النسخ الاحتياطي أهم وسيلة لمواجهة هجمات الفدية – مقابلة مع خبير إدارة البيانات وحمايتها في Commvault

تعرف شركة Commvault بمكانتها الرائدة في مجال إدارة البيانات وحمايتها، فهذه الشركة العريقة، التي تأسست عام 1988، تقدم لعملائها حلول النسخ الاحتياطية للبيانات والاحتفاظ بها، وقد شاركت مؤخراً في معرض جيتكس 2023 بدولة الإمارات العربية المتحدة، واستطاع فريق مينا تك مقابلة السيد سيزار سيد دي ريفييرا، الخبير في شركة Commvault في مجالات إدارة البيانات وحماية البيانات، والأمن، والمرونة السيبرانية. والسيد نزار الفرّا، الذي يتولى مسؤولية عمليات ما قبل البيع في Commvault ضمن منطقة جنوب شرق أوروبا والشرق الأوسط وأفريقيا (SEMEA).

ما هي أبرز إعلانات شركة Commvault في معرض جيتكس؟ وما مدى مساهمة الذكاء الاصطناعي في هذه الإعلانات؟

السيد الفرّا:

لقد أعلنا في جيتكس عن عدد كبير من القدرات المرتبطة بالمرونة السيبرانية؛ ففي هذا المجال أحدثت شركة Commvault تحولاً في حماية البيانات، وأعادت تعريف مفهومي إدارة البيانات وحمايتها عبر استراتيجية Shift-left، فهذا الأمر يتيح لعملائنا اكتشاف التهديدات الإلكترونية في وقتٍ مبكر. لذلك يسعنا القول إننا أكثر مرونة سيبرانية على صعيد إعادة تعريف حماية البيانات وإدارتها، فشركة Commvault  توفر قدرات وخدمات مثل: فحص التهديدات، وفحص بيانات الإنتاج والبيانات الاحتياطية بما يكفل اكتشاف مصادر التهديد مبكراً قبل أن يجهز العميل نسخةً احتياطية لتلك البيانات. ومن هذا المنطلق يشكل معرض جيتكس مكاناً مناسباً للإعلان عن قدراتنا جديدة في هذا المجال.

السيد دي ريفييرا:

لدينا قدرات جديدة سنعلن عنها في شهر نوفمبر، ولسنا مخولين حقاً بالكشف عنها حتى يصدر الإعلان الرسمي. لكن يسعنا إخباركم إننا نتعامل مع الذكاء الاصطناعي وتعلم الآلة منذ بعض الوقت، وذلك فيما يتعلق بالبيئات النشطة (Live environments) والبيئات الاحتياطية (Backup environments)، وطريقة تأثير الاتجاهات الحالية عليهما. ففي السابق أرادت الجهات السيئة أن تحظى بالاهتمام، وأن تشن هجمات الحرمان من الخدمات (DDoS) أو تشفير البيانات وطلب فدية مقابلها. أما الآن فنرى هجمات فدية التي تستهدف طرفاً ثانياً أو ثالثاً؛ فإذا كان لدينا مستشفى على سبيل المثال، فلن يطلب المهاجمون فدية مقابل بياناتها المشفرة فحسب، وإنما سيطلبون من عملاء تلك المشفى فدية مالية لأنهم اخترقوا بياناتهم.

وهذا يعني أنهم أولاً يطلبون فدية من المستشفى، ثم يتواصلون معها ثانياً قائلين إنهم سيخبرون العملاء بأن المستشفى لم تحمِ بياناتهم وأنها أصبحت مكشوفة، وبعد ذلك يطالبون العملاء أنفسهم، فيهددون أحدهم بأنهم يمتلكون بياناته الصحية وسينشرونها على العلن، وهكذا يصبح لدينا 3 طبقات من هجمات الفدية. لهذه الأسباب أصبح من المهم اتباع استراتيجية Shift-left، فضلاً عن تضمين الذكاء الاصطناعي في حلول إدارة البيانات.

يمكنني هنا أن أورد مثالاً آخر؛ فلدينا إمكانية لمقارنة ما يحدث في كلتي البيئتين في الوقت عينه. وفي ظل الوتيرة السريعة لعمليات التشفير في السوق، فإننا نواجه بيئة مختلفة أو سيناريو مغايراً لما كان عليه الحال قبل عامين. ففي الوقت الراهن تصيب الهجمات كلتا البيئتين، أما في السابق فكانت تصيب البيئة النشطة أو البيئة الاحتياطية، وبذلك يكون أمام المؤسسة وقتٍ كافٍ للتعامل معها. فإذا كان لدى العميل بيئة نشطة من البيانات، ولديه أيضاً منصة خاصة لإدارتها مثل Commvault، عندئذ تخبره المنصة بحدوث عملية تشفير ضخمة لبياناته، وبوجود عمليات مشبوهة تعبث بنظام الملفات الإنتاجية أو الاحتياطية، وتعطيه الخيار لاتخاذ الإجراءات اللازمة بنفسه، أو بطريقة مؤتمتة باستخدام مساعد ذكي قادر على اتخاذ الإجراءات المناسبة نيابة عن العميل. فهذه العملية شديدة الأهمية لأنها تستطيع إيقاف هجمات الفدية فوراً.

