Media coraz częściej donoszą o różnych odmianach tzw. trojanów szyfrujących. Tego rodzaju zagrożenia — znane również jako ransomware — mają na celu wyłudzenie pieniędzy od właścicieli zainfekowanych komputerów.
Obecnie do najbardziej znanych trojanów używanych w atakach na firmy należą Locky, TeslaCrypt i CryptoLocker. Do infekowania komputerów często używają one luk w zabezpieczeniach przeglądarek internetowych lub ich wtyczek albo bezwiednie otwieranych załączników do e-maili. Gdy taki trojan przedostanie się do wnętrza firmy, błyskawicznie się rozprzestrzenia i może zacząć szyfrować cenne dane. Specjaliści z FBI zalecają przedsiębiorstwom wdrożenie porządnej strategii tworzenia kopii zapasowych i odzyskiwania, która zapewni skuteczną ochronę przed utratą danych spowodowaną przez CryptoLocker lub inne trojany.
Kolejnym obszarem, na który powinni zwrócić uwagę specjaliści ds. bezpieczeństwa IT, jest odpowiednie zabezpieczenie udostępnionych folderów (udziałów) sieciowych. Według serwisu Bleeping Computer również one stają się celem ataków ransomware.
Ze względu na krytyczne znaczenie aplikacji i danych występujących w środowisku IT wciąż istotną rolę odgrywa element „1” tzw. reguły 3-2-1. Zgodnie z nią trzy egzemplarze firmowych danych powinny być zapisywane na dwóch różnych nośnikach, z czego jeden egzemplarz powinien być przechowywany na zewnątrz firmy.
Architekturą kopii zapasowych zalecana przez firmę Veeam daje gwarancję, że podstawowe urządzenie pamięci masowej kopii zapasowych jest używane do szybkich operacji backupu i przywracania, natomiast dodatkowe egzemplarze kopii zapasowych są zapisywane w drugim urządzeniu pamięci masowej przy użyciu macierzystego zadania powielania kopii.
Opcje eksportu danych
1. Powielanie kopii zapasowych na dysk
Jak wspomniałem powyżej, pierwsza opcja polega na przesłaniu danych z jednej lokalizacji do drugiej przy użyciu zadania powielania kopii zapasowej. W tym przypadku mamy do czynienia nie tylko z powieleniem pliku, ale również z odczytaniem poszczególnych punktów przywracania znajdujących się w kopii zapasowej i zapisaniem ich na drugim dysku docelowym. Jeśli doszłoby do zaszyfrowania podstawowej kopii zapasowej lub jej uszkodzenia, zadanie powielania kopii również zakończyłoby się niepowodzeniem, ponieważ rozwiązanie Veeam nie byłoby w stanie zinterpretować danych.
W takim scenariuszu pozostaje tylko nadzieja, że drugie repozytorium kopii zapasowych zostało oddzielone od reszty środowiska IT. Innym pomysłem jest użycie repozytorium kopii zapasowych opartego na systemie Linux, które zapewni ochronę przed trojanami atakującymi system Windows.
2. Wymienne dyski twarde
Kolejna możliwość to użycie jako repozytorium dodatkowego wymiennego urządzenia pamięci masowej. Zazwyczaj służą do tego wymienne dyski twarde, np. USB. W przypadku użycia funkcji rotacji nośników dostępnej w rozwiązaniu Veeam (zobacz przewodnik użytkownika) rozwiązanie wykryje ponowne podłączenie wcześniej użytego nośnika i automatycznie zadba o usunięcie starych plików kopii zapasowych oraz rozpoczęcie nowego łańcucha kopii.
Warto w tym miejscu zauważyć, że nośniki wymienne (tradycyjne dyski twarde USB itp.) powinny być regularnie wymieniane i nie powinny być stale podłączone do komputera.
3. Taśmy
Coraz popularniejszą metodą ochrony środowiska IT przed trojanami szyfrującymi stają się skazywane niegdyś na wymarcie taśmy. Wynika to z faktu, że taśmy nie umożliwiają bezpośredniego dostępu do danych, zapewniając tym samym ochronę przed atakami ransomware. Podobnie jak nośniki rotowane, również taśmy w celu zapewnienia optymalnej ochrony powinny być umieszczane w bezpiecznej lokalizacji.
