De afgelopen week is er weer een hoop geschreven over de voordelen van cold storage. Dat zou kunnen helpen de impact van ransomware besmettingen te verkleinen. De link die zo is gelegd klinkt logisch, maar is onjuist.
Andere datasets
Als het gaat om ransomware is het duidelijk dat als ergens actuele datasets liggen die niet besmet zijn het makkelijker is de boel weer onder controle te krijgen. Voor het gemak wordt er dan van uitgegaan dat die dataset complete images zijn en de servers en computers verder niet zijn besmet. Dat laatste zou namelijk elke herstelpoging om zeep helpen.
Die datasets moeten dus vrij van fouten en besmettingen zijn. Er is voldoende software beschikbaar om het proces van aanmaken en controleren geautomatiseerd door te voeren. Waar die data wordt opgeslagen zal verschillen. In de regel wordt er weinig gesproken over warme, lauwe of koude opslag. Men heeft het, begrijpelijk, vooral over veilige opslag.
Cold storage biedt voordeel
Daarom valt het direct op als er in de marge van al het slechte nieuws over tsunami’s van ransomware opeens weer de term cold storage (koude opslag) opduikt. De verwarring die daardoor kan ontstaan is dat een gebruiker er van uitgaat dat het “koud opslaan” een serieus voordeel biedt.
Koud of veilig
Koud is echter in principe niet te linken aan “veilig”. Wie op zoek gaat naar de definities van cold storage ziet namelijk dat dit echt alleen maar betrekking heeft op het aantal keren dat deze data geraadpleegd wordt. Helaas zijn hyperscalers en andere vendoren van storage op dit punt heel actief met het gebruiken van eigen jargon. Er is dus geen eenduidige definitie van cold storage die iedere fabrikant en vendor gebruikt. Backblaze spreekt over cold storage als het gaat om dat die “seldom or never” wordt geraadpleegd. Die data staat daarom ook op HDD’s en tape. Er zijn ook blogs en analisten die cold data omschrijven als data “already a closure and archived”.
Harde criteria
Het mag duidelijk zijn dat dit ten eerste geen enkele link heeft met ransomware afweer of preventie. Daarnaast is het bijzonder vaag. Binnen SNIA en LTO zijn er ook andere omschrijvingen van data. Eigenlijk zijn die veel beter, omdat het om harde criteria gaat die voor iedereen begrijpelijk is. Warme data heet te zijn data die minder dan 10 dagen terug nog is geraadpleegd (lezen of schrijven), lauwe data is tot 30 dagen terug nog geraadpleegd. Cold storage is alles dat minimaal 30 dagen lang niet is aangeraakt.
Wie deze indeling aanhoudt snapt ook direct waarom het geen zin heeft de oplossing van ransomware te linken aan cold storage. In de regel is een dataset van meer dan een maand oud niet echt praktisch. Het is beter dan niets, maar daar houdt het dan ook mee op. Voor wie ransomware echt wil pareren is het belangrijk te weten dat de oplossing iets anders moet zijn dan vertrouwen op cold storage.