Hrozba ransomware útoku je všudypřítomná. Automatizované škodlivé kódy si nevybírají. Zatímco obránce musí být 100% úspěšný, útočník je ve výhodě. Stačí najít a zneužít jen jedno zranitelné místo.
Pokud máme s někým účinně bojovat, musíme poznat jeho cíl a taktiku. Kybernetický zločinec má v podstatě velmi jednoduchý cíl – vydělat peníze. Jak? Musí zajistit, aby jeho oběť neměla jinou možnost, než zaplatit výkupné.
Pokud chce útočník vydírat svou oběť tím, že jí znemožní přistupovat k datům a informačním systémům, musí mít jistotu. Jistotu, že neexistuje jiná kopie dat, kterou by oběť mohla použít.
Krok 1.: Ochrana
Ujistěte se, že chráníte skutečně všechno. Fyzické, virtuální, cloudové nebo třeba kontejnerizované systémy musí být zálohovány do úložiště, které spolehlivě zajistí ochranu před neoprávněnými změnami.
Jádrem ochrany je pochopitelně bezpečnostní řešení, ale ani ten nejlepší antivir nebo firewall není 100% neprůstřelný. Musíme být tedy připraveni na situaci, že ke kompromitaci našich systému dojde. Nejlepší způsob, jak postavit odolné řešení, je navrhnout ho tak, aby odolalo i útoku (nebo třeba jen chybě) interního administrátora.
Základním předpokladem je dodržování dnes už notoricky známého pravidla 3-2-1. Udržujte alespoň 3 kopie dat na 2 typech nosičů s jednou kopií fyzicky oddělenou. Tato mantra, byť původně určená pro ochranu dat před různými přírodními nenadálými okolnostmi, dokáže výrazně pomoci i s ochranou před kybernetickým útokem.
Ze zkušenosti víme, že právě fyzické oddělení alespoň jedné kopie dat a schopnost z této kopie co nejjednodušeji vše obnovit, je cesta k úspěchu. Jakmile útočník získá identitu doménového administrátora, je pro něj hračkou převzít kontrolu nad celou sítí. Překonat „vzduchovou mezeru“ a napadnout izolované kopie je už ale pro drtivou většinu útočníků neřešitelný úkol. Vaše data tak zůstanou v bezpečí.
Co všechno by ještě měla odolné řešení ochrany splňovat?
Krok 2.: Detekce
Myslete na to, že jakýkoliv plán je tak silný jako jeho nejslabší článek. Nemůžeme chránit to, co nevidíme. Ransomware miluje zapomenutá zranitelná místa v IT infrastruktuře. Obvykle si vybírá dočasné, testovací a málo zabezpečené servery. Abychom dokázali překlenout tato slabá místa, potřebujeme zajistit univerzální viditelnost, rozkrýt nechráněná místa a identifikovat anomálie. Právě ty se totiž jinak stanou zdrojem kritické situace.
Zpozorněte, pokud nastane výrazná změna v počtu nebo objemu zálohovaných dat, případně také v době trvání zálohy. Velmi užitečná je například informace o změně deduplikačního faktoru. Šifrovaná data mají totiž vysokou entropii, a tak se velmi špatně deduplikují. Deduplikujete běžně data s efektivitou nad 90 %? Snížila se najednou tato hodnota na 5 %? Asi tušíte, že je něco špatně. Ano, může to být symptom probíhajícího ransomware útoku. Ale ruku na srdce, který administrátor zálohovacího řešení tuto hodnotu pravidelně kontroluje?
Krok 3.: Obnova
Obnova dat musí úspěšně proběhnout za všech okolností. Doporučujeme mít co nejvíce možností jak a kde obnovu provést, ať už se jedná o obnovu v primární lokalitě, sekundárním datovém centru nebo je třeba postavit kompletně novou infrastrukturu v cloudu.
Požadavky na obnovu se liší podle závažnosti incidentu. Odhalili jste a zastavili útok včas? Pak bude pravděpodobně stačit, když obnovíte jen několik individuálních souborů. Pokud ale došlo ke kompromitaci celého prostředí, bude nutné obnovit celou infrastrukturu. V tom případě výrazně pomáhá funkce obnovy na holé železo, kdy je možné obnovit fyzický server včetně aplikací v jediném kroku. Ideální je, když máte možnost rychle vrátit virtuální server do stavu při předchozí záloze, aniž byste ho museli celý obnovovat.
A jak zjistíte, kterou zálohu vlastně musíte obnovit? Informaci, kterou jsme získali v druhém kroku, můžeme ještě validovat s výstupem z bezpečnostního řešení (například logy firewallu). Mnohdy ale nemáme stále jistotu, že daná záloha je ta pravá. Jak z toho ven? Využijeme možnost zálohovacího řešení a obnovíme data v izolované testovací síti nebo v cloudu. Takový postup nám totiž umožní ověřit v systémech (ne)přítomnost škodlivého kódu.
Nemusíte být nezranitelní
Pří plánování zálohovacího systému myslete na to, že nemusíte být 100% neprůstřelní. Proč? Připomeňte si, co je jeho cílem. Chce si vydělat, a tak porovnává náročnost útoku s potenciálním ziskem. Pokud zjistí, že ve vašem prostředí musí překonávat složité překážky, radši to vzdá.
Držte se tedy alespoň těchto pravidel:
Více informací naleznete na produktové stránce nebo na stránce výrobce.
S technologiemi, které spadají do portfolia Veritas, má Josef Honc více než 15 let zkušeností. Ve společnosti Veritas působí jako senior technology consultant. Má bohaté zkušenosti s technologiemi pro datová centra, zejména v oblastech zálohování a vysoké dostupnosti, virtualizace, kontejnerizace a cloudových řešení.
Pro více informací o produktech a spolupráci s Veritas navštivte web veritas.cz nebo kontaktujte přímo Josefa Honce.
