Fidye yazılımı saldırıları artık backup sistemlerini de hedef alıyor. Yönetici erişimi bile silemesin diye tasarlanan Safeguarded Copy ve mantıksal hava boşluğu (logical air-gap) sağlayan IBM Cyber Vault, saldırı sonrasında temiz bir restore noktasının varlığını garanti eder. Bu rehber; IBM FlashSystem üzerinde Safeguarded Copy yapılandırmasından Cyber Vault mimarisine, anomali tespitinden temiz ortama restore tatbikatına kadar uçtan uca fidye yazılımı korumasını anlatır.
Modern fidye yazılımı saldırıları artık anlık değil, uzun süreli ve sessiz operasyonlar olarak gerçekleşiyor. Saldırganlar önce ağa sızdığında backup sistemlerini keşfeder, yönetici kimlik bilgilerini çalar ve ancak sonra şifreleme başlatır. Bu yaklaşım, geleneksel backup stratejilerini temelinden geçersiz kılıyor.
| Saldırı Vektörü | Klasik Backup'a Etkisi | Safeguarded Copy Yanıtı |
|---|---|---|
| Admin kimlik bilgisi ele geçirildi | ✗ Backup silinir veya şifrelenir | ✔ Admin bile silemez |
| VBR / backup server ele geçirildi | ✗ Tüm restore noktaları yok edilir | ✔ Anlık kopya FlashSystem'de korunur |
| 200 gün önce bulaşmış ransomware | ✗ Tüm backup'lar kirli | ✔ Seçilebilir sayıda temiz nokta |
| Depolama ağına sızma | ✗ NAS/SAN'daki backup şifrelenir | ✔ Logical air-gap, erişim kısıtlı |
IBM FlashSystem Safeguarded Copy, depolama sistemi düzeyinde alınan ve herhangi bir kullanıcı, yönetici veya uygulama tarafından silinemez ya da değiştirilemez anlık kopyalardır. Bu kopyalar, birincil veri havuzundan ayrı, gizlenmiş bir alanda tutulur ve yalnızca özel bir kurtarma süreci ile erişilebilir hale gelir.
superuser hesabı dahil hiçbir kullanıcı bu kopyaları silemez, değiştiremez veya üzerine yazamaz. Saklama süresi dolmadan erişim mümkün değildir.svcinfo lslicense komutuyla mevcut lisansı kontrol edin.IBM Cyber Vault, Safeguarded Copy anlık kopyalarını izole ve güvenli bir sanal makine ortamında doğrulayan ve test eden bir mimaridir. Üretim ağından mantıksal olarak ayrılmış bu ortama yalnızca yetkili kurtarma süreci erişebilir. IBM, bu yaklaşımı "operational air-gapping" (operasyonel hava boşluğu) olarak tanımlar: cihazlar fiziksel olarak aynı ağda olabilir, ancak erişim politikaları ve ağ segmentasyonu ile tam izolasyon sağlanır.
| Bileşen | Rolü | IBM Ürünü |
|---|---|---|
| Birincil Depolama | Üretim verisi, anlık kopya kaynağı | IBM FlashSystem 7300/7600/9500 |
| Safeguarded Copy | Değiştirilemez, gizlenmiş anlık kopya | FlashSystem firmware (lisanslı) |
| Cyber Vault Ortamı | İzole doğrulama ve test VM'i | IBM Spectrum Virtualize (izole zone) |
| Anomali Tespiti | I/O deseni analizi, ransomware erken uyarı | IBM Storage Insights Pro |
| Otomasyon | Politika tabanlı backup ve restore tetikleme | IBM Copy Services Manager (CSM) |
| Bütünlük Kontrolü | İki yetkili kişi onayı (TPI) | Spectrum Virtualize TPI özelliği |
Mimari akış şu şekilde işler: FlashSystem, periyodik olarak Safeguarded Copy alır ve bu kopyaları gizlenmiş havuzda saklar. Bir saldırı şüphesi oluştuğunda (Storage Insights anomali uyarısı veya manuel karar) Cyber Vault sürecinde izole ortama bir "kurtarma birimi" (recovery volume) oluşturulur, güvenlik taraması yapılır ve temiz kopya onaylandıktan sonra üretim ortamına restore başlatılır.
Policy, backup sıklığını ve kaç kopyanın saklanacağını belirler. Saldırganların ağda 200+ gün kalabileceği göz önüne alındığında, en az 30 gün geriye gidebilecek kopya sayısı önerilir.
