Uważaj na ransomware! Kopie bezpieczeństwa mogą być źródłem

Szkody, które może wyrządzić przedsiębiorstwom ransomware, są oszałamiające. Przedsiębiorstwa, posiadające poczucie, że nie mają wyboru i muszą płacić cyberprzestępcom za odblokowanie ich plików, mogą nie tylko stracić pieniądze, ale także narażają na szwank swoją reputację. Zgodnie z raportem opracowanym przez Cybersecurity Ventures, przewiduje się, że w 2021 r. globalne koszty powstałe w wyniku działania ransomware wzrosną o 20 mld dolarów.

Podczas gdy najlepszą odpowiedzią na atak szyfrujący firmowe dane jest prewencja, w całym krajobrazie zagrożeń nie zawsze jest to możliwe. To samo badanie Cybersecurity Ventures przewiduje, że w 2021 r. co 11 sekund jakaś firma padnie ofiarą ataku typu ransomware. W ostatecznym rozrachunku prawie wszystkie systemy komputerowe są podatne na złamanie, tak więc firmy muszą być przygotowane na funkcjonowanie w rzeczywistości nieustannych ataków i posiadać plan awaryjny na wypadek najgorszego.

Posiadanie kopii zapasowych dostępnych offline oraz przechowywanie ich, między innymi, poza siedzibą firmy, a także utrzymywanie zdolności do szybkiego odzyskiwania danych po awarii może pomóc przedsiębiorstwom odzyskać dane zaszyfrowane przez atakujących. Zarówno ryzyko, jak i scenariusze takich ataków są jednak zróżnicowane, dlatego też przedsiębiorstwa potrzebują odpowiedniego planu działania oraz pewności, że informacje z kopii zapasowych nie zostaną wykorzystane przeciwko nim – np. nie są już zainfekowane.

Krajobraz zagrożeń ewoluuje

W dzisiejszych czasach obserwuje się rosnącą fragmentację w rodzajach ataków wymuszających okup. Szefowie działów bezpieczeństwa (CSO) kojarzą tego typu haracz głównie z szyfrowaniem danych. Oznacza to, że złośliwe oprogramowanie uzyskuje dostęp do poufnych lub krytycznych danych i szyfruje je. „Umowa” w takim scenariuszu polega na tym, że firma płaci okup w zamian za pliki, które mają być odszyfrowane i przywrócone do ich oryginalnej, użytecznej postaci. Nie jest to jednak jedyne zagrożenie dla CSO, które należy rozważyć. W innych przypadkach cyberataki będą polegać na rozsyłaniu poufnych danych poza firmę, zamiast je szyfrować. W tym wypadku zapłacenie okupu ma na celu zapobieżenie publicznemu wyciekowi potencjalnie wrażliwych danych.

Różne modele i scenariusze działań przestępców utrudniają konsekwentną obronę przed wciąż zmieniającym się spektrum zagrożeń. Złotą zasadą dla organizacji jest posiadanie szczegółowej wiedzy, co jest normalnym zachowaniem w ramach ich własnej infrastruktury IT. Można to osiągnąć poprzez ciągłe monitorowanie danych i przechowywanie ich w chmurze, a także poprzez wykorzystanie analiz sieci, systemów operacyjnych i aplikacji. Zwiększona świadomość tego, jak wygląda bezpieczny stan rzeczy, może sprawić, że podejrzane i złośliwe działania będą łatwiejsze do wykrycia, co znacznie przyspieszy czas reakcji.

Mądre wykorzystanie szyfrowania jest równie dobrym pomysłem. Jeśli złośliwe oprogramowanie nie może „zobaczyć” danych, trudniej będzie wykorzystać je przeciwko nam. Zgodnie z raportem Duo Privacy in the Internet Trends, 87% ruchu w sieci jest szyfrowane – a liczba ta stale rośnie. Jednak nadal ciężko określić, jaki odsetek danych w przedsiębiorstwach jest zaszyfrowany. Z danych zebranych przez Zscaler's IoT in the Enterprise wynika, że 91,5% ruchu w sieciach IoT przedsiębiorstw nie jest w żaden sposób zaszyfrowane. Te mocno kontrastujące ze sobą dane wskazują na istnienie znacznej różnicy między sposobem, w jaki przedsiębiorstwa z reguły wykorzystują szyfrowanie, w porównaniu z platformami internetowymi i dostawcami usług.

Czy kopie zapasowe są wartościowym celem dla cyberprzestępców?

Jednym z obszarów, w którym szyfrowanie jest niezbędne do wzmocnienia ochrony organizacji zarówno przed żądaniami okupu, jak i przed zagrożeniami wewnętrznymi, jest wdrożenie szyfrowania „nearline” kopii zapasowych danych. W raporcie Veeam 2019 Cloud Data Management stwierdzono, że ponad dwie trzecie organizacji tworzy kopie zapasowe swoich danych. Choć jest to oczywiście dobra wiadomość, to nietrudno wyobrazić sobie jaki ogromny potencjał szantażu mają cyberprzestępcy, jeśli chodzi o uzyskanie dostępu do kopii zapasowych całej infrastruktury cyfrowej organizacji.