4. Migawki pamięci masowej i replikowane maszyny wirtualne
Przedsiębiorstwom, którym zależy na zwiększeniu dostępności i dodatkowych sposobach realizacji reguły 3-2-1, powinny korzystać z migawek pamięci masowej i replikowanych maszyn wirtualnych. Są to „półoffline’owe” instancje danych, które stanowią dodatkowe zabezpieczenie przed rozprzestrzenianiem się złośliwego oprogramowania — podobnie jak opisywana niżej funkcja Veeam Cloud Connect.
5. Veeam Cloud Connect
Najlepszym rozwiązaniem jest pełna ochrona pozapasmowa (out-of-band), np. przy użyciu funkcji Veeam Cloud Connect. W tym przypadku kopie zapasowe objęte zadaniem powielania są automatycznie wysyłane do repozytorium wybranego usługodawcy.
Możliwość świadczenia usługi Veeam Cloud Connect jest oferowana dostawcom i resellerom IT w ramach programu Veeam Cloud & Service Provider. Zachęcamy do kontaktu z lokalnym partnerem w celu zapoznania się z jego ofertą.
Aby sprawdzić, jacy partnerzy i usługodawcy na danym obszarze oferują usługę Veeam Cloud Connect, najlepiej skorzystać z katalogu programu Veeam Cloud & Service Provider.
Zabezpieczanie repozytoriów kopii zapasowych
Konieczność zabezpieczenia przed atakami szyfrującymi przeprowadzanymi metodą ransomware dotyczy również repozytoriów kopii zapasowych.
Prawa dostępu do serwera repozytorium kopii zapasowych powinny być ograniczone, tak aby dostęp do serwera i systemu plików miało dostęp wyłącznie konto usługi Veeam.
W przypadku systemów NAS wyłącznie konto usługi Veeam powinno mieć uprawnienia do repozytorium kopii zapasowych.
Ze względów bezpieczeństwa bezwzględnie odradzamy pracę na komputerze lokalnym z prawami administratora domeny, ponieważ może to doprowadzić do bardzo szybkiego rozprzestrzenienia się trojana ransomware po całej sieci.
Większość administratorów bezpośrednio po zainstalowaniu systemu Windows standardowo wyłącza jego zaporę. Tymczasem ten wbudowany mechanizm może uchronić firmę przed atakami sieciowymi wykorzystującymi luki w zabezpieczeniach systemu Windows. Ze sprawdzonych praktyk wynika, że warto poświęcić nieco czasu na włączenie w zaporze Windows niezbędnego ruchu przychodzącego i wychodzącego. Listę używanych portów można znaleźć w tej dokumentacji.
Ponadto na wszystkich komputerach z systemem Windows należy zainstalować skaner antywirusowy i włączyć w nim monitorowanie zagrożeń w czasie rzeczywistym. Często się zdarza, że po zainstalowaniu nowego serwera klient zapomina zainstalować na nim oprogramowanie antywirusowe. Jednak ze względu na fakt, że skanery antywirusowe zyskują głęboki dostęp do systemu, mogą blokować usługi Veeam. Ten artykuł bazy wiedzy zawiera informacje na temat wymaganych wyjątków.
Podsumowanie
Przedstawione tutaj wskazówki umożliwiają znaczne podniesienie stopnia ochrony przed atakami ransomware i utratą danych, a tym samym zabezpieczenie kopii zapasowych przed infekcją. Zawsze należy dbać o odpowiednie zabezpieczenie lokalnych i zdalnych repozytoriów kopii zapasowych Veeam. Należy też pilnować regularnego eksportowania kopii zapasowych, tak aby nie był możliwy bezpośredni dostęp do zapisanych w nich danych. Przestrzeganie tych kilku prostych zasad pozwoli uchronić środowisko przed rozprzestrzenianiem się złośliwego oprogramowania, np. trojana CryptoLocker.