في الوقت الحالي نطلق عرضاً موجوداً في السوق في حالات كثيرة، وهو التكامل مع أنظمة إدارة معلومات الأمان والأحداث (SIEM) وتنسيق وأتمتة استجابة الأمان (SOAR) لدى شركات مثل Splunk وCyberArk وPalo Alto وSentinel. فنحن لا نستطيع وحدنا توفير الأمن السيبراني، وإنما هو جهد جماعي وتعاون بين الشركات. فاستراتيجية Shift-left لا تقتصر فقط على استعادة البيانات عند الهجمات الإلكترونية، وإنما تتضمن كذلك طريقة حماية بيانات العملاء وتأمينها.

بالإضافة إلى ما سبق، لدينا قدرة أخرى هي تقنية الخداع السيبراني؛ فعلى سبيل المثال إذا كان لدى العميل كاميرات أو تطبيقات أو خوادم لديها عنوان IP، فعندئذ نضع أفخاخَ تضليلية لخداع المهاجمين، وهكذا نتخذ التدابير اللازمة فوراً حالما يهاجمون واحداً منها. وتعتمد التقنية أساساً على تكنولوجيا الذكاء الاصطناعي وتعلم الآلة، وهي تقلل احتمالية وصول مصادر التهديد إلى البيانات المهمة للعميل؛ فعندما نضع 50 فخاً تضليلياً، عندئذ ستقل احتمال وصول المهاجمين إلى تلك البيانات. فهذه جميع الأمور المرتبطة بنهجنا الأمني وتكنولوجيا الذكاء الاصطناعي وتعلم الآلة واستراتيجية Shift-left.

كما توجد لدينا خدمات وحلول أخرى مثل نسبة الذكاء الأمني، والإمكانات التي نوفرها للعملاء حتى يدركوا مجريات الأمور ويعرفوا وضعهم الأمني على صعيد إدارة البيانات وحمايتها. كذلك نستطيع إطلاق التحذيرات واتخاذ الإجراءات المناسبة فوراً في بيئات الإنتاج لدى العملاء انطلاقاً من منصتنا، فلدينا الكثير من حلول التكامل والحلول القائمة على الذكاء الاصطناعي وتعلم الآلة.

هل يمكنكما أن تقدما لنا بعض النصائح والنقاط المهمة في مجال الأمن السيبراني؟

السيد الفرّا:

حسناً أبدأ كلامي بالإشارة إلى بعض التوصيات التي ينصح بها مكتب التحقيقات الفيدرالي في أمريكا، فهو يخبر عملائه والمستخدمين النهائيين بضرورة الاستثمار في نظام نسخ احتياطي قوي وحديث يتيح لهم التعافي من الهجمات السيبرانية أو هجمات الفدية. وهذا الكلام مهم جداً في الواقع لأن منظمات كهذه توجد لديها إجراءات أمنية عالية، وهي تخبر العملاء بألا ينفقوا كامل ميزانيتهم على إجراءات الأمن، وأن يخصصوا جزءاً كبيراً منها لحماية بياناتهم.

إن النسخ الاحتياطي أو حماية البيانات وإدارتها هي جزء مهم من محفظة المرونة السيبرانية؛ فالعميل يتعين عليه ضمان النسخ الاحتياطي لبياناته وأن يتأكد من وجود نسخة سليمة منها، وهذا ينطوي على اتباع استراتيجية Shift-left والتأكد من اكتشاف مصادر التهديد في وقت مبكر. فهذه الإجراءات كلها ليست مجرد استراتيجية واحدة ولا حتى ثلاث استراتيجيات، وإنما هي إطار من الأشياء والتدابير التي يجب القيام بها. ومن هذا المنطلق فإنّ النصيحة التي أقدمها- بناء على توصيات مكتب التحقيقات الفيدرالي- هي الاستثمار في أحدث حلول النسخ الاحتياطي للبيانات وحمايتها؛ فبعض الناس يغفلون عن أهمية النسخ الاحتياطي ويقللون من شأنها، لكن حماية البيانات وإدارتها هي أوسع نطاقاً وأكثر شمولاً.

