Ransomware to cyfrowy szantaż biznesu
To złośliwe oprogramowanie, którego celem jest zablokowanie dostępu do systemów komputerowych lub zaszyfrowanie kluczowych baz danych. W następnym kroku przestępcy mogą żądać okupu za ich odblokowanie.
Współczesne ataki nie ograniczają się jednak wyłącznie do blokady plików. Coraz częściej mamy do czynienia z tzw. podwójnym wymuszeniem, w którym przestępcy przed zaszyfrowaniem danych dokonują ich kradzieży. Grożą wtedy upublicznieniem poufnych informacji handlowych lub danych osobowych klientów.
Mechanizm infekcji ransomware
Cyberprzestępcy nie działają już bez konkretnego planu. Po uzyskaniu dostępu do sieci potrafią spędzić w niej wiele tygodni. Rozpoznają infrastrukturę, lokalizują serwery plików oraz identyfikują systemy kopii zapasowych. Ich celem jest uderzenie w taki sposób, aby organizacja nie miała możliwości samodzielnego przywrócenia danych. W ten sposób firma jest w krytycznej sytuacji negocjacyjnej i prawdopodobieństwo, że zapłaci okup, znacząco się zwiększa.
Dlaczego klasyczna kopia zapasowa w obliczu ransomware to za mało?
Wiele organizacji opiera swoje bezpieczeństwo na tradycyjnym modelu backupu. Zakładają one, że samo posiadanie kopii danych jest wystarczającą ochroną. Niestety, to błędne założenie. Nowoczesne szczepy ransomware są projektowane tak, aby w pierwszej kolejności infekować i niszczyć punkty przywracania danych.

Jeśli repozytorium kopii zapasowych jest widoczne w sieci jako kolejny dysk sieciowy lub zasób dostępny za pomocą standardowych poświadczeń administratora domeny, złośliwe oprogramowanie z łatwością je odnajdzie i zaszyfruje równolegle z danymi produkcyjnymi. W takim scenariuszu backup staje się bezużyteczny, ponieważ sam staje się częścią zainfekowanego środowiska.
Metoda 3-2-1-1-0 – odpowiedź na ataki celowane
Do niedawna strategia 3-2-1 była wystarczająca. Jednak obecnie, w dużej mierze ze względu na ransomware, została ona rozszerzona o parametry gwarantujące całkowitą izolację backupu od narzędzi cyberprzestępców.
Sprawdź także: Reguła 3-2-1-1-0: Sprawdzona strategia backupu dla firm, które nie mogą pozwolić sobie na utratę danych
Niezmienność danych i odporność na ich szyfrowanie
Ważnym rozwiązaniem w projektowaniu bezpiecznego backupu jest koncepcja Immutable Backup. To technologia zapisu, która sprawia, że raz zapisane dane stają się niemożliwe do zmiany, nadpisania lub usunięcia przez określony czas. Jest to niemożliwe do wykonania nawet przez użytkownika z najwyższymi uprawnieniami systemowymi.
Jak działa technologia WORM w środowisku IT?
Wykorzystując zasadę Write Once, Read Many (WORM), system tworzy tzw. zamrożoną warstwę danych. Nawet jeśli ransomware uzyska dostęp do serwera kopii zapasowych i spróbuje zainicjować proces szyfrowania, system plików odrzuci każdą próbę modyfikacji istniejących bloków danych. Dla firmy oznacza to posiadanie nienaruszonego punktu przywracania, niezależnie od skali infekcji w sieci głównej.

Czym jest Air Gap?
Skuteczną metodą ochrony przed infekcją kopii zapasowej jest całkowite odizolowanie repozytorium od środowiska produkcyjnego. Fizyczny Air Gap (np. wymienne nośniki taśmowe przechowywane w sejfie) jest metodą skuteczną, lecz w dobie potrzeby błyskawicznego odtwarzania danych często niewystarczającą pod kątem wydajnościowym.
Air Gap i chmury hybrydowe
Jak podnieść skuteczność Air Gap? Rozwiązaniem kompromisowym i wysoce profesjonalnym jest logiczna izolacja danych. Polega ona na przesyłaniu kopii zapasowych do odizolowanego segmentu sieci lub profesjonalnego centrum danych (cloud backup) za pośrednictwem bezpiecznych, jednokierunkowych protokołów. Po zakończeniu transmisji połączenie jest zamykane, co uniemożliwia złośliwemu oprogramowaniu wejście na zasoby zapasowe.
Jak proaktywnie wykrywać zagrożenia w strumieniu danych?
Nowoczesne systemy backupu klasy enterprise są wyposażone w mechanizmy sztucznej inteligencji i uczenia maszynowego, które analizują strumień danych w czasie rzeczywistym.
Jeśli system zauważy, że nagle 90% plików w codziennym przyroście kopii zapasowej zmieniło swoją strukturę (sytuacja charakterystyczna dla szyfrowania), natychmiast generuje alert i blokuje możliwość nadpisania zdrowych wersji danych. Dzięki temu firma dowiaduje się o ataku szybciej niż systemy antywirusowe, które zazwyczaj reagują na nową sygnaturę wirusa z opóźnieniem.
Strategia Disaster Recovery
Samo posiadanie bezpiecznej kopii to połowa sukcesu. Prawdziwa wartość rozwiązania objawia się w momencie konieczności przywrócenia systemów do działania.
Testowanie w bezpiecznym środowisku
Profesjonalnie zaprojektowany system backupu pozwala na uruchomienie kopii zapasowej w izolowanym środowisku testowym. Pozwala to na sprawdzenie, czy przywracane dane nie zawierają uśpionego kodu ransomware, który mógłby zainfekować infrastrukturę tuż po jej odtworzeniu. Bez regularnych testów Disaster Recovery bezpieczeństwo IT w firmie zawsze będzie niewystarczające.
Przeczytaj także: Disaster Recovery Center, czyli biznes gotowy na wszystko
Podsumowanie
Zaprojektowanie i wdrożenie systemu kopii zapasowej odpornego na ataki ransomware wymaga głębokiej wiedzy z zakresu bezpieczeństwa, sieci oraz pamięci masowych. W takim przypadku wybór odpowiedniej technologii i doświadczonego partnera technologicznego jest strategiczną decyzją dla firmy.
Eksperci Play Rozwiązania dla Biznesu z przyjemnością podzielą się swoją wiedzą w zakresie tworzenia transparentnej architektury backupu, która podnosi zaufanie do nowoczesnego biznesu.