Biorąc pod uwagę fakt, że cyberprzestępcy wykorzystujący oprogramowanie ransomware poszukują danych, to teoretycznie mogą znaleźć wszystko, czego potrzebują, w kopiach bezpieczeństwa. Mogą one mieć różną postać: od dysków systemowych i wymiennych dysków twardych, po urządzenia taśmowe offline i kopie zapasowe w chmurze. Niezależnie od tego, którą opcję wybierze firma, samo repozytorium kopii zapasowych musi być chronione przed atakiem za pomocą bardzo odpornego typu nośnika. W przeciwnym razie istnieje ryzyko, że próbując zapewnić ciągłość działania, firmy mogą tworzyć skarbiec słabo zabezpieczonych danych, które mogłyby zostać wykorzystane przeciwko nim.

W przypadku niektórych ryzykownych działań można zwiększyć bezpieczeństwo poprzez szyfrowanie kopii zapasowych na każdym kroku. Historycznie, szyfrowanie kopii zapasowych było doskonałym pomysłem, gdy nośniki opuszczały siedzibę firmy lub gdy dane były przesyłane przez Internet. Biorąc pod uwagę rozpowszechnienie współczesnych zagrożeń w cyberprzestrzeni, szyfrowanie musi odbywać się bliżej samego procesu tworzenia kopii zapasowych. Najskuteczniejszą techniką jest jednak odporność danych zapisanych w kopii zapasowej.

Zabezpieczanie kopii zapasowych danych

Dochodzimy do ważnego tematu ultraodpornej pamięci masowej do tworzenia kopii zapasowych – jednej z najbardziej efektywnych form przechowywania danych, która jest odporna na ataki ransomware. Istnieje przynajmniej kilka sposobów, w jaki organizacje mogą osiągnąć taki poziom ochrony, aby ich kopie zapasowe danych nie stały się przysłowiowymi „tylnymi drzwiami” dla cyberprzestępców.

Pierwszym z nich jest wykorzystanie taśm offline, które są bardzo skuteczną formą nośnika odseparowanego od sieci internet. Taśmy są często uważane za staromodną i nieefektywną technologię przechowywania danych, ale nie można ich pobić, jeśli chodzi o tworzenie wysoce przenośnych, bezpiecznych i niezawodnych kopii zapasowych, dodatkowo o niskim koszcie. Podobnie jak w przypadku taśm, wymienne dyski również mają cechę offline, która polega na tym, że nie są w sieci, chyba że są akurat odczytywane z lub zapisywane. To sprawia, że są one preferowaną opcją, jeśli chodzi o ograniczanie widoczności kopiowanych plików dla agentów złośliwego oprogramowania.

Niezmienne kopie zapasowe w chmurze, takie jak choćby tryb zgodności pamięci masowej AWS S3 do blokowania obiektów, obsługiwany przez firmę Veeam, oznaczają, że dane kopii zapasowych przechowywane w chmurze nie mogą zostać usunięte przez ransomware, złośliwych administratorów ani nawet przypadkowo. Tego typu rozwiązanie jest dostępne w chmurze publicznej AWS S3, jak również w wielu kompatybilnych z S3 systemach pamięci masowej (zarówno lokalnych, jak i w ramach oferty publicznej). Ponadto Veeam Cloud Connect oferuje ochronę, dzięki której kopie zapasowe danych mogą być przechowywane całkowicie poza zasięgiem klientów. Jest ona dostarczana przez dostawcę usług i pomaga użytkownikom końcowym chronić się przed ransomoware, zagrożeniami wewnętrznymi i przypadkowym usunięciem danych.

Szefowie działów bezpieczeństwa stale zmagają się z rozsądnym kompromisem pomiędzy wygodą, a bezpieczeństwem. W czasach, gdzie przedsiębiorstwa przechodzące transformację cyfrową mają wielorakie potrzeby inwestycyjne, ochrona przed oprogramowaniem ransomware jest krytyczna dla zapewnienia ciągłości działania. Tworzenie lokalnych kopii zapasowych oraz w trybie offline może pomóc złagodzić skutki działania oprogramowania tego typu. W połączeniu z odpowiednimi rozwiązaniami w zakresie bezpieczeństwa i szkoleniami pracowników niezwykle odporne kopie zapasowe do zarządzania danymi w chmurze mogą dać organizacjom pewność, że są dobrze chronione nawet w stale zmieniającym się środowisku zagrożeń.

Rick Vanover, Senior Director, Product Strategy, Veeam