חדשות לא חדשות בעולם ה SMB/NAS

אז האמת היא שאני מחכה כבר כמה זמן לכתוב את הפוסט הזה, הוא לא מאד ארוך אבל גיליתי שלא כולם מכירים את זה וחשבתי שכדי להזכיר.

מי שעובד עם שירותי קבצים בטח מכיר את זה שבאופן כללי NFS יותר סלחן לאירוע high availability. בעבר לפחות זה היה מאד נכון, אם עבדנו מול שירות קבצים מרובה בקרים כמו מערכת אחסון מודרנית, ה session שלנו היה פתוח מול אחד הבקרים ובמקרה של כשל הבקר, NFS היה מגיב טוב מהר וחלק יותר ועובר לעבוד מול הבקר השני במערכת ואילו SMB, בטח ובטח אחיו הזקן CIFS, היה מתנתק והיה צורך ליצור סשן חדש מול הבקר השני, אירוע שיכול היה לקחת דקות ארוכות במקרה הטוב או חיבור ידני מחדש במקרה הרע.

אז למי שלא מכיר, היו שני עדכונים בפרוטוקול SMB עצמו שמאד עוזרים בנושאים האלו. כשאר יצא SMB2 יצאה גם תמיכה ב Durable Handles מה שאיפשר העברה חלקה יותר של הסשן במקרה של תחזוקה יזומה והקל על כולנו את נושא השדרוגים. הקליינט יודע פשוט להקים את הסשן מחדש באופן אוטומטי בתום time out קבוע מראש.
השדרוג השני הרלוונטי יצא עם SMB3 שכלל Transparent Failover שידוע גם בשם Continuous Availability שבעצם מאפשר את אותו הדבר גם במקרה של כשל בלתי מתוכנן. אם נפל בקר או שרת הקליינט מתחבר אוטומטי לבקר או השרת החבר בקלסטר והשירות נמשך.

התמיכה ב Durable Handles אוטומטית בשירותי הקבצים של Nutanix אבל את Continuous Availability צריך להפעיל ברמת ה Share. כמובן שצריך גם שהקליינט או האפליקציה יתמכו וידברו בגרסת הפרוטוקול המתאים ואם אתם עובדים על מעבדה שמוגדר בה שרת קבצים יחיד האופציה לא תהיה זמינה להפעלה ואין טעם לפנות להנדסה בשאלות כמו אנשים אחרים שאתה מכירים שיש להם בלוג.

החידוש השני שאני רוצה לספר לכם עליו, גם הוא לא מאד מאד חדש אבל גם אותו לא כולם מכירים, הוא file base WORM או Write Once Read Many, היכולת להכיל מנגנון נעילה להגנה על קבצים מפני שינוי או מחיקה.

לקוחות רבים, בעיקר לקוחות פיננסים שעובדים מול הרגולטורים האמריקאים אבל לא רק, מכירים את דרישות SEC17 (כן כן אני יודע SEC17a-4(F)), להוכיח יכולת להגנה על מידע פיננסי למשך פרק זמן קבוע אז זו אחת הדרכים ליישם הגנה כזו. אנחנו מגדירים ברמת ה share שאנחנו רוצים שקבצים ינעלו מפני שינוי או מחיקה למשך פרק הזמן המתאים ושימו לב שאנחנו יכולים גם להגדיר משך "צינון" כלומר שהנעילה תתחיל רק אחרי פרק זמן שחלף בלי שנגעו בקובץ ככה לא ננעל קובץ שעדיין יוצרים אותו כמו הפוסט הזה שלקח לי שלושה ימים לכתוב.

את מנגנון ה WORM ניתן להפעיל בשתי רמות כמו שמקובל בתעשיה. ברמת enterprise מוגדרים במערכת אדמינים שמותר להם למחוק גם קבצים מוגנים, רמה רלווטית בעיקר לארגונים בהם הרגולציה שהכתיבה את שימור המידע היא פנימית. ברמת Compliance אין אדמינים שיכולים למחוק את המידע, הוא ננעל בפני כולם.

אגב אם תשימו לב בצילום המסך תראו גם את היכולת למנוע יצירה של קבצים עם סיומות מסויימות ב share.

