Нас спрашивают, что мы имеем в виду, когда говорим, что “надежное резервное копирование ― последняя линия обороны”. За последние десять лет в индустрии кибербезопасности возникло понимание того, что современная защита от программ-вымогателей требует интегрированной архитектуры ― от компьютеров до сети и облака, которая позволит комплексно выявлять и сопоставлять атаки, а также устранять их последствия. В случае атаки программы-вымогателя восстановить данные обычно можно либо из резервных копий, либо путем уплаты выкупа. Сложность состоит в том, что выражение “восстановление из резервных копий” упрощает процесс и приводит многие организации к ложным допущениям о их возможностях резервного копирования и восстановления. Природа допущений такова, что часто они оказываются ложными. Это приводит либо к потере данных, либо к необходимости выплаты выкупа. Чтобы избежать худшего сценария, вам необходимо иметь план, который включает верифицированные, протестированные и безопасные резервные копии, из которых можно быстро восстановить данные. Поэтому мы хотим напомнить себе и всем, с кем мы взаимодействуем, что инфраструктура резервного копирования ― часть общего плана кибербезопасности, которая может стать последней возможностью остаться в бизнесе, или вернуться в него.
Эволюция атак программ-вымогателей вынудила тех, кто имел отдаленное отношение к безопасности, например, специалистов по послеаварийному восстановлению и резервному копированию, оказаться в центре операций по реагированию и восстановлению систем. Как мы видим из отчета Veeam о тенденциях защиты данных в 2022 г., 88% респондентов сообщают о полной или значительной интеграции процессов обеспечения непрерывности бизнеса и послеаварийного восстановления со стратегиями кибербезопасности. Это довольно странно, учитывая, что специалисты по резервному копированию всегда беспокоились о небольшом количестве файлов, случайно удаленных пользователями, а теперь они должны доказывать, что смогут восстановить каждый кусочек данных компании, пострадавший в ходе кибер-атаки.
Восстановление после атаки и доказанное отсутствие потерь данных означает, что нет необходимости выплачивать выкуп. К сожалению, как показывает Отчет о защите данных за 2022 г., только 36% организаций смогли восстановить более 80% своих данных после атаки программы-вымогателя. Эта статистика удручает, потому что, вероятнее всего, эти организации либо рассматривали выплату выкупа, либо осуществили ее.
Создание безопасной резервной копии для восстановления после атаки программы- вымогателя
Итак, что необходимо сделать, чтобы гарантированно восстановить операции? Veeam считает, что ответ кроется в комбинации возможностей продуктов и лучших процедурных практик. Она гарантирует распознавание систем сразу после их включения и обеспечивает верифицируемую защиту данных и их восстановление в необходимых масштабах. При этом отсутствует риск повторного заражения среды.
Со стороны резервного копирования необходимо защищать данные и обеспечивать правильную работу задания резервного копирования. Существуют лучшие практики, которые гарантируют, что если все пойдет совсем ужасно, у вас все равно будет копия данных, из которой можно будет выполнить восстановление. Во время восстановления мы уделяем особое внимание его скорости, которая тесно связано с автоматизацией и оркестрацией. И опять это комбинация продукта и процесса. Также нам необходимо гарантировать, что восстановленные данные не внесут повторно угрозу в среду. Давайте рассмотрим причины, по которым это важно. Я добавил ссылки на статьи от наших технических экспертов, которые предлагают еще больше информации.
Гарантированная неизменность
Veeam всегда был компанией, ориентированной на ПО. Это значит, что вы контролируете конфигурацию хранилищ и не должны придерживаться выбранной нами конфигурации. Это также означает, что вы можете создавать несколько слоев неизменных хранилищ как в облаке, так и на локальной площадке, в соответствии с конструкцией сети. Такая гибкость помогает снизить операционные издержки и повысить уровень безопасности, поскольку вы используете ваши существующие платформы хранения. Дополнительная информация представлена в статье, посвященной опциям того, что нам нравится называть “двойной” неизменностью.
Верификация резервных копий
Как проверить, было ли резервное копирование успешным? В нашем исследовании по вопросу программ-вымогателей, отчет о котором скоро выйдет, мы обнаружили, что большинство организаций полагаются на журналы выполнения заданий или используют собственные скрипты для проверки целостности резервных копий. Проблема состоит в том, что журналы только регистрируют завершение заданий, без проверки возможности восстановления данных. Те же, кто разрабатывают собственные процессы, делают шаг вперед, но также увеличивают свою рабочую нагрузку за счет необходимости поддержания скриптов. Они также полагают, что у них найдется время для выполнения скучных ручных процессов.
Для нас верификация резервных копий входит в набор функций под названием SureBackup. SureBackup ― технология Veeam, которая позволяет выполнить несколько тестов резервных копий, чтобы убедиться, что данные свободны от вредоносного кода и могут быть восстановлены. Этот процесс может быть простым или углубленным; он может запускаться вручную или по расписанию, в рамках подготовки к послеаварийному восстановлению. Подробная информация о возможностях SureBackup представлена здесь.
