Wiele osób pyta nas, co rozumiemy przez sformułowanie „bezpieczne kopie zapasowe to ostatnia linia obrony”. W ciągu ostatnich dziesięciu lat firmy z branży zabezpieczeń uświadomiły sobie, że nowoczesna ochrona przed atakami ransomware wymaga zintegrowanej architektury zabezpieczeń — sięgającej od urządzeń końcowych przez sieć po chmurę — która umożliwia wykrywanie ataków, ich korelację oraz całkowite usuwanie ich skutków. W przypadku ataków ransomware możliwości usuwania ich skutków obejmują zazwyczaj odzyskanie danych z kopii zapasowej lub zapłatę okupu. Problem w tym, że sformułowanie „przywrócenie danych z kopii zapasowej” to duże uproszczenie całego procesu, przez które wiele przedsiębiorstw przyjmuje nieuzasadnione założenia dotyczące swoich możliwości w zakresie backupu i odzyskiwania. Jak wynika z charakteru takich założeń, często okazują się one fałszywe, co prowadzi do utraty danych lub potwierdzenia konieczności zapłacenia okupu. Aby uniknąć najgorszego scenariusza, trzeba wdrożyć plan obejmujący zweryfikowane, przetestowane i bezpieczne kopie zapasowe, z których można szybko przywrócić dane. Dlatego przypominamy wszystkim firmom, z którymi mamy kontakt, że infrastruktura kopii zapasowych jest elementem szerszego planu obrony przed cyberzagrożeniami i może się okazać ostatnią dostępną metodą powrotu do działalności czy wręcz podtrzymania normalnego funkcjonowania przedsiębiorstwa.
Ewolucja ataków ransomware i podobnych zagrożeń sprawiła, że osoby, których kiedyś nie traktowano jako części firmowego systemu zabezpieczeń, takie jak pracownicy działów backupu i odzyskiwania po awarii, zyskały krytyczne znaczenie w operacjach z zakresu reagowania na incydenty i odzyskiwania danych. Jak wynika z opublikowanego przez firmę Veeam raportu „Trendy w ochronie danych w 2022 roku”, u 88% respondentów zadania z zakresu ciągłości działania i odzyskiwania po awarii są w większości lub w pełni zintegrowane ze strategią cyberbezpieczeństwa. Dla działów backupu ta zmiana może być trudna: kiedyś ich obowiązki polegały głównie na przywracaniu niewielkich ilości plików usuniętych przez użytkowników, a teraz muszą wykazać, że po ewentualnym cyberataku będą w stanie odzyskać każdy firmowy plik.
Odzyskanie danych po naruszeniu zabezpieczeń i wykazanie, że nie doszło do ich utraty, powinno eliminować konieczność zapłaty okupu. Niestety opracowanie 2022 Data Protection Report pokazuje, że tylko 36% przedsiębiorstw odzyskało więcej niż 80% danych po ataku ransomware. To smutny wskaźnik, ponieważ w praktyce oznacza on, że przedsiębiorstwa te zapłaciły okup w celu odzyskania danych po ataku lub przynajmniej rozważały taką możliwość.
Tworzenie bezpiecznych kopii zapasowych na potrzeby odzyskiwania danych po ataku ransomware
A zatem co należy zrobić, aby zyskać możliwość skutecznego przywrócenia działalności? W firmie Veeam uważamy, że odpowiedzią jest połączenie funkcji produktu i procedur opartych na najlepszych praktykach, dzięki któremu można na bieżąco wykrywać włączane obciążenia, chronić dane w możliwy do zweryfikowania sposób oraz odzyskiwać je na dużą skalę w sposób zapobiegający ponownemu wprowadzaniu zagrożeń do firmowego środowiska.
W przypadku backupu chodzi przede wszystkim o ochronę danych i pilnowanie, aby zadania tworzenia kopii zapasowych były wykonywane zgodnie z oczekiwaniami. Istnieją także sprawdzone praktyki, dzięki którym można zadbać o to, aby nawet w przypadku koszmarnego zbiegu okoliczności pozostał jeden egzemplarz danych umożliwiający ich przywrócenie. Jeśli chodzi o odzyskiwanie, główną kwestią jest szybkość, która wiąże się z automatyzacją i orkiestracją. Tu również sprawę załatwia połączenie produktu i procedur. I wreszcie musimy mieć pewność, że odzyskane dane nie spowodują ponownego wniknięcia zagrożenia do środowiska. Przeanalizujmy kilka czynników uzasadniających to podejście. Bardziej szczegółowe informacje znajdziecie pod linkami do artykułów napisanych przez naszych ekspertów technicznych.