IBM Storage Insights Pro, FlashSystem FCM modüllerinden toplanan I/O istatistiklerini sürekli analiz eder ve anormal davranışları makine öğrenimi ile tespit eder. Fidye yazılımlarının şifreleme aşamasında oluşturduğu yoğun yazma operasyonları, I/O desen değişiklikleri olarak algılanabilir.
ibm.com/storageinsights adresinden FlashSystem'i ekleyin. Ransomware Detection özelliği Pro lisansı ile gelir. Anomaly Score eşiğini tanımlayın:
Storage Insights Pro, yüksek anomaly score tespit ettiğinde IBM Copy Services Manager (CSM) veya REST API üzerinden otomatik Safeguarded Copy tetikleyebilir. Bu, saldırının en erken aşamasında temiz bir kopya almanızı sağlar.
Cyber Vault, Safeguarded Copy'lerden alınan kurtarma birimlerinin (recovery volume) taranacağı ve doğrulanacağı izole bir ortamdır. Bu ortam üretim ağından ayrı, kısıtlı erişimli ve özel ağ segmentinde çalışır.
Cyber Vault ortamı için ayrı bir VLAN tanımlayın. Bu VLAN'ın üretim, backup ve yönetim ağlarından izole olması şarttır. Yalnızca olay yanıt ekibi (incident response team) bu segmente erişebilmelidir.
Doğrulama için seçilen Safeguarded Copy anlık kopyasından bir kurtarma birimi (recovery volume) oluşturun. Bu işlem, orijinal kopyayı değiştirmez.
Kurtarma birimini Cyber Vault ortamındaki izole VM'e bağlayın. Bu VM'de kötü amaçlı yazılım tarayıcıları, veri bütünlüğü kontrol araçları ve uygulama doğrulama betikleri çalıştırılır.
Aşağıdaki adımlar, fidye yazılımı saldırısı tespit edildiğinde izlenecek olay yanıt (incident response) prosedürünü ve temiz ortama restore sürecini gösterir.
Storage Insights Pro anomali uyarısı veya güvenlik ekibinin tespiti üzerine etkilenen sistemleri ağdan ayırın. FlashSystem yönetim erişimini kısıtlayın, şifre rotasyonu başlatın.
IBM Copy Services Manager (CSM), Safeguarded Copy işlemlerini politika tabanlı ve otomatik olarak yönetir. Manuel CLI komutlarına olan bağımlılığı azaltır ve tutarlı yürütme sağlar.
| Özellik | Manuel CLI | CSM ile Otomasyon |
|---|---|---|
| Backup zamanlaması | Cron/script | CSM politikası ile otomatik |
| Kopyaların yönetimi | Manuel takip | CSM lifecycle yönetimi |
| Anomali tetiklemesi | Manuel | Storage Insights Pro entegrasyonu |
| Denetim kaydı | Sınırlı | Tam aktivite logu ve raporlama |
IBM FlashSystem, Safeguarded Copy işlemlerinde Two-Person Integrity (TPI) mekanizmasını destekler. Bu mekanizmada, bir Safeguarded Copy'yi silmek veya kurtarma başlatmak için iki farklı yetkili kullanıcının onayı zorunludur. Tek bir ele geçirilmiş hesabın tüm koruma katmanını devre dışı bırakması önlenir.
superuser hesabı kilitlenemez duruma gelir ve iki SecurityAdmin hesabı olmadan TPI devre dışı bırakılamaz. TPI'yi etkinleştirmeden önce iki SecurityAdmin hesabının kimlik bilgilerini güvenli ayrı konumlarda (fiziksel kasa gibi) sakladığınızdan emin olun. Bir hesaba erişimi kaybetmek ciddi operasyonel sorunlara yol açabilir.| Belirti | Olası Neden | Çözüm |
|---|---|---|
| mksafeguardedpolicy hata | Lisans eksik veya sürüm uyumsuz | svcinfo lslicense ile SafeguardedCopy durumunu kontrol edin |
| Kopyalar silinemiyor | Saklama süresi dolmadı (beklenen davranış) | Politikadaki backupcount ve süreyi kontrol edin; silme mümkün değilse normaldir |
| Recovery volume oluşmuyor | Pool kapasitesi yetersiz veya backup UID yanlış | svcinfo lsmdiskgrp ile pool dolulugunu kontrol edin, backup UID'yi lssafeguardedbackup'tan alın |
| Storage Insights anomali uyarısı gelmiyor | Pro lisansı yok veya Call Home bağlantısı kopuk | Lisans durumunu ve Call Home bağlantısını doğrulayın |
| TPI etkinleştirilemiyor | İki SecurityAdmin hesabı oluşturulmamış | Önce iki ayrı SecurityAdmin kullanıcısı oluşturun |
ESH Bilişim, IBM Storage alanında Türkiye'nin önde gelen yetkili entegratörlerindendir. Safeguarded Copy politikası tasarımı, Cyber Vault mimarisi kurulumu, Storage Insights Pro entegrasyonu ve fidye yazılımı tatbikat planlaması konularında saha desteği için iletişime geçin.