i pogođenih korisnika.

Sve ovo se može izbjeći implementacijom procesa pravljenja rezerve kopije i načina čuvanja podataka. Da bi organizacija dobro poslovala, ona mora da ima dobre podatke i još bolji pristup njima. Međutim, ne razumiju svi koliko je važan pristup podacima. Većina menadžmenta u organizacijama uzima podatke sa kojima posluju i pristup njima sa etiketom vrijednosti nula, dok sve radi. Kada podaci postanu iz nekog razloga nedostupni i počne se gubiti novac, “dali bi sav novac” za te iste podatke samo da nastave poslovanje. Proces pravljenja rezervne kopije i čuvanja podataka, bi trebao da bude sastavni dio Plana odgovora na sajber prijetnju, jer i samo otkazivanje uređaja ili neke njegove komponente predstavlja bezbjednosnu prijetnju za poslovanje organizacije, bez da se govori o drugim načinima da podaci budu nedostupni za korištenje.

 

Da bi mogli da se bavimo pravljenjem rezervne kopije i čuvanjem podataka, moramo znati koje vrste rezervnih kopija imamo i razlike između njih. Gdje ćemo čuvati podatke nakon pravljenja rezervne kopije uz sve prednosti i mane. I za kraj, najbolji način da se sve to implementira.

 

Kada se govori o vrstama rezervnih kopija, možemo govoriti o:

 

POTPUNOJ REZERVNOJ KOPIJI (eng. Full Backup) kao najosnovnijem i kompletnijem tipu rezervne kopije. Kao što sam naziv kaže, ovaj tip rezervne kopije kopira sve podatke sa zadate lokacije na zadato odredište. Prednost ovog načina pravljenja rezervne kopije je u tome što se svi podaci nalaze na jednom odredištu, što za rezultat ima minimalno vrijeme prilikom vraćanja podataka. Mana je u tome, što vremenski dugo traje pravljenje rezervne kopije u odnosu na druge načine (nekad i do deset puta) i zahtjeva najviše prostora. Zbog toga se proces pravljenja pune rezervne kopije pokreće povremeno i obično se koristi u kombinaciji sa inkrementalnim ili diferencijalnim načinom kreiranja rezervne kopije.

INKREMENTALNA REZERVNA KOPIJA (eng. Incremental Backup) je proces koji kopira samo promjene nastale u odnosu na posljednju rezervnu kopiju bilo kog tipa. Ovaj proces se oslanja na vremenske zapise podataka, kada su podaci nastali, odnosno u koje je vrijeme izvršena nova promjena u podatku. Softver za  pravljenje rezervne kopije vrši poređenje vremena i datuma sačuvanih podatka u rezervnoj kopiji sa podacima koji se nalaze na uređaju. Na osnovu tog poređenja u inkrementalnu rezervnu kopiju se dodaju samo podaci koji si novijeg vremena i datuma u odnosu na one koji se nalaze u predhodnoj rezervnoj kopiji. Zbog ovoga, proces pravljenja rezervne kopije se može veoma često pokretati, jer zauzima manje prostora, vrijeme trajanja je kratko.

 

DIFERENCIJALNA REZERVNA KOPIJA (eng. Differential backup) je veoma slična inkrementalnoj rezervnoj kopiji, kada se prvi put pokrene – u rezervnu kopiju će uvrstiti sve podatke koji su novijeg vremena i datuma u odnosu na predhodnu rezervnu kopiju. Međutim, nakon toga, svaki put kada se proces ponovo pokrene u rezervnu kopiju će uvrstiti sve promjene nastale u odnosu na prvu sveobuhvatnu kopiju. To znači da će diferencijalna rezervna kopija zauzimati više prostora svakim narednim pokretanjem u odnosu na inkrementalnu rezervnu kopiju, ali manje od potpune rezervne kopije.