Potwierdzona niezmienność
Podejście firmy Veeam od samego początku opiera się na oprogramowaniu. Dla klienta oznacza to, że ma on kontrolę nad konfiguracją pamięci masowej i nie jest ograniczony konfiguracją wybraną przez nas. Oznacza to także, że zgodnie z konstrukcją swojej sieci klient może tworzyć kolejne warstwy niezmiennej pamięci masowej zarówno w chmurze, jak i w środowisku lokalnym. Ta elastyczność przekłada się też na niższe koszty operacyjne i większe bezpieczeństwo, ponieważ umożliwia korzystanie z posiadanych platform pamięci masowej. Więcej informacji na ten temat można znaleźć w znakomitym artykule dotyczącym tzw. podwójnej niezmienności.
Weryfikacja kopii zapasowych
Jak zyskać pewność, że tworzenie kopii zapasowej zakończyło się powodzeniem? Jak wynika z przygotowywanego przez nas raportu na temat ataków ransomware, większość przedsiębiorstw używa do tego celu albo dzienników wykonanych zadań, albo samodzielnie utworzonych skryptów weryfikujących integralność kopii zapasowych. Problem z dziennikami kopii zapasowych jest taki, że informują one jedynie o wykonaniu zadania, w ogóle nie wykazując odzyskiwalności danych. Tworzenie własnych skryptów jest pewnym krokiem naprzód, ale rodzi też nowe obowiązki związane z bieżącym utrzymaniem skryptów i założeniem, że uda się wygospodarować czas na wykonywanie nużącego procesu ręcznego.
Dla nas weryfikacja kopii zapasowych jest elementem funkcji SureBackup. Mówiąc w pewnym uproszczeniu, SureBackup to technologia stworzona przez firmę Veeam, która umożliwia poddawanie kopii zapasowych szeregowi testów potwierdzających, że zawarte w nich dane są wolne od złośliwego oprogramowania i odzyskiwalne. Proces ten może być prosty lub bardzo szczegółowy, zależnie od potrzeb przedsiębiorstwa, oraz wykonywany ręcznie albo na podstawie harmonogramu w ramach przygotowań do odzyskiwania po awarii. Więcej informacji na temat możliwości funkcji SureBackup jest dostępnych tutaj.
Reguła 3-2-1-1-0
Kiedy rozpocząłem pracę w firmie Veeam, spotkałem się z pracownikami naszego fantastycznego działu obsługi klienta i zapytałem ich o jedną zasadę, której według nich powinni przestrzegać klienci. Większość wspomniała o regule 3-2-1-1-0. Nie jest tajemnicą, że nowoczesne oprogramowanie malware atakuje warstwę kopii zapasowych, dlatego potrzebny jest proces zapewniający jej odporność.
Reguła 3-2-1-1-0 mówi, że powinny istnieć co najmniej trzy egzemplarze ważnych danych, które powinny być przechowywane na co najmniej dwóch różnych nośnikach, a co najmniej jeden z tych egzemplarzy powinien się znajdować poza siedzibą firmy. Ze względu na ewolucję ataków ransomware zalecamy, aby dodatkowo co najmniej jeden egzemplarz danych był odporny, czyli przechowywany w lokalizacji z separacją fizyczną, offline lub zapewniającej niezmienność. Jest to niezbędne dla skutecznej obrony przed atakami ransomware. Dodaliśmy też do reguły cyfrę „0”, oznaczającą brak błędów kopii zapasowych, ponieważ automatyczna weryfikacja kopii zapasowych zapewnia poprawność danych i ich użyteczność podczas odzyskiwania. Niepoprawne przechwycenie danych uniemożliwia ich odzyskanie, dlatego przestrzeganie reguły 3-2-1-1-0 może zdecydować o różnicy między odzyskaniem a utratą danych.
Natychmiastowe odzyskiwanie na dużą skalę
Z raportu „Trendy w ochronie danych w 2022 roku” wynika, że szacunkowe koszty przestojów wynoszą 1467 USD na minutę, czyli 88 000 USD na godzinę. Jeśli dodać do tego rosnącą rozbieżność między parametrami SLA dotyczącymi odzyskiwania danych i rzeczywistą szybkością odzyskiwania, nie dziwi tak duża liczba firm płacących okup hakerom.