הזקנים ביננו זוכרים את התקופה בה כולם ניסו למנוע שמירה של קבצי MP3 במערכות האחסון הארגונים וכאלו, היום השימוש העיקרי הוא מניעה של יצירת קבצים זדוניים, אבל העקרון הוא אותו עקרון, חוסמים יצירה של סיומת קובץ מוכרת ויצרנו מנגנון חינמי וחסר כל overhead להגנה מפני כל מני מריעים בישין. כמובן שזו הגנה רק מפני מתקפות מוכרות אבל הי, זה חינם ומובנה, לא תיקחו?

בפעם הבאה נמשיך עם חידושים לא חדשים נראה לי, היה לי כיף ובכלל לא כתבתי מינואר אז אני חייב לכם הרבה עדכונים ותוכן.

בברכת בשורות טובות,

שישובו כל החטופים והחטופות במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

כנסים, כופרות ועוד קצת AI

ביום שלישי האחרון היה לי העונג לדבר בכנס Nutanix Cloud Day, הכנס הטכני השנתי ללקוחות נוטקניס בישראל. עליתי אחרון והייתי כל מה שהפריד בין באי הכנס וארוחת הצהרים אז הייתי צריך להיות מהיר ונמרץ ואני מקווה שעמדתי במשימה. לא קל לדבר על אחסון מידע בענן ההיברידי כשהקהל כבר מריח את הפילה שאגב היה פשוט מעולה!

בחרתי לשלב במצגת שלי תמונות מ"שכחו אותי בבית" בתקווה וזה יעזור לקהל להתמקד במסר העיקרי והוא שפתרון אחסון מידע מודרני חייב להיות פשוט לניהול ופשוט לצריכה והוא חייב לאפשר לנו לקבל תובנות על המידע שלנו, לאפשר לנו לקבל מבט מהיר ואפקטיבי על "מפת הקרב" ולתת לנו כלים להתמודד עם הבלתי צפוי.

מעבר ללחימה הנוראית בעולם הפיזי, מאז 7.10 אנחנו מתמודדים גם עם מתקפות מאד אגרסיביות בעולם הסייבר. המלחמה הזו עושה פחות כותרות מחוץ לעולם ה IT אבל היא אמיתית והיא קשוחה מאד, בימים האחרונים יש לי נקודת מבט די ישירה על אחד הקרבות המתחוללים בזירה הזו והמצב מאד מדאיג. אחד הכלים הנפוצים במלחמה הזו זכה לכינוי BiBi-Linux (כן כמובן שהיוצרים של הכלי לא בחרו את השם במקרה) והוא עושה שמות בארגונים ישראליים מאז התגלה באוקטובר.

חשוב מאד לדבר על הפן הזה של המלחמה ולהתכונן כי המתקפה תגיע. אין דבר כזה "אנחנו לא ארגון מותקף", אין ארגונים "לא מעניינים" ואין ארגונים שהמידע שלהם לא חשוב, גם בתחום הסייבר תוקפי חמאס וחיזבאללה לא מסננים ולא ממיינים, הם פורצים לכל ארגון שהם מצליחים לפרוץ והנזק אדיר. העלות הישירה של שלושה-ארבעה ימי השבתה של הארגון, של שעות נוספות לצוותי אבטחת מידע, העלות של צוותי incident response מקצועיים שמוקפצים מעכשיו לעכשיו, אובדן מידע, העלות העקיפה של פגיעה במוניטין הארגון, פוטנציאל של אובדן לקוחות או ביזנס חדש, צריך להניח מראש את התשתית הנדרשת על מנת למנוע, לגלות ולהתמודד.

תמיד מתחילים מדברים פשוטים ובדרך כלל חינמיים לחלוטין כמו הפרדת רשתות תקשורת או מדיניות החלפת ססמאות, אם לא עשיתם את אלו מעט מאד דברים אחרים רלוונטיים עבורכם, טכנולוגית ותקציבית. אין טעם לבנות בונקר אם לא לימדת את העובדים לנעול את הדלת. חובה לוודא שיש לכם פתרון גיבוי, כתבתי בעבר על מה זה גיבוי ועל גיבוי קלסי באסטרטגיה של 3-2-1 ובשורה תחתונה כדאי להחזיק פתרון גיבוי מחברה מוכרת, לחדש את הרישוי שלו ולוודא תקופתית שהוא עובד על ידי שחזורים מדגמיים. זה קו ההגנה האחרון שלנו בזמן אירוע ולפעמים הוא זוכה רק לאדים של מה שנשאר בדלי התקציב שלנו, חבל.