PAMETNA REZERVNA KOPIJA (eng. Smart Backup) je kombinacija potpune, inkrementalne i diferencijalne rezervne kopije. U zavisnosti šta se traži od procesa pravljenja rezervne kopije i dostupnog skladišta, ovaj načina čuvanja podataka omogućava efikasno čuvanje podataka i fajlova, kao i efikasno upravljanje prostorom za skladištenje. Ovaj proces čuvanja podataka se koristi u situacijama kada se radi o pravljenju rezervnih kopija korisnika baza podatka i dijeljenih resursa na kojima su česte izmjene u podacima. U mogućnosti je da napravi nekoliko rezervnih kopija svakog dana i omogući vraćanja na svaku od njih ili vraćanja na neki raniji dan. Ovaj proces pravljena rezervne kopije će brisati neku od starih vrsta rezervnih kopija, da bi mogao napraviti nove, zavisno od zadate šeme pravljena rezervne kopije, kao i od dostupnog slobodnog prostora.

IDENTIČNA REZERVNA KOPIJA (eng. Mirror backup) je najlakše uporediti sa potpunom rezervnom kopijom. Ovaj način čuvanja podataka pravi identičnu kopiju izvornog podatka (dokumenta ili fajla), ali samo njegovu zadnju verziju, bez mogućnosti praćenja prethodnih verzija izvornog podatka. Ovdje treba obratiti u slučaju da postoji problem sa izvornim podatkom (podatka je obrisan ili oštećen), problem će se odraziti i u rezervnoj kopiji.

REVERZIBILNA INKREMENTALNA REZERVNA KOPIJA (eng. Reverse Incremental Backup) počinje proces pravljenjem potpune rezervne kopije. Nakon toga se prave inkrementalne rezervne kopije, sa tim da se svaka naredna inkrementalna rezervna kopija reverzibilno “ubacuje” u potpunu rezervnu kopiju. Na ovaj način potpuna rezervna kopija je ažurirana sa posljednjom verzijom dokumenata ili fajla. Dodatno, dokumenti ili fajlovi koji su zamijenjeni novom verzijom se čuvaju kao inkrementalna rezervna kopija i “ubacuju” u niz iza potpune rezervne kopije. Ovo omogućava vraćanje na neki stariju potpunu rezervnu kopiju.

SINTEZNA POTPUNA REZERVNA KOPIJA (eng. Synthetic Full Backup) je najsličnija reverzibilno inkrementalnoj rezervnoj kopiji. Razlika je u manipulaciji podacima. Ovaj proces počinje sa klasičnom potpunom rezervnom kopijom, praćenom serijom inkrementalnih rezervnih kopija. U određenom trenutku, inkrementalne rezervne kopije se konsoliduju i spajaju u najnoviju verziju potpune rezervne kopije, koja se tada uzima kao polazna tačka za nove inkrementalne rezervne kopije. Na ovaj način se dobija prednost redovnih potpunih rezervnih kopija, ali traje kraće i zahtjeva manje prostora.

KONSTANTNO PRAVLJENJE REZERVNIH KOPIJA (eng. Continuous data protection), još poznato pod nazivom rezervna kopija u realnom vremenu (eng. Real-time Backup) za razliku od drugih procesa pravljenja rezervnih kopija koji se pokreću periodično, ovaj proces se pokreće čim se izvrši promjena na podatku koji se posmatra. Ovaj proces pored toga što automatski čuva svaku novu promjenu na podatku, čuva i svaku prethodnu verziju. Ovo omogućava povratak u bilo koju prethodno sačuvanu verziju tog podataka. Razlika između identične rezervne kopije i ovog procesa je u tome, što u procesu identične rezervne kopije, u slučaju korupcije izvornog podatka, on takav biti sačuvan i na odredištu. U procesu konstantnog pravljenja rezervnih kopija, u slučaju korupcije podatka, moguće je vraćanje na predhodnu verziju tog podatka koja je ispravna.

U praksi postoje još neke vrste rezervnih kopija podataka, ali ove navedene se najčešće koriste. Ne može se reći da neka od navedenih vrsta rezervnih kopija dobra ili loša. Organizacija koja implementira proces čuvanja podataka, mora uzeti u obzir specifičnost poslovanja i potrebe organizacije, dostupan prostor za skladištenje podataka, dostupne resurse, mogućnost nabavke adekvatnog softverskog riješena i slično. Sve navedeno, uz sve prednosti i mane vrste rezervne kopije koja planira da se upotrijebi, će uticati na konačni izbor.