في هذه الأيام نشهد جرائم سيبرانية كثيرة، وعجلة التحول الرقمي تمضي حالياً بوتيرة متسارعة، وهو مصطلح فضفاض يعني أشياء كثيرة لعملاء مختلفين. لذلك فإنّ سطح الهجوم السيبراني يصبح أوسع بكثير، وهذا يتطلب من المؤسسات والشركات حماية أصولهم. ومن الأمور المهمة التي يجب إدراكها جيداً هي عدم وجود منصة أمنية موحدة تتيح للعملاء معالجة جميع التهديدات الأمنية. بيد أنّ منصة توفر المرونة السيبرانية تتيح لهم هذا الإطار وتمكنهم من إضافة مكونات الحماية المختلفة وتشغيلها مثل الخداع السيبراني، أو اتخاذ تدابير دفاعية استباقية عبر اتباع استراتيجية Shift-left وإجراء عمليات الفحص، أو تحليل المخاطر وتحديد حجم مخاطر الأصول. فجميع هذه الأمور تصبح جزءاً من إطار العمل، أما الهدف النهائي لها فهو إنشاء نسخة سليمة من البيانات يمكن استعادتها في حالات الهجوم.

السيد دي ريفييرا:

برأيي أن الأمن السيبراني أوّل النقاط المهمة، فالبيانات هي أهم الأشياء حالياً، ولا بد من حمايتها. بعد ذلك ينبغي للمؤسسة أو الشركة تحديد البيانات الأكثر أهمية لديها، ثم اتباع نهج مختلف في التعامل معها، سواء على صعيد اتفاقية مستوى الخدمة أو حماية أو الاستثمار. وينبغي للمؤسسة أن تطرح على نفسها عدة أسئلة من قبيل: ما الأمور المطلوبة عند وقوع كارثة كبيرة؟ وما هي الأمور اللازمة لاستمرارية عملها؟ وإذا تعلّق الأمر بشيء محدد مثل قاعدة بيانات، فكيف تستطيع استعادتها لاحقاً؟ فالأمر الأول إذن هو الأمن وما يرافقه من عمليات الخداع السيبراني ومنع الهجمات السيبرانية قبل وقوعها.

أما الأمر الثاني فهي البساطة؛ والمقصود هنا توفير منصة لإدارة البيانات كلها دون أي تعقيد بصرف النظر عن مكان وجود تلك البيانات وعلى أي سحابة؛ فعلى سبيل المثال ربما تشغل إحدى المؤسسات أنظمة قديمة محلياً، ثم تنتقل بعدها إلى خدمات سحابية من AWS أو Azure، لذلك فهي تريد البساطة وألا تحتاج إلى الخبرة للتعامل مع كل منتج على حدة. بالإضافة إلى الأمن والبساطة، هناك الأمر الثالث وهو الأتمتة والتنسيق؛ فإذا وقعت كارثة أمنية، لا بد للمؤسسة أن تتصرف بأقصى سرعة ممكنة لاستعادة الحد الأدنى من أصول البيانات حتى تواصل أعمالها ونشاطاتها كالسابق، وهذا ما نقصده بالتكامل مع أطراف ثالثة.

إذاً يوجد لدينا أنماط عملٍ لمساعدة العملاء في اختيار ما يريدونه، سواء أكانوا يرغبون في وجود نسخ احتياطية لاستردادها من السحابة أو في مكان مادي مختلف. ونساعدهم في تحديد التطبيقات الأهم أو الأقل أهمية، وبذلك يستطيعون توفر نفقات كثيرة بسبب اتفاقيات مستوى الخدمة المختلفة التي يقدمونها في تطبيقاتهم. فقد يختارون مثلاً نسخ بياناتهم المهمة بنقطة استرجاع (RPO) ووقت استرجاع (RTO) قريبين من الصفر، وبذلك يستعيدون بياناتهم بوقت شبه فوري عندما يتعرضون لكارثة. أو ربما يكون لديهم مواقع داخلية دافئة وباردة للتعافي من الكوارث، وتكون مخصصة لتطبيقات من المستوى 2 أو 3؛ فهي عندما تكون متوقفة لا تستهلك مساحة أو كهرباء أو طاقة، أي أنها صديقة للبيئة. ولا شك أن هذه الأمور جميعها تكون منظمة ومنسقة، فتتجنب الشركات بذلك أي خطأ بشري، وهي تحدث طبعاً بالتكامل مع شركات أخرى في مجال الأمن السيبراني مثل Splunk وغيرها.