בהרצאה שלי בכנס תיארתי בקצרה את היכולות המובנות בפתרון שלנו להתמודד עם מתקפות כופרה למשל, על ידי זיהוי חתימות וגם על ידי זיהוי אנומליות בהתנהגות משתמשים, אנחנו יודעים לזהות באופן מהיר שמתרחש אירוע כופרה. במקרה של מתקפה כזו אנחנו יודעים לעצור את היוזר התוקף או להפוך את כל שרת הקבצים המותקף ל read only, ליצור באופן חד ערכי רשימה של הקבצים שהותקפו ולספק אפשרות שחזור בלחיצת כפתור מסנפשוט נקי. אין הרבה שירותים כאלו שמובנים במערכות אחסון מידע ואתם חיים לוודא שבפעם הבאה שאתם בוחרים פתרון אחסון מידע הוא כולל מנגנון דומה. כמובן אחרי שעשיתם את הבסיס של הפרדות רשתות עדכון ססמאות וכו', צריך לנעול את הדלת לפני שהולכים לקנות דלת חזקה יותר, זוכרים?

קצת עדכונים בעולם ה AI

בפוסט הקודם דיברתי קצת על כלי AI חינמיים שזמינים לכולנו והאמת היא שרימיתי, השתמשתי בפוסט הדי-בסיסי ההוא כדי לעזור להעצמי להתכונן להדרכה על AI לכיתה של הבת שלי, כיתה ו'-2 האלופה! מקווה שהיה להם כיף ומעניין כמו שהיה לי, אולי הגזמתי קצת כשהתחלתי לדבר איתם על אפיסטמולוגיה ועל ההבדל בין התפיסה של אריסטו לשל אפלטון לגבי איך אנחנו בכלל לומדים משהו. אבל אני חושב שזה דיון חשוב ומעניין לפחות כרקע לנושא הבא, אם אנחנו לא מבינים מספיק טוב איך אנחנו לומדים, איך אנחנו יכולים ללמד מחשבים ללמוד כמונו?

מאז קרו שני דברים סביב Goolge Bard שכדאי להכיר, הראשון והפחות "מעמיק" הוא שהכלי שינה שם ועכשיו הוא נקרא Gemini. השני יותר מעניין והוא נחשף, כמו הרבה דברים אחרים, בשרשור טוויטר (אני מסרב לקרוא לזה X)

New game: Try to get Google Gemini to make an image of a Caucasian male. I have not been successful so far. pic.twitter.com/1LAzZM2pXF
— Frank J. Fleming (@IMAO_) February 21, 2024

מסתבר שמאד קשה לגרום לג'מיני ליצור תמונות של גברים לבנים, האלגוריתם כאילו "מתעקש" להכניס גיוון בדמויות שהוא מייצר, כולל נאצים כהי עור, ויקינגים בעלי מראה אסיאתי מובהק וכו'. כשמנסים לדייק את הפורמפט נתקלים בבעיה קשורה, ג'מיני שומר על תקינות פוליטית ולא אוהב את זה אם מבקש "גבר שחור" או בקשות כאלו, הוא מוצא את זה פוגעני.

מערכות הAI רחוקות מלהיות חסינות טעויות ונראה שההבנה שלנו סביב אלגוריתמיקה "נכונה" עדיין מתפתחת למרות ההתקדמות המאד מרשימה בתחום בזמן האחרון.

זה כולל גם סתם פאדיחות בינלאומיות כמו הצוץ הזה של שר החוץ ישראל כ"ץ שמרוטווט על ידי משרד החוץ שלנו שכולל טעות בכיתוב בדגל ברזיל וגם דגל ישראל רחוק מלהיות דגל תיקני:

אף אחד לא יפריד בין האנשים שלנו – גם לא אתה @LulaOficial.