SKLADIŠTENJE REZERVNE KOPIJE. Da bi čitav proces pravljena rezervne kopije mogao da se završi potrebno je odrediti medij na kome će se podaci čuvati. Ovo je veoma važan korak u čuvanju podataka. Odabir medija za čuvanje podataka će odrediti koliko će podaci biti bezbjedni i imaće uticaj na brzinu vraćanja podataka u slučaju potrebe za tom procedurom.

Kada se govori o medijima za čuvanje podataka, tu se prvenstveno misli na:

- Interni čvrsti disk (eng. Hard Disk Drive – HDD) i Eksterni čvrsti disk (eng. External Hard drive)

- Poluprovodnički disk (eng. Solid State Drive – SSD)

- Uređaj za mrežno skladištenje (eng. Network Attached Storage – NAS)

- USB memorija

- Optički  mediji (CD / DVD)

LOKACIJA ZA ČUVANJE REZERVNE KOPIJE. Kada se govori o lokaciji za čuvanje podatak, najviše se mora voditi računa o sigurnosti. Na određenoj lokaciji, rezervna kopija je sigurna, koliko je sigurna i lokacija na kojoj se nalazi. Tu se prvenstveno misli na ne ovlašten fizički pristup (krađu), opasnost od požara, elementarnih nepogoda (zemljotres, poplava, ...). Pored toga, odabir lokacije za čuvanje podataka će imati i uticaj na brzinu vraćanja podataka u slučaju potrebe za tom procedurom. Sa stanovišta lokacije može se govoriti o:

Lokalnoj rezervnoj kopiji podataka, sa odredištem na bilo kom mediju koji su čuva na dohvat ruke. Obično, ti mediji su direktno uključeni u uređaj na kome se izvorno nalaze podaci ili je preko lokalne mreže na istoj lokaciji.

Rezervnoj kopiji podataka van lokacije (eng. Offsite Backup), koja podrazumijeva čuvanje podataka na drugoj geografskoj lokaciji od izvorne lokacije podataka. Ovdje rezervna kopija može biti napravljena lokalno, ali medij se kasnije čuva na drugoj lokaciji. Kod čuvanja podataka van lokacije može se govoriti o nekoliko načina skladištenja u smislu rukovanja. Podaci mogu biti uskladišteni van lokacije u sefu banke i oni nisu dostupni dok ih neko ne uzme i ne poveže na sistem organizacije. S druge strane imamo podatke koji se skladište na uređaje u drugoj poslovnici firme koji su stalno dostupni preko Interneta. Uz odgovarajuću prijavu, proces vraćanja podatak se može pokrenuti sa udaljene lokacije. Postoji još mogućnost zakupa prostora u računarskim centrima za skladištenje podataka, ukoliko organizacija nema prostorije na drugoj geografski udaljenoj lokaciji ili ne želi da investira u sopstvene kapacitete za skladištenje.

SOFTVER ZA PRAVLJENJE REZERVNE KOPIJE. Vrste rezervnih kopija, vrste medija i lokacija čuvanja podataka su za organizaciju važan faktor prilikom izbora softvera za pravljenje rezervne kopije podataka. U praksi se pokazalo da je “ručno” pravljenje rezervne kopije u samom početku osuđeno na propast, zbog prevelikog učešća ljudskog faktora. Korisnik može zaboraviti ili biti spriječen da u zadatom vremenskom okviru napravi rezervnu kopiju, odnosno može propustiti da važan podatak uvrsti u rezervnu kopiju. Korištenjem softvera za pravljenje rezervne kopije ovo se može izbjeći. Dobar softver za pravljenje rezervnih kopija treba da podržava automatizaciju, što više vrsta pravljenja rezervnih kopija i snimanje na različite medije i lokacije na kojima se čuvaju podaci. Dodatne opcije mogu da budu zaštita rezervne kopije podataka lozinkom i enkripcija same rezervne kopije. Sljedeća važna stvar kod softvera za pravljenje rezervne  kopije je način na koji omogućava vraćanje podataka. Kvalitetna softverska rješenja omogućavaju da se vraćanje izvrši ili kompletno ili na nivou fajla, zavisno od potrebe. Na kraju, veoma je važno upravljivost procesom pravljenja rezervnih kopija na nivou organizacije. Softver treba da ima administrativnu konzolu sa kompletnim pregledom situacije o planiranim i izvršenim rezervnim kopijama, o razlozima zbog kojih rezervna kopija podataka nije napravljena, o dostupnosti, veličini i zauzeću medija ili prostora za čuvanje podatka. Pored toga treba da postoji sistem obavještenja korisnika o svim relevantnim informacijama koje se tiču čitavog procesa, kako bi odgovorna osoba mogla na vrijeme reagovati u slučaju da se pojavi nekakav problem u bilo kom koraku procesa čuvanja podataka. Sve ovo će uticati na cijenu softvera sa jedne strane, ali će osigurati integritet procesa čuvanja podataka.

 

TESTIRANJE REZERVNE KOPIJE. Ne umanjujući vrijednost niti jednog prethodnog koraka, ovo je možda najvažniji korak u procesu pravljenja rezervne kopije podataka. Lijepo je znati da postoji rezervna kopija podataka koja je redovno ažurirana, na sigurnom mjestu i koja će omogućiti brz oporavak u gubitka podatka. Ali samo saznanje nije dovoljno, jer ono nije garancija da će proces vraćanja podataka biti uspješan. Zato je potrebno i preporučeno da se vrši testiranje rezervnih kopija. U ovom procesu je važno razumjeti šta testirati i šta tražiti, jer je to vitalno za uspješno vraćanje podataka iz rezervne kopije. Najvažniji faktori prilikom testiranja su:

 

- Vraćanje podatka na više lokacija. Uobičajena greška je vraćanje podataka samo na uređaj sa koga je izvorno napravljena rezervna kopija. U situacijama vanrednog stanja u organizaciji, može doći do preuzimanja servera od strane napadača, njegovog oštećenja ili bilo kog drugog razloga zbog kojeg nije moguće vratiti podatke na isti uređaj. Potrebno je kroz Plan odgovora nasajber prijetnju definisati “zamjenske” uređaje koji će privremeno preuzeti funkciju u organizaciji dok se ne riješi situacija. Da bi se ovakav scenario mogao riješiti uspješno potrebno je vraćanje rezervne kopije testirati i na ovim uređajima kako bi znali da neće biti problema sa kompatibilnošću i da će sve funkcionisati kako treba dok se situacija ne vrati u normalni tok.

 

- Inspekcija vraćenih dokumenta. Veoma je važno da se nakon uspješnog procesa vraćanja rezervne kopije provjeri da li su svi podaci vraćeni i da li se nalaze tamo gdje treba da budu. Koliko god ovo izgledalo kao uzaludan posao, važan je, jer samo tada možemo reći da je sve uredu.

 

- Ne samo jedno testiranje. Infrastruktura organizacije je “živi organizam” i konstantno se mijenja. Ako je jedan test vraćanja podataka bio uspješan, ne mora značiti da će biti i naredni. Ovo ne znači da se testiranje mora raditi svaki dan, ali jednom u mjesec dana je sasvim razuman okvir, kako bi se osiguralo da sistemska ažuriranja i promjene u infrastrukturi ne prave problem.

 

- Testiranje svih aplikacija. Funkcionisanje organizacije se obično temelji na aplikacijama, stoga su one osnov funkcionisanja i potrebno im je posvetiti pažnju prilikom testiranja rezervne kopije.

 

- Zaštita procesa vraćanja rezervne kopije. Softver koji se koristi za vraćanje podatka može biti sposoban da u potpunosti vrati sve sačuvane podatke, ali ako i sam softver iz nekog razloga bude oštećen i ne radi – organizacija ima problem. Potrebno je uvijek imati i instalaciju softvera ili disk za oporavak sistema pri ruci, ali i dokumentovati cijeli proces, jer znanje se može lako izgubiti.