W 2010 r. firma Veeam wprowadziła pionierską funkcję natychmiastowego odzyskiwania maszyny wirtualnej i od tego czasu stale ją rozszerza oraz doskonali. Obecnie Veeam oferuje wiele opcji odzyskiwania, które pozwalają zoptymalizować proces odzyskiwania oraz szybko przywrócić wiele maszyn jednocześnie. Jeśli klient potrzebuje możliwości odzyskania jednego pliku, w naszym rozwiązaniu ją znajdzie. Odzyskanie aplikacji? Żaden problem. Atak ransomware unieruchomił całe woluminy lub serwery? Pomożemy je odzyskać. Możliwość skorzystania z narzędzi najodpowiedniejszych w danej sytuacji burzy scenariusz opracowany przez hakerów, przyspiesza odzyskiwanie danych po ataku ransomware i czyni je bardziej ekonomicznym oraz stanowi praktyczne potwierdzenie zasady, że „nie należy płacić okupu”.
Bezpieczne przywracanie
Firma Veeam jako pierwsza wprowadziła funkcję bezpiecznego przywracania, która przed przywróceniem maszyny do środowiska produkcyjnego skanuje jej dane przy użyciu oprogramowania antywirusowego. Funkcja bezpiecznego przywracania jest łatwa w aktywacji, pozwala aktualizować preferowane oprogramowanie antywirusowe do najnowszych sygnatur wszystkich wirusów i szczepów złośliwego oprogramowania oraz umożliwia wcześniejszą weryfikację w odizolowanym od sieci nieprodukcyjnym środowisku testowym, tak aby operacja przywracania nie spowodowała ponownego wprowadzenia zagrożeń do centrum danych.
Oto dwa materiały, które ułatwią opracowanie odpowiedniego procesu i korzystanie z tej funkcji:
Odzyskiwanie danych po ataku ransomware: co trzeba wiedzieć
Orkiestracja odzyskiwania po awarii
Nadzieja nie jest strategią i na nic się nie przyda w razie katastrofy. A chyba możemy się zgodzić, że atak ransomware jest katastrofą. Automatyzacja i orkiestracja stały się kluczowymi elementami obrony przed cyberzagrożeniami, a także odzyskiwania danych. W przypadku ataku ransomware najgorsze, co można usłyszeć, to słowa „to chyba działa tak.…” czy „to powinno spowodować, że…” i właśnie dlatego firma Veeam stworzyła narzędzie Veeam Disaster Recovery Orchestrator. Do skutecznego odzyskiwania po awarii potrzebny jest dobrze udokumentowany plan, dzięki któremu przedsiębiorstwo będzie gotowe do odzyskiwania jak nigdy dotąd. Oczywiście liczy się wyłącznie taki plan, o którym wiemy, że zadziała. Dlatego narzędzie firmy Veeam umożliwia automatyczne testowanie parametrów SLA dotyczących odzyskiwania i udostępnia pulpit SLA, który daje łatwy wgląd w stan gotowości do odzyskiwania po awarii.
Zakończenie
Backup i odzyskiwanie nie są już odrębnym elementem infrastruktury, którego prawidłowe działanie można po prostu założyć. Szybkie odzyskiwanie danych to integralna część procesu reagowania na incydent cybernetyczny, którą należy starannie zaplanować, tak jak pozostałe elementy architektury zabezpieczeń. Ostatecznie dane stanowią najcenniejszy zasób przedsiębiorstwa, dlatego należy je chronić przy użyciu bezpiecznego rozwiązania do backupu, które nie tylko jest na tyle elastyczne, że umożliwia uzyskanie pożądanej niezmienności, ale też weryfikuje zadania tworzenia kopii zapasowych, dając pewność, że gdy wystąpi konieczność ich przywrócenia, dane będą dostępne i wolne od złośliwego oprogramowania. Z tych właśnie i innych przyczyn firma Veeam uważa, że kopie zapasowe to ostatnia linia obrony przed atakami ransomware.
Więcej informacji na temat tego, jak wzmocnić w firmie obronę przed atakami ransomware, znajduje się tutaj: https://www.veeam.com/pl/ransomware-protection.html?ad=menu-solutions