שבת שלום! pic.twitter.com/m98WU8WARS
— ישראל כ”ץ Israel Katz (@Israel_katz) February 23, 2024

גם לאחרונה, open.ai שהתניעו לדעתי את המהפכה הנוכחית עם ChatGPT שלנו, או בכל מקרה הפכו את מנועי ה AI לנגישים ומוכרים לכולם (ותמיד כדאי להזכיר את פתרון ה GPT-in-a-BOX שלנו בנוטניקס אם גם החברה שלכם רוצה להאיץ את הכניסה שלה לתחום. ), הכריזו על מה שנראה כמו השלב הבא באבולוציה, כלי חדש שנקרא SORA לייצירת קטעי וידאו על פי פרומפט והתוצרים שפורסמו נראים סופר מרשימים ומשכנעים אבל כרגע הכלי עוד לא פתוח לקהל הרחב.

"Close-up of a majestic white dragon with pearlescent, silver-edged scales, icy blue eyes, elegant ivory horns, and misty breath. Focus on detailed facial features and textured scales, set against a softly blurred background"

Video generated by Sora. pic.twitter.com/MmyEItH9Vg
— Bill Peebles (@billpeeb) February 24, 2024

עוד קצת דילמות ב"שגרה" החדשה

בפוסט הקודם דיברתי עם על השילוב בין רבדי המציאות הישראלית, המלחמה, החטופים והחיים שנמשכים בעורף ואחרי ארבעה וחצי חודשים זה מרגיש רק יותר קיצוני, חברים שכנים ולקוחות שנקראו לדגל ב7 באוקטובר משתחררים ממילואים, חלקם כמה מוזר כבר חזרו למילואים לסיבוב שני, ובבית הולכים לכנסים, לארוחות עיסקיות, יוצאים לחגוג אירועים פרטיים, השילוב ממשיך להיות מוזר, לשבת במסעדה טובה עם לקוח ולחגוג את ההצלחות העיסקיות המשותפות ותוך כדי הארוחה לשמוע ממנו סיפורים על המילואים שלו, על המשפחה שלו מהדרום ומה שעבר עליהם ועדיין עובר, המציאות מורכבת וזו דילמה שחוזרת בשיחות לפני ואחרי האירועים האלו, עד כמה הם לגיטימיים? עד כמה הם בלתי נמנעים? עד כמה הם בעצם חלק מהנצחון או לפחות מההתמודדות? האם כמו שאמרו בתקופת הקורונה, זה הנורמאלי החדש?מה דעתכם?

בברכת בשורות טובות,

שישובו כל החטופים במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

מה חדש ב ONTAP 9.12.1

הפוסט הקודם שלי התמקד ב BlueXP, והיה יותר אסטרטגי. הפעם אני רוצה להיות קצת יותר טקטי ולרדת חזרה לקרקע ולעדכן אתכם במה חדש בגרסה העדכנית ביותר של מערכת ההפעלה של נטאפ ONTAP 9.12.1 שהוכרזה גם היא במסגרת אינסייט אך נשכחה קצת במסגרת חגיגות החוויה הכחולה.

כמובן שזו סקירה לא מלאה אלא רק של ההיי-לייטס והסקרנים מוזמנים לקרוא את הrelease notes.

אבטחת מידע

שדרגנו את יכולת ה Onbox Anti-Ransomware. האיומים משתכללים כל הזמן ואיתם צריך לשכלל את מנגנוני ההגנה.

שדרוג ראשון שהוספנו כבר בגרסה הקודמת זה MAV או multi admin verification. כמו שרובכם זוכרים, הסנפשוטים של נטאפ הם מסוג immutable כך שלא ניתן לשנות או למחוק את התוכן שלהם. מנגנון MAV מקשיח אותם ומוסיף את היכולת לקבוע כי כל פעולה של מחיקת סנפשוט מחייבת אישור של יותר מאדמין אחד, כך, קצת בדומה לנוהל שיגור בצוללת בסרטים, צריך יותר מממפתח אחד לירות טיל או יותר ממנהל אחד למחוק מידע חיוני בארגון.

אנחנו קושרים את זה ביחד עם העדכון של snaplock שיוצא בגרסה הקרובה שיאפשר לנו לנעול סנשפוטים גם בצד המקור ולא רק בצד העותק המרוחק כפי שהיה עד היום. בכל מקום שבו אנו חשופים לרגולציה קשיחה כדוגמת SEC17 או כל מקום בו אנחנו רוצים ליישם time lock על מידע, נשתמש בסנפלוק וכל מקום בו אנחנו רק רוצים להקשיח את ההגנה שלנו מפני מחיקה זדונית, אפשר ליישם MAV .דרך אגב, זה כנראה מקום טוב להזכיר שסנפלוק כבר לא מחייב אגריגייט יעודי ובכך שיפרנו משמעותית את הגמישות.