 

KONTROLNA LISTA. Sve do sada što je navedeno je pokazuje važnost rezervne kopije podataka. Kako bi osoba koja unutar organizacije ima odgovornost za pravljenje rezervnih kopija mogla uspješno da radi svoj posao potrebno je da u Planu odgovora na sajber prijetnju u proceduri za rezervnu kopiju ima i kontrolnu listu. Ova lista je promjenjiva i ona se mijenja u zavisnosti od potreba organizacije. Njena svrha je da prilikom pravljenja rezervne kopije podataka ne dođe do propusta i da se na taj način izgube važni podaci ili naruši proces pravljenja rezervne kopije. Stavke koje se obično nalaze na kontrolnoj listi su:

 

- Ažurnost. Koliko god bilo važno da imamo podatke starijeg datuma (dan, mjesec ili godinu dana stare), veoma je važno da imamo i što novije podatke unutar rezervne kopije. U slučaju vanredne situacije, nakon vraćanja podataka, važno je da organizacija što manje nadoknađuje izgubljeno vrijeme.

 

- Koliko verzija? Jedna verzija u rezervnoj kopije je dobra stvar. Ali zašto ne više verzija istog dokumenta? Praćenje promjena u podacima kroz određeni vremenski period može u procesu sagledavanja stanja organizacije dati korisne informacije. Postojanje arhive podatka je veoma važno u slučaju kada se treba utvrditi kada je nastala neka promjena i zbog čega, a ne samo u slučaju gubitka podataka.

 

- Pristup. Pristup podacima u rezervnoj kopiji je važna stavka, jer potvrđuje da prostor za skladištenje, kakav god bio, radi. Testovi koji pokazuju da se rezervna kopija uspješno vraća na više lokacija i da su svi podaci tamo gdje treba nakon vraćanja, smanjuju vrijeme zastoja u organizaciji prilikom vanrednog stanja.

 

- Automatizacija. Automatsko pokretanje pravljenja rezervnih kopija umanjuje učešće ljudskog faktora, a samim tim i mogućnost da rezervna kopija ne bude napravljena. Takođe omogućava da se rezervna kopija pravi u vremenskim intervalima kada će minimalno uticati na performanse organizacije.

 

STRATEGIJA. Sada kada se posjeduju sve važne informacije o procesu pravljenja rezervne kopije, može se pristupiti izradi strategije. Organizacija može da pristupi izradi svoje strategije ili da iskoristi za početak provjerenu strategiju 3-2-1. Ovo je jednostavna i veoma cijenjena strategija prilikom pravljenja i čuvanja rezervnih kopija. Princip ove strategije je:

 

- Potrebno je imati najmanje 3 kopije podataka. Jedna kopija podataka je ona koja se koristi u organizaciji, dok su druge dvije rezervne kopije. U slučaju da dvije kopije zakažu, treća bi trebala da omogući vraćanje podataka.

 

- Čuvanje 2 kopije lokalno. Čuvanje podatka na istoj lokaciji gdje se nalaze i izvorni podaci je ključno prilikom vraćanja podataka. U slučaju da dođe do potrebe za vraćanjem podataka, brzina vraćanja će biti veća preko lokalne infrastrukture.

 

- Čuvanje 1 kopije na drugoj lokaciji. Čuvanje kopije na drugoj lokaciji će omogućiti vraćanje podatka u slučaju lokalne katastrofe. Ako dođe do požara ili lokalne nepogode (poplava, oluja, zemljotres, ...), lokalne kopije podataka mogu biti oštećene. Ali, kopija na udaljenoj lokaciji može omogućiti oporavak organizacije i nastavak njenog poslovanja.

Strategija 3-2-1 je provjerena strategija i naziva se još zlatnim pravilom pravljenja rezervnih kopija. Međutim, organizaciju ništa ne sprečava da ima i četiri, pet ili šest kopija podataka, ako je u mogućnosti. Bitno je da se tokom vanredne situacije organizacija može oporavit i nastaviti sa poslovanjem.

 

ZAKLJUČAK. Kada je riječ o čuvanju podataka, treba se voditi izrekom: “Bolje spriječiti, nego liječiti”. Nije moguće predvidjeti kada će doći do problema sa podacima u organizaciji, ali je moguće biti maksimalno spreman kako bi vrijeme zastoja u radu organizacije bilo minimalno. Kako bi se to ostvarilo, potrebno je u Plan odgovora na sajber prijetnju u poglavlje vezano za čuvanje podatka implementirati sve relevantne informacije koje su navedene ovdje, kao i konstantno sa razvojem organizacije ažurirati i unapređivati sve parametre shodno potrebi organizacije.