Polska Akademia Nauk przyspiesza odzyskiwanie oprogramowania ransomware za pomocą rozwiązania Veeam

Poprzez programy doktoranckie oraz podoktoranckie staże badawcze, Instytut stara się zachęcać i inspirować obecnych i przyszłych naukowców w Polsce i za granicą.

Marek Śliwiński, kierownik centrum IT w Instytucie Niskich Temperatur i Badań Strukturalnych, powiedział: „Aby umożliwić pracownikom, studentom i naukowcom pracę, opieramy się na szeregu systemów cyfrowych — od rozwiązań z zakresu współpracy i produktywności firmy Microsoft po specjalistyczne aplikacje naukowe. Rozwiązania te działają na ponad 50 maszynach wirtualnych [VM] hostowanych na 3 fizycznych serwerach w naszym lokalnym centrum danych”.

Aby chronić swoje dane, Instytut zapisywał przyrostowe kopie maszyn wirtualnych na lokalnej macierzy sieciowej pamięci masowej (NAS), która była bezpośrednio połączona ze środowiskiem produkcyjnym. Korzystając z rozwiązania Veeam Backup Essentials — łączącego zaawansowane i niezawodne funkcje ochrony danych rozwiązania Veeam Backup & Replication z monitorowaniem i raportowaniem z rozwiązania Veeam ONE — Instytut tworzył codzienne i cotygodniowe kopie zapasowe swoich maszyn wirtualnych, które następnie przez cztery tygodnie przechowywane były w środowisku NAS.

„Nasze możliwości ochrony danych zostały poddane ostatecznemu testowi, gdy zostaliśmy zaatakowani przez oprogramowanie ransomware” — powiedział Śliwiński. „Atakujący wykorzystali lukę dnia zerowego w naszym środowisku Microsoft Exchange, aby zaszyfrować od 10% do 45% plików na naszych serwerach za pomocą funkcji BitLocker. Nasze środowisko kopii zapasowej również zostało naruszone — ale na szczęście udało nam się szybko powstrzymać atak. Ostatecznie zaszyfrowano około 2 TB z naszych 50 TB kopii zapasowych NAS”.

Zarówno prace badawcze naukowców, jak i codzienne czynności samych pracowników Instytutu w dużej mierze uzależnione są od poprawnego działania systemów informatycznych, dlatego niezbędne było jak najszybsze odbudowanie całej infrastruktury. „Pierwszym krokiem, który zrobiliśmy po zatrzymaniu ataku, był kontakt z firmą Veeam” — powiedział Śliwiński. „W ciągu kilku minut Veeam połączyła nas ze swoim zespołem pomocy technicznej i byliśmy gotowi do rozpoczęcia procesu przywracania naszych danych”.

Aby pomóc Instytutowi przyspieszyć proces odzyskiwania zaszyfrowanych dokumentów, firma Veeam bardzo szybko powołała zespół ekspertów ds. ochrony danych.

„Wkrótce po ataku firma Veeam przydzieliła nam jednego ze swoich najlepszych specjalistów, aby pomógł nam przeprowadzić pełen audyt naszych systemów” — powiedział Śliwiński. „Porady, które otrzymaliśmy, były bezcenne. Firma Veeam nie tylko podzieliła się z nami swoją fachową wiedzą z zakresu przywracania systemów po cyberatakach, ale także poszerzyła nasz zespół IT o własny personel pomocy technicznej, abyśmy jak najszybciej mogli przywrócić infrastrukturę IT Instytutu do pełnej funkcjonalności”.

Dla Instytutu priorytetem było odzyskanie jak największej ilości zaszyfrowanych danych. Ponieważ pierwsze, przygotowawcze włamanie mogło mieć miejsce na kilka miesięcy przed cyberatakiem, kolejnym krokiem dla nas była odbudowa wszystkich systemów od zera. Chcieliśmy w ten sposób wyeliminować ryzyko ponownego użycia przez atakujących tego samego exploita.