נגעתי בזה בפוסט הקודם אבל שווה לזכור שהוספנו לתוך BlueXP וכלי ניהול אחרים דשבורד יעודי לאבטחת מידע שמוזן גם על ידי מידע שנאסף מ autosupport, משירותים כמו Cloud Secure וכו' על מנת לאפשר לנו שקיפות כלפי מוכנות הארגון שלנו לאירועים.

מתחת לפני השטח הוספנו MFA ל CLI ושידרגנו את היכולת לשמר לוגים כדי להקשות על העלמה של פעולות זדוניות ככה שה audit trail שלנו שלם ומלא יותר.

בפוסט שפרסמתי בדיוק לפני שנה דיברתי על F-Policy ממשק F-Policy חדש עם מעל 3000 סיומות קבצים בעיתיות וכמובן שאפשר להוסיף סיומות יחודיות או חדשות. הממשק הזה הוא כמובן ממשק GUI שמעדכן את יכולות ה CLI שהיו עד היום עבור כלי זה, מתוך אותה תפיסה של החוויה הכחולה שרוצה לאפשר לנו לצרוך ולנהל שירותים גם בלי "לדעת נטאפ" ובלי להתחבר ישירות למערכות לנהל אותן. זו יכולת מאד חזקה, חינמי מבחינת רישוי ותקורת ביצועים ולא מספיק מאיתנו משתמשים בה.

ביצועים

כמו בכל גרסה כללנו שיפורי ביצועים משמעותיים ואחרי שבפעם הקודמת התמקדנו בעולמות ה SAN, הפעם השיפור המרכזי הוא בעולם ה NAS וספציפית NFS בעיקר באמצעות שדרוג נוסף ליכולת שלנו למקבל תהליכים במערכות.

במסגרת 9.12 אנחנו מוסיפים גם גידול משמעותי בכמות ה Volums שנתמכת בקלאסטר, ומדובר בעליה של סדרי גודל, ובאותה נשימה הגדלנו משמעותית גם את הגודל המקסימלי של כל Volume וכל LUN. השיפור בכמות הווליומים משמעותי ללקוחות קונטיינרים או לקוחות שמאמצים VVoL והגודל המקסימלי של Volume/LUN רלוונטי יותר ללקוחות הקצת יותר מסורתיים שלנו.

ללקוחות שמאמצים את FlexGroup על מנת ליצור מרחבי אחסון עוד יותר גדולים מאשר ה Volume הגדול ביותר שלנו או על מנת לפרוס את עומסי העבודה בין הבקרים בקלאסטר, הכנסנו יכולת רידוד אוטומטית על מנת לשפר עוד יותר את המנגנונים שמאפשרים לנו "לשטח" את המידע לרוחב הGroup. התהליך נעשה באופן אינטליגנטי ולא סתם מרדד אלא מנתח את היחס בין נפח לעומס עבודה והסיבה ליצירת חוסר האיזון ויודע להבדיל בין מקרה למקרה. אם הזכרתי למעלה SnapLock וכאן FlexGroups אז כדאי להזכיר כמובן שמעכשיו הם נתמכים ביחד בצורה מלאה יותר.

גמישות

כבר שנים שאנחנו מאפשרים NFS+SMB וזה זמן מה שנחנו תומכים ב S3, ב 9.12 אנחנו מוסיפים את היכולת לגשת לאותו מידע גם כקובץ וגם כאובייקט.

שיפרנו גם את היכולת לנייד SVM שלם בין מערכות וקלאסטרים, תלוי פרוטוקול יש מקרים שבהם הסשן אפילו לא ירצד ויש מקרים שבהם הסשן של הלקוח יתנתק אבל ה Share נשאר חי והלקוח יכול להתחבר מייד, ברוב המקרים הקליינט של הלקוח יעשה את זה עבורו באופן אוטומטי ומיידי. יעיל במקרה שצריך להזיז סביבה שלמה נניח בין מערכות SSD למערכות NL-SAS ולהיפך.

