Технологиите за съхранение: криптовируси и резервните копия

Технологиите за съхранение: криптовируси и резервните копия

Нека разгледаме атаките с криптовируси (ransomware) и значението на добрите практики за резервно копиране, както и неизменните моментни снимки, мрежовото сегментиране, откриването на аномалии с помощта на AI и гаранциите, които може да предложи доставчикът

Атаките с криптовируси се извършват чрез злонамерен софтуер, който заразява ИТ системите с цел деактивиране на достъпа до данни или за да ги открадне. Зловредният софтуер обикновено нахлува в организациите чрез измамни, фишинг мейли, заразