Nebulon ha lanzado Tripline, una capacidad de detección de ransomware que muestrea la entrada/salida (E/S) cada 30 segundos para detectar volúmenes inusuales de datos cifrados, y afirma que puede enviar las primeras alertas de un ataque de ransomware después de 2,5 minutos.
Tripline encaja en una cartera existente de herramientas de recuperación y protección contra ransomware de Nebulon, que, según afirma, puede ayudar a los clientes a recuperarse de un ataque en cuatro minutos.
“En general, si los clientes son CIO y CTO, lo más importante para ellos es el ransomware y proteger a sus organizaciones de él”, dijo Craig Nunes, director de operaciones de Nebulon. “Según Gartner, el 75 % de las organizaciones han tenido que lidiar con amenazas de ransomware, por lo que teníamos que tener una oferta con ciertas capacidades en torno a la seguridad y la resiliencia”.
Tripline toma muestras de datos con frecuencia y utiliza el aprendizaje automático (ML) para identificar patrones anómalos que indican niveles inusuales de encriptación. Al hacerlo, puede alertar a los clientes de un ataque y brindar detalles sobre cuándo y dónde precisamente el ataque ha afectado los datos.
Nebulon sigue un tema común entre los proveedores de almacenamiento que se han centrado en la amenaza del ransomware. En la mayoría de los casos, los proveedores de almacenamiento se preocupan más por la recuperación y la capacidad de restaurar datos a partir de instantáneas protegidas. Nebulon es posiblemente inusual al centrarse en la detección de ransomware, aunque en conjunto con la recuperación de instantáneas.
La funcionalidad Tripline está integrada en el núcleo de la oferta de Nebulon: sus unidades de procesamiento de servicios (SPU), que descargan los servicios de datos y la gestión del almacenamiento del servidor, y que se gestionan a través de una interfaz de administración y controlador basada en la nube. Las SPU y las unidades flash conectadas forman cápsulas Nebulon y son efectivamente una solución de infraestructura hiperconvergente (HCI).
La funcionalidad anti-ransomware de Nebulon aborda las debilidades potenciales de HCI, dijo Nunes.
“Con HCI, los servicios de datos y el sistema operativo de almacenamiento están conectados. Si una parte se convierte en la superficie de ataque, todo puede verse comprometido. Entonces, si puede detectar ransomware en volúmenes de datos y el sistema operativo [operating system]va a ser mejor.”
Tripline está destinado a trabajar con Timejump de Nebulon para proporcionar su recuperación de cuatro minutos. Tripline está habilitado dentro del llamado Nebulon Secure Enclave, que es un dominio de infraestructura aislado que incluye administración de servidores, servicios de datos, volúmenes de arranque y datos, y unidades de estado sólido (SSD) conectadas, así como el plano de control de la nube Nebulon ON.
Timejump se basa en instantáneas almacenadas en el enclave seguro que se pueden recuperar cuando se detecta un ataque de ransomware. Por lo tanto, la supuesta recuperación de cuatro minutos depende de la detección rápida prometida por Tripline.
“Ser capaz de detectar patrones de encriptación rápidamente permite una rápida recuperación”, dijo Nunes. “Reduce la ventana, lo que es beneficioso cuando el tiempo promedio para responder a tales ataques es de seis días, según la investigación”.
Pero, ¿qué pasa con los ataques de ransomware que conducen a la exfiltración de datos y demandas de rescate? Nebulon aún no ha abordado esa amenaza, pero está trabajando en ello.
“Actualmente, el ML funciona en torno al cifrado”, dijo Nunes. “Pero la exfiltración se ve diferente y el ML necesita identificar diferentes patrones, a saber, ráfagas secuenciales, y eso es algo en lo que estamos trabajando.
“Lo que ofrecemos es mucho más cercano al tiempo real. Otras herramientas, como las que ofrecen los proveedores de respaldo, son muy buenas, pero no son en tiempo real y solo protegen los datos”, agregó.
“Los ataques a menudo se desarrollan desde el sistema operativo, el BIOS, que observamos, pero también observamos los datos de la aplicación. La idea es que si tuviera un enchufe eléctrico defectuoso en su hogar, querría saber cuándo comenzó a humear y solucionarlo en lugar de esperar a que toda su casa se incendie”.