גם ה FlexCache הישן והמוכר עובר שדרוג משמעותי בגרסה 9.12. אם בעבר הכלי הזה נועד ספציפית להאצה של ביצועי קריאה בעותקים מרוחקים אבל כתיבה היתה מתאגרת כי היה צריך לכתוב ישירות לעותק המקורי, המרוחק, עכשיו אנחנו מאפשרים לנהל נעילות ברמה טובה יותר ומאפשרים לבצע גם את הכתיבות בעותק המרוחק ולתת למערכות ברקע לנהל ביניהן את סנכרון ההעתקים כך שהפיצ'ר הזה יכול היום לענות לאתגרים נוספים בסביבות מבוזרות.

אני מרגיש שהכנסתי כאן הרבה מאד מידע וזה זמן טוב לעצור. למי שמעדיף להאזין לפודקסט במקום לקרוא:

מקווה שנהנתם וכמו תמיד אשמח לשמוע מה דעתכם,

שלכם,

ניר מליק

Spoiler! Dune, Ogres, Onions and Cyber-Sec

זהירות ספוילרים!

לפני שבועיים הלכתי לראות סרט בקולנוע, לראשונה מזה שנתיים.

איזו אכזבה! הסאונד היה חזק מדי, איכות ההקרנה היתה נמוכה מדי, המזגן לא עבד ובגלל שהגענו ברגע האחרון אפילו לא הספקנו לקנות פופקורן ושתיה אבל כל זה היה כלום לעומת השוק, כן השוק! שחטפנו כשרק עם תחילת הסרט גילינו שמדובר בכלל בסרט ראשון מתוך סדרה!

מנחשים כבר איזה סרט זה היה?

ובכן, ראינו את Dune: part one ולא היה לנו מושג שזה רק part one!

ולהוסיף חטא על פשע, אחרי החוויה הלא מוצלחת הזו, גם הבר באירי בסינמה סיטי כבר היה סגור עד שהסרט נגמר ככה שלא היה שום מקום לשתות בו את היגון. נראה לי שיקחו לפחות עוד שנתיים עד שאחזור שוב לקולנוע.

בכל מקרה, אני לא מומחה אבטחת מידע גדול, בניגוד לאישתי האהובה שהתארחה כאן בבלוג בעבר, אבל אני חושב שהסרט חולית מספק דימוי מושלם לעולם אבטחת המידע או יותר נכון, לכשל מרכזי בתפיסת אבטחת מידע ארגונית.

כאן מתחיל הספויילר, זהירות!!!

אחרי שהכוכב אראקיס ננטש על ידי בית הארקונן המרושעים, מזמין קיסר הגלקסיה את בית אטראידיס האצילי והנבון לשלוט בכוכב בצדק ובהגינות, לשמור על האוכלוסיה המקומית תוך שימור אספקת ה Spice העולמית. אבל! כך אנחנו מגלים, זוהי רק מזימה משותפת של הקיסר ובית הארקונן לחסל אחת ולתמיד את בית אטראידיס והם עושים את זה על ידי סחיטה באיומים של הרופא, ד"ר יואה, שיאפשר לכוחות הרשע לפלוש חזרה לאראקיס ולתקוף במפתיע את כוחות אטראידיס.

ובכן, למה בכלל לגורם יחיד בבית אטראידיס יש מספיק כוח כדי להרוג את המלך, לכבות את מערכת ההתראה ואת שדה הכוח המגן על הכוכב? אם כבר לגורם יחיד יש כל כך הרבה כוח, איך זה הרופא? למה לרופא יש גישה למערכות האלו?

ואם כבר יש גורם יחיד שיכול לכבות את כל מערכות ההגנה שלנו, נראה היה שלאטראידיס אין כל תוכנית סדורה להתמודדות עם מקרה כשל כה חמור, אנשים רצים עם חרבות שלופות בלילה והקצינים בראש הכוחות במקום להקים חמל ולדאוג לחילוץ האח"מים זו לא תוכנית הגנה, זה ברדקיה אחת גדולה!