Правило 3-2-1-1-0
Когда я пришел на работу в Veeam и встретился с сотрудниками нашей потрясающей службы поддержки, я спросил их ― какое, на их взгляд, действие заказчиков было бы самым предпочтительным. Правило 3-2-1-1-0 Известно, что современный вредоносный код атакует систему резервного копирования, поэтому вам необходим процесс для обеспечения устойчивости.
Согласно правилу «3-2-1-1-0» следует хранить по крайней мере три экземпляра важных данных на как минимум двух различных типах носителей. При этом хотя бы один экземпляр данных должен храниться на удаленной площадке. Поскольку риски атак программ-вымогателей возросли, мы рекомендуем разместить хотя бы один экземпляр данных на физически изолированном, автономном или неизменном носителе. Это необходимо для эффективной защиты от программ-вымогателей. Мы также добавили ноль к этому правилу, что означает ноль ошибок, поскольку автоматическая верификация резервных копий гарантирует валидность данных и их пригодность к восстановлению. Невозможно восстановить данные, которые были неправильно собраны, поэтому следование правилу 3-2-1-1-0 может означать разницу между потерей и восстановлением данных.
Масштабируемое мгновенное восстановление
Отчет о тенденциях защиты данных в 2022 г. показывает, что стоимость простоев оценивается как 1 467,00 в минуту или $88 000,00 в час. Объедините это с растущим несоответствием между требованиями SLA к восстановлению данных и реальной скоростью восстановления, и вы не будете удивлены, что компании выплачивают выкуп.
Veeam впервые предложил рынку мгновенное восстановление ВМ в 2010 г. и с тех пор только расширял и оттачивал эту функциональность. Сегодня Veeam предлагает широкий ряд возможностей восстановления, который позволяет оптимизировать процессы восстановления и быстро восстанавливать несколько машин одновременно. Чтобы восстановить отдельный файл, вам неоходимы опции гранулярности; мы можем их предоставить. Восстановление приложений без проблем Программы-вымогатели выводят из строя целые тома и серверы, но с нами вы под надежной защитой. Тот факт, что вы можете использовать наиболее подходящие к вашим потребностям инструменты, означает, что мы сделали восстановление данных после атаки программы-вымогателя более быстрой и экономичной опцией, которая позволяет воплотить в жизнь мантру “не платите выкуп”.
Безопасное восстановление
Veeam первым на рынке предложил технологию безопасного восстановления, которая позволяет сканировать данные с помощью антивирусного ПО перед их восстановлением в производственную среду. Безопасное восстановление легко активировать, оно позволяет обновлять выбранное антивирусное ПО до последней версии сигнатур, а также верифицировать резервные копии в изолированной тестовой среде перед восстановлением, чтобы исключить риск повторного внесения угрозы в дата-центр.
Следующие материалы помогут в разработке процесса и использовании этой возможности:
Восстановление данных после атаки программы-вымогателя: что необходимо знать
Оркестрация послеаварийного восстановления (DR)
Надежда ― не стратегия, она не поможет вам в случае катастрофы. А атака программы-вымогателя ― это катастрофа. Думаю, что все с этим согласятся. Автоматизация и оркестрация стали критически важными для обеспечения кибербезопасности, и то же самое можно сказать о восстановлении. Самое худшее, что можно услышать во время атаки программы-вымогателя, это “Думаю, это работает вот так…” или “это должно помочь…”. Именно поэтому мы разработали решение Veeam Disaster Recovery Orchestrator. Послеаварийное восстановление может быть успешным только при наличии хорошо задокументированного плана, и этот план поможет организациям вывести готовность к послеаварийному восстановлению на новый уровень. Более того, план валиден только если вы знаете, что он сработает, и решение Veeam обеспечивает автоматическое тестирование восстановления на предмет соответствия SLA. Панель мониторинга SLA позволяет с легкостью контролировать готовность к послеаварийному восстановлению.
Заключение
Резервное копирование и восстановление ― это больше не изолированная часть инфраструктуры, которая предположительно работает. Быстрое и надежное восстановление ― неотъемлемая часть общего процесса реагирования на инциденты в области кибербезопасности и должно быть тщательно спланировано, как и остальная архитектура безопасности. Ваши данные ― ваш самый ценный ресурс, который должен быть защищен с помощью надежного решения для резервного копирования. Это решение должно не только обладать достаточной гибкостью для построения нужных вам возможностей неизменности, но также уметь верифицировать задания резервного копирования, чтобы гарантировать возможность восстановления данных и отсутствие вредоносного кода. По всем этим причинам, и не только, Veeam считает, что надежное резервное копирование ― ваш последний рубеж обороны.
Подробная информация о том, как улучшить вашу защиту от программ-вымогателей, представлена здесь: https://www.veeam.com/ru/ransomware-protection.html?ad=menu-solutions
