Na rynku rozwiązań cyberbezpieczeństwa (między innymi w Polsce) robi się coraz głośniej o HyperBunker. Urządzenie nie zastępuje kopii zapasowych, ale jako krytyczny magazyn danych umożliwia odtworzenie środowiska dzięki nienaruszalnej warstwie odpornej na ataki hakerów i malware. Projekt wymyślono w Słowenii i jest rozwijany w Chorwacji przez spółkę o takiej samej nazwie. Za rozwiązaniem HyperBunker stoi model security by design, ponieważ już na etapie projektowania wyeliminowano podstawową powierzchnię ataku. Urządzenie nie posiada interfejsu sieciowego, nie wykorzystuje mechanizmów uwierzytelniania, nie udostępnia API ani funkcji zdalnego dostępu – zamiast tego opiera się na fizycznej izolacji – czyli poziom bezpieczeństwa nie wynika z zastosowania złożonych czy innowacyjnych mechanizmów, lecz bezpośrednio z przyjętej architektury.
HyperBunker to urządzenie do przechowywania całkowicie offline tzw. „referencyjnego zestawu danych krytycznych” na kilku dyskach SSD. Producent deklaruje, że nawet w przypadku awarii systemów uwierzytelniania, serwerów kopii zapasowych oraz innych środowisk chmurowych odzyskanie ostatnich danych referencyjnych będzie możliwe, a w konsekwencji szybkie podźwignięcie środowiska na przykład Active Directory z poświadczeniami i konfiguracją.
HyperBunker nie jest kolejną kopią zapasową
W klasycznym podejściu do bezpieczeństwa kopie zapasowe stanowią podstawę odzyskiwania danych po incydencie. Według ekspertów analiza rzeczywistych ataków, zwłaszcza ransomware, pokazuje, że backup nie jest już elementem niezależnym. Coraz częściej staje się on jednym z głównych celów atakujących.
Organizacje mogą mieć zintegrowane systemy backupowe z infrastrukturą produkcyjną. Oznacza to, że działają one w tej samej sieci, korzystają z tych samych mechanizmów uwierzytelniania i są zarządzane przez te same konta uprzywilejowane (a poświadczenia administratorów i tak wyciekają).
W sytuacji przejęcia Active Directory lub kont administracyjnych atakujący bardzo często uzyskują również dostęp do systemów kopii zapasowych. W konsekwencji mogą usunąć dane, zmienić polityki retencji lub zaszyfrować repozytoria backupowe.
W takim scenariuszu backup przestaje pełnić swoją podstawową funkcję, ponieważ nie zapewnia już niezależnego punktu odzyskiwania.
HyperBunker nie jest systemem backupowym i nie próbuje konkurować z istniejącymi rozwiązaniami np. Acronis, Veeam czy Qnap. Jego rolą jest wprowadzenie dodatkowej, całkowicie odseparowanej warstwy przechowywania danych.
Rozwiązanie to zostało zaprojektowane w taki sposób, aby nie posiadało żadnych typowych elementów integracyjnych. A więc nie wymaga połączenia sieciowego, nie korzysta z mechanizmów uwierzytelniania (brak loginów i haseł), nie udostępnia API i nie umożliwia zdalnego zarządzania. Praktycznie cała powierzchnia ataku nie ma tutaj zastosowania, na które są podatne są rozwiązania do tradycyjnych kopii zapasowych.
HyperBunker pełni rolę offline’owego magazynu danych referencyjnych. Przechowywane są ograniczone, wcześniej zdefiniowane zestaw krytycznych informacji, które są niezbędne do odbudowy środowiska.
Zdaniem pracowników HyperBunker organizacje często nie są w stanie precyzyjnie określić, ile miejsca rzeczywiście potrzebują na przechowywanie krytycznych danych. W przypadku dużych środowisk początkowe szacunki mogą wskazywać na zapotrzebowanie rzędu kilku terabajtów, jednak w praktyce okazuje się, że wymagany zakres zwykle nie przekracza około 4 TB.