ובכן, הגנה, אבטחה פיזית כמו אבטחת מידע, עושים בשכבות, מודיעין, הרתעה, מניעה, התראה, כוח תגובה ראשונה, כוח תגובה עיקרי, כוח תגבור, עומק ועתודה, מקרים ותגובות, תרגולים, שכבות, כמו בצל.

תמיד שווה להזכיר כמובן שה Snapshots שלנו הם Immutable, בלתי ניתנים לשינוי, אין דרך לשנות את תוכנו של סנפשוט מרגע שנלקח ואין כל דרך להשפיע עליו מתוך ה File System, ואם רוצים, אפשר להקשיח אותם עוד יותר עם SnapLock שיכול לנעול קבצים או בתנאים מסויימים סנפשוטים גם מפני מחיקה על ידי מנהל המערכת או נכון יותר על ידי מי שגנב את הרשאות מנהל המערכת.

לפני שבועיים ערכנו את אירוע ה Insight השנתי שלנו, במתכונת on-line וכולי תקווה שבשנה הבאה נחזור למתכונת הרגילה. במסגרת הכנס חשפנו יכולת חדשה ומעניינת בעולם אבטחת המידע וספציפית הגנה מפני נוזקות הצפנה ובכך הוספנו שכבה חשובה לבצל.

נוזקות הצפנה רבות משנות את סיומות הקבצים לפני הצפנת תוכן הקבצים. מנגנון ה F-Policy המובנה במערכות שלנו מאפשר באופן אוטומטי ומיידי למנוע יצירה של סיומות קבצים מסוימות במערכת ועל ידי כך לעצור מתקפות רבות בתחילת התרחשותן.

אנחנו יודעים לנטר בזמן אמת שינויים בגודל הSnapShot במערכות (גידול) ושינויים ביעילות טכנולוגיות חסכון הנפח שלנו (קיטון) ולהתריע כי שינויים אלו בדרך כלל מצביעים על תהליך פעיל של הצפנת מידע בארגון.

שירות ה CloudSecure שלנו מסתכל על התנהגות משתמשים ויודע לקשר בין משתמש, המידע שלו וקובצת המשתמשים בארגון אליה הוא שייך ולהצביע בזמן אמת על שינוי בגישה למידע, עליה בכמות קריאות קבצים שאולי מצביעה על דלף מידע או עליה בכמות שינויי קבצים שאולי מצביעה על הצפנת מידע.

הנדבך החדש שעליו הכרזנו בסוף השבוע מתבסס על יכולת מובנית במערכת לנתח את מבנה המידע עצמו. חשוב להגיד שאנחנו לא מסתכלים על תוכן המידע אלא רק על המבנה שלו ויודעים להצביע בזמן אמת על שינויים במבנה המידע. הכלי, שנקרא כרגע בשם הכי פשוט והכי ברור ONTAP Onbox Anti-Ransom לומד את מבנה המידע במערכת במשך מינימום 7 ימים אבל אנחנו ממליצים על 30 ימים ולאחר מכן הכלי יודע לזהות בזמן אמת שינוי במבנה המידע, להתריע על שינויים אלו ולבצע באופן אוטומטי פעולות יזומות להגנה על המידע כגון לקיחת סנפשוטים להגן על המידע המותקף.

אם נחזור לדימוי ההגנה בשכבות, סיפרתי לכם כאן על כלים מובנים בתוך המערכת ושירותים חיצוניים המאפשרים ביחד להתמודד עם נוזקות כופר ברמת סיומת הקובץ, ברמת מבנה ה File System והשירותים שלו, ברמת התנהגות המשתמשים וברמת מבנה המידע עצמו.

למי שרוצה להעמיק את הקריאה, יש לנו סדרה של פוסטים בנושא וגם כמובן Technical Report רלוונטיים, אחד ספציפית על התמודדות עם נוזקות כופר(TR-4572) ואחד על הקשחה כללית של מערכות (TR-4569).

תשמרו על עצמכם ועל הארגונים שלכם, בתקווה ובשנה הבאה נוכל כולנו לנסוע ביחד לברלין\ברצלונה\וגאס לכנס אינסייט כמו שצריך (אגב, הבנתם למה שרק?)

שלכם כמו תמיד,

ניר מליק

ניר מליק

מחשבות על תשתיות

תגית: ransomware

חדשות לא חדשות בעולם ה SMB/NAS

מה חדש ב ONTAP 9.12.1