Solutiile de backup si de recovery sunt gandite sa protejeze organizatia si datele acesteia. Malware sofisticat precum Locky, Crypto si Ryuk au ca prima tinta intr-un atac ransomware backup-ul datelor.
Prima rascumparare platita, acum mai bine de 30 de ani, in 1989, a creat precedentul prin care hacker-ii de pretutindeni pun stapanire pe datele utilizatorilor si le tin ostatice pana cand acestia platesc ca sa le obtina inapoi. Potrivit Cybersecurity Ventures, se estimeaza ca in 2021 la fiecare 11 secunde o organizatie va fi victima unui atac ransomware. Pierderile financiare cauzate de aceasta metoda de atac devenita preferata atacatorilor malitiosi datorita venitului pe care il genereaza sunt estimate in 2021 la peste 20 de miliarde de dolari, reprezentand o crestere de peste 57 de ori fata de anul 2015.
Backup-ul datelor
Cand ransomware-ul loveste si cand totul este pierdut, singura solutie de salvare este backup-ul datelor. Acest lucru este stiut si de atacatori, care tintesc in prima faza acest “colac de salvare al organizatiei”. Backup-ul poate fi criptat de catre malware sau poate fi exfiltrat intr-o locatie de-a atacatorilor si apoi sters de pe serverele companiei. Organizatia se vede astfel constransa sa plateasca rascumpararea pentru a-si recupera datele. Nefacand plata, organizatia va pierde pentru totdeauna datele pierdute, consecintele acestui fapt fiind dezastruoase.
Doua atacuri recente ilustreaza perfect nevoia de a avea un plan de backup si restore al datelor bine pus la punct: atacul asupra conductei de petrol Colonial si atacul asupra sistemului de sanatate irlandez. Daca in primul caz, victima a ales sa plateasca recompensa de 4,4 milioanse USD, in al doilea caz guvernul irlandez a ales sa nu plateasca cele aproape 20 de milioane si sa opreasca toate sistemele computerizate pana la restaurarea unor copii curate ale datelor. Pana atunci, toata activitatea se desfasoara folosind hartia, riscul ca un pacient sa primeasca o transfuzie gresita sau un tratament destinat altcuiva fiind imens.
Backup-ul datelor – o tinta predilecta pentru atacatori
Creatorii unui virus ransomware stiu ca backup-ul datelor este o defensiva eficienta si isi scriu codul astfel incat sa il detecteze, sa il localizeze si sa il stearga, amplificand impactul distrugator al atacului asupra victimei. Backup-ul original al datelor trebuie pastrat intr-o stare imuabila si accesul la el trebuie sa fie facut printr-o metoda de RBAC (role-based access control) combinata cu MFA.
Organizatiile care aleg sa foloseasca o politica globala de backup a datelor implementeaza aceasta politica intr-o maniera fragmentata: o parte din sisteme isi fac backup-ul on premises, iar alte sisteme in cloud sau la un provider de servicii de gazduire. Unele organizatii impun angajatilor sa isi faca backup periodic pe un stick USB sau un harddisk extern. Ideea este ca toate aceste locatii dispersate nu fac decat sa creasca suprafata de atac pe care actorii malitiosi o pot exploata. Organizatia trebuie sa se gandeasca la o solutie unificata prin care sa interconecteze toate locatiile in care se face backup. Reducerea suprafetei de atac si cunoasterea locatiei datelor de backup sunt cele mai eficiente arme impotriva unui atac de tip ransomware.
Solutiile de backup trebuie sa fie in permanenta monitorizate. Adesea, ne punem problema unui atac din exterior, dar la fel sau poate chiar mai periculos este un atac din interior. Un angajat nemultumit ca este concediat poate modifica sau sterge o buna parte din datele la care avea acces. Un sistem de backup traditional poate detecta aceste actiuni fara probleme. Insa daca se sterg portiuni mici de date, acest lucru poate trece nedetectat. Sistemele moderne de backup sunt capabile sa detecteze modificari in date chiar si la nivel de bit, aducand o protectie robusta backupului si asigurand astfel integritatea acestuia pentru atunci cand va fi folosit la restaurarea unui sistem.
Recuperarea de dupa un atac ransomware executat cu succes poate fi un proces indelungat si dureros, mai ales pentru departamentul IT. Copiile de backup folosite la restaurarea mediului de productie trebuie sa fie “curate”. Asta inseamna ca este necesara o vizibilitate in aceste snapshot-uri ale datelor. Nu ne-am dori sa restauram copii ale datelor care au fost compromise cu ransomware, intrucat riscam sa pornim un nou ciclu al atacului.
Institulul Ponemon evalueaza costul mediul al unui atac ransomware la 5 milioane de USD. O parte din acest cost este reprezentata de incapacitatea organizatiei de a-si desfasura activitatea, de oprirea sistemelor, iar cealalta parte de furtul de informatii, criptarea si rascumpararea ceruta pentru “eliberarea” acestora. Este nevoie de o solutie capabila sa raspunda rapid in fata unui ransomware si care sa detecteze si sa stearga fisierele infectate la nivel global, in toate locatiile organizatiei, inclusiv in cloud. Abilitatea de a restaura un volum masiv de masini virtuale foarte rapid este de asemenea o cerinta pentru repunerea in productie a sistemelor informatice de care organizatia depinde.
Printre cele mai eficiente si versatile solutii de backup de nivel Enterprise se numara si Veeam, Commvault si Dell Technologies. Gartner plaseaza acesti producatori de software de backup si recovery in cadranul magic, indeplinind cel mai bine aceste functii. Mai multe detalii pot fi gasite aici. Inginerii Dendrio va pot ajuta sa construiti solutia cea mai potrivita.
Mihai Dumitrascu, Sr Systems Engineer