Do takiego zestawu danych wchodzą najczęściej informacje o strukturze Active Directory, konta uprzywilejowane, konfiguracje systemów oraz inne elementy niezbędne do przywrócenia działania organizacji.
Proces zapisu danych jest inicjowany wyłącznie po stronie źródłowej, na przykład przez system operacyjny Windows albo Linux, oprogramowanie backupowe lub skrypty automatyzujące. Sam HyperBunker nie zarządza tym procesem i nie ingeruje w istniejącą architekturę. Co istotne, rozwiązanie to nie wymaga żadnych zmian w środowisku produkcyjnym i może być wdrożone jako dodatkowa warstwa ochrony.
Model bezpieczeństwa
Cała koncepcja „bunkra” opiera się na założeniu „assume breach”, czyli przyjęciu, że środowisko zostało już skompromitowane. W takim modelu nie zakłada się, że systemy bezpieczeństwa zadziałają poprawnie ani że konta uprzywilejowane pozostaną bezpieczne. Zamiast tego przyjmuje się, że atakujący może mieć pełną kontrolę nad infrastrukturą.
HyperBunker pozostaje poza zasięgiem takiego ataku, ponieważ nie jest dostępny przez sieć, nie posiada danych uwierzytelniających i nie umożliwia żadnej formy zdalnej interakcji. Dodatkowo wykorzystuje fizyczną izolację oraz mechanizmy „cold storage”, co oznacza, że nie jest stale zasilany ani aktywny.
Potencjalne scenariusze użycia
W przypadku pełnej kompromitacji środowiska organizacja może utracić dostęp do wszystkich systemów, w tym również do backupów. W takiej sytuacji nie istnieje już zaufany punkt, od którego można rozpocząć odzyskiwanie.
HyperBunker umożliwia odtworzenie minimalnego, zaufanego zestawu danych, który pozwala na odbudowę kluczowych elementów infrastruktury, takich jak Active Directory. Na tej podstawie można następnie przywracać kolejne systemy i stopniowo odbudowywać środowisko. Jest to podejście zbliżone do „resetu” infrastruktury do znanego, bezpiecznego stanu.
Jakie ma ograniczenia?
Rozwiązanie nie zastępuje systemów backupowych i nie nadaje się do codziennego odzyskiwania danych. Przechowuje jedynie ograniczony zestaw informacji i wymaga dodatkowych procesów podczas odtwarzania środowiska. Zastosowanie HyperBunker ma sens wyłącznie w scenariuszach krytycznych, w których standardowe mechanizmy zawiodły.
Przykładowo klasyczne systemy backupowe nadal odpowiadają za szybkie odzyskiwanie danych operacyjnych, a rozwiązania EDR i XDR zapewniają detekcję oraz reakcję na incydenty. HyperBunker wprowadza dodatkową warstwę, która pozostaje niezależna od całego łańcucha zaufania i umożliwia odzyskanie środowiska nawet po jego całkowitym naruszeniu.
Dla kogo jest ten produkt?
Jest to rozwiązanie przeznaczone dla organizacji, które zakładają możliwość pełnej kompromitacji i chcą posiadać niezależny punkt odniesienia do odbudowy infrastruktury. Czyli na przykład dla organizacji o wysokim poziomie ryzyka i krytyczności działania, takich jak ochrona zdrowia, administracja publiczna, sektor przemysłowy, energetyka, infrastruktura krytyczna czy duże przedsiębiorstwa – wszędzie tam, gdzie przestój jest nieakceptowalny, kompromitacja tożsamości realna, a systemy kopii zapasowych mogą zostać zniszczone lub przejęte. Można powiedzieć, że w praktyce urządzenie obejmuje wszystkie podmioty będące dzisiaj celem zaawansowanych ataków.
Prezentowany sprzęt nie jest platformą do tworzenia kopii zapasowych i nie zastępuje istniejących systemów tworzenia kopii zapasowych. Służy do przechowywania najnowszego i działającego zestawu niezbędnych danych do odbudowy środowiska, które uległo naruszeniu.
Strona producenta, przykładowe case study i kontakt: https://hyperbunker.com