„Przez około cztery tygodnie ściśle współpracowaliśmy z firmą Veeam, aby odzyskać dane z naszych zaszyfrowanych serwerów plików” — powiedział Śliwiński. „Ponieważ przechowujemy wiele kopii maszyn wirtualnych z określonego punktu w czasie, mieliśmy dostęp do dużej ilości danych. Po wielu bardzo wczesnych porankach i długich wieczorach spędzonych przed ekranami udało nam się w końcu odzyskać około 80% zaszyfrowanych danych. To pozwoliło nam na skonfigurowanie tymczasowego środowiska, w którym pracownicy Instytutu mogliby wznowić pracę”.

Równolegle z wysiłkami odbudowy, Instytut rozpoczął planowanie nowej infrastruktury, która ograniczyłaby ryzyko przyszłych ataków. Jednym z kluczowych celów było odizolowanie systemów kopii zapasowych od produkcyjnych — a tym samym ograniczenie możliwości poruszania się przez atakującego oraz potencjalnego naruszania systemu kopii zapasowych. Bazując na pozytywnych doświadczeniach z Veeam, Instytut postanowił ponownie wykorzystać rozwiązanie Veeam Backup Essentials jako podstawę nowego środowiska ochrony danych.

„Odnowienie licencji na rozwiązanie Veeam było łatwym wyborem” — powiedział Śliwiński. „Veeam oferuje jedno z najbardziej opłacalnych rozwiązań do ochrony danych na rynku, a wsparcie, jakiego udzielili nam po incydencie oraz podczas całego procesu odzyskiwania danych, nie miało sobie równych. Wiemy, że możemy na nich polegać. Ponieważ traktujemy Veeam jako zaufanego partnera, zdecydowaliśmy się zaangażować ich również do zarządzania kopiami zapasowymi w wirtualnej bibliotece taśm znajdującej się poza siedzibą Instytutu. To stanowi dla nas dodatkową warstwę ochrony”.

Przebudowa wszystkich systemów produkcyjnych i awaryjnych Instytutu odbyła się pomyślnie. Obecnie przeprowadzana jest migracji użytkowników ze środowiska tymczasowego na nową platformę.

„Jednym z najważniejszych wniosków wyciągniętych po zaistniałym incydencie jest to, że w każdej infrastrukturze kluczowe znaczenie ma zachowanie odpowiedniej bariery pomiędzy systemami produkcyjnymi a zapasowymi” — powiedział Śliwiński. „Aktualnie przechowujemy trzy kopie naszych danych: jedną w środowisku produkcyjnym, drugą w naszym lokalnym środowisku do odzyskiwania danych utworzonym po awarii, oraz trzecią w zewnętrznej wirtualnej bibliotece taśmowej. Gdyby taki incydent miałby się nam jeszcze kiedykolwiek przydarzyć, odzyskanie danych i przywrócenie pracy w całym Instytucie będzie o wiele szybsze i znacznie łatwiejsze”.

• Odzyskano zaszyfrowane dane, ograniczając długoterminowe zakłócenia spowodowane atakiem.
  “Od chwili ataku do momentu przywrócenia danych, wsparcie ze strony Veeam było znakomite. Zawsze kiedy ich potrzebowaliśmy, służyli nam pomocą i byli w zasięgu ręki — taki serwis w obecnych czasach jest po prostu na wagę złota.”
• Zwiększono liczbę kopii danych, zmniejszając przyszłe ryzyko ransomware.
  Oprócz środowiska produkcyjnego Instytut przechowuje obecnie jeszcze dwie kopie danych na różnych nośnikach pamięci — w tym kopię zapasową poza siedzibą firmy jako dodatkową warstwę ochrony.
• Zautomatyzowano codzienne zadania tworzenia kopii zapasowych, umożliwiając małemu zespołowi IT skupienie się na działaniach wsparcia.
  „W naszym Centrum IT pracują tylko trzy osoby, jest to dla nas naprawdę ważne, aby poświęcać jak najwięcej czasu na wspieranie naszych użytkowników” — powiedział Śliwiński. „Dzięki Veeam mamy pewność, że kopie zapasowe naszych danych są zawsze tworzone zgodnie z planem”.