Záloha jako poslední ochrana před ransomwarem

14. 10. 2021
Doba čtení: 6 minut

Sdílet

 Autor: DNS
Hrozba kybernetického útoku je všudypřítomná. Automatizované škodlivé kódy si nevybírají. Zatímco obránce musí být 100% úspěšný, útočník je ve výhodě. Stačí najít a zneužít jen jedno zranitelné místo.

Pokud máme s někým účinně bojovat, musíme poznat jeho cíl a taktiku. Kybernetický zločinec má v podstatě velmi jednoduchý cíl - vydělat peníze. Jak? Musí zajistit, aby jeho oběť neměla jinou možnost, než zaplatit výkupné.

Pokud chce útočník vydírat svou oběť tím, že jí znemožní přistupovat k datům a informačním systémům, musí mít jistotu. Jistotu, že neexistuje jiná kopie dat, kterou by oběť mohla použít.

V dnešní době se (doufejme) nenajde nikdo, kdo by svá data nějakou formou nezálohoval. Toho jsou si útočníci vědomi. Svojí pozornost proto nejdříve upínají k zálohám. Pokud není zálohovací řešení dostatečně robustní, je pro útočníka velmi snadné zašifrovat nebo zničit zálohy.

Společnost Veritas se zabývá ochranou dat bezmála 40 let. Na základě našich zkušeností jsme navrhli plán, jak ve 3 jednoduchých krocích postavit řešení, které bude vůči vyděračskému kódu odolné. Podívejte se, jak na to.

schéma Backup Exec

Krok 1.: Ochrana

Ujistěte se, že chráníte skutečně všechno. Fyzické, virtuální, cloudové nebo třeba kontejnerizované systémy musí být zálohovány do úložiště, které spolehlivě zajistí ochranu před neoprávněnými změnami.

Jádrem ochrany je pochopitelně bezpečnostní řešení, ale ani ten nejlepší antivir nebo firewall není 100% neprůstřelný. Musíme být tedy připraveni na situaci, že ke kompromitaci našich systému dojde. Nejlepší způsob, jak postavit odolné řešení, je navrhnout ho tak, aby odolalo i útoku (nebo třeba jen chybě) interního administrátora.

Základním předpokladem je dodržování dnes už notoricky známého pravidla 3-2-1. Udržujte alespoň 3 kopie dat na 2 typech nosičů s jednou kopií fyzicky oddělenou. Tato mantra, byť původně určená pro ochranu dat před různými přírodními nenadálými okolnostmi, dokáže výrazně pomoci i s ochranou před kybernetickým útokem.

Ze zkušenosti víme, že právě fyzické oddělení alespoň jedné kopie dat a schopnost z této kopie co nejjednodušeji vše obnovit, je cesta k úspěchu. Jakmile útočník získá identitu doménového administrátora, je pro něj hračkou převzít kontrolu nad celou sítí. Překonat „vzduchovou mezeru“ a napadnout izolované kopie je už ale pro drtivou většinu útočníků neřešitelný úkol. Vaše data tak zůstanou v bezpečí.

 Co všechno by ještě měla odolné řešení ochrany splňovat?

  • Automaticky chránit všechna data i nově vznikající systémy.
  • Je snadno škálovatelné.
  • Používejte více faktorové ověření pro přístup k managementu.
  • Záložní úložiště musí být chráněno před změnou, kterou provádí cokoliv jiného než certifikované procesy zálohovacího řešení.
  • Zajistěte audit veškerých administrátorských operací.

Krok 2.: Detekce

Myslete na to, že jakýkoliv plán je tak silný jako jeho nejslabší článek. Nemůžeme chránit to, co nevidíme. Ransomware miluje zapomenutá zranitelná místa v IT infrastruktuře. Obvykle si vybírá dočasné, testovací a málo zabezpečené servery. Abychom dokázali překlenout tato slabá místa, potřebujeme zajistit univerzální viditelnost, rozkrýt nechráněná místa a identifikovat anomálie.  Právě ty se totiž jinak stanou zdrojem kritické situace.

Zpozorněte, pokud nastane výrazná změna v počtu nebo objemu zálohovaných dat, případně také v době trvání zálohy. Velmi užitečná je například informace o změně deduplikačního faktoru. Šifrovaná data mají totiž vysokou entropii, a tak se velmi špatně deduplikují. Deduplikujete běžně data s efektivitou nad 90 %? Snížila se najednou tato hodnota na 5 %? Asi tušíte, že je něco špatně. Ano, může to být symptom probíhajícího ransomware útoku. Ale ruku na srdce, který administrátor zálohovacího řešení tuto hodnotu pravidelně kontroluje?

Krok 3.: Obnova

Obnova dat musí úspěšně proběhnout za všech okolností. Doporučujeme mít co nejvíce možností jak a kde obnovu provést, ať už se jedná o obnovu v primární lokalitě, sekundárním datovém centru nebo je třeba postavit kompletně novou infrastrukturu v cloudu.

Požadavky na obnovu se liší podle závažnosti incidentu. Odhalili jste a zastavili útok včas? Pak bude pravděpodobně stačit, když obnovíte jen několik individuálních souborů. Pokud ale došlo ke kompromitaci celého prostředí, bude nutné obnovit celou infrastrukturu. V tom případě výrazně pomáhá funkce obnovy na holé železo, kdy je možné obnovit fyzický server včetně aplikací v jediném kroku. Ideální je, když máte možnost rychle vrátit virtuální server do stavu při předchozí záloze, aniž byste ho museli celý obnovovat.

A jak zjistíte, kterou zálohu vlastně musíte obnovit? Informaci, kterou jsme získali v druhém kroku, můžeme ještě validovat s výstupem z bezpečnostního řešení (například logy firewallu). Mnohdy ale nemáme stále jistotu, že daná záloha je ta pravá. Jak z toho ven? Využijeme možnost zálohovacího řešení a obnovíme data v izolované testovací síti nebo v cloudu. Takový postup nám totiž umožní ověřit v systémech (ne)přítomnost škodlivého kódu.

Nemusíte být nezranitelní

Pří plánování zálohovacího systému myslete na to, že nemusíte být 100% neprůstřelní. Proč? Připomeňte si, co je jeho cílem. Chce si vydělat, a tak porovnává náročnost útoku s potenciálním ziskem. Pokud zjistí, že ve vašem prostředí musí překonávat složité překážky, radši to vzdá.

Držte se tedy alespoň těchto pravidel:

1) Dodržujte pravidlo 3-2-1

2) Pravidelně aktualizujte systémy

3) Testujte obnovy a DR scénář. Protože jakýkoliv DR plán je tak spolehlivý jako jeho poslední test.

Josef Honc, DNSS technologiemi, které spadají do portfolia Veritas, má Josef Honc více než 15 let zkušeností. Ve společnosti Veritas působí jako senior technology consultant. Má bohaté zkušenosti s technologiemi pro datová centra, zejména v oblastech zálohování a vysoké dostupnosti, virtualizace, kontejnerizace a cloudových řešení. 

Pro více informací o produktech a spolupráci s Veritas navštivte web veritas.cz nebo kontaktujte přímo Josefa Honce.

josef.honc@veritas.com

bitcoin_skoleni

https://www.linkedin.com/in/josef-honc/

Jedním z distributorů zálohovacích řešení Veritas je DNS a.s.

Čtěte dále

HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
AT Computers je opět nejlepším distributorem klientských zařízení Dell
AT Computers je opět nejlepším distributorem klientských zařízení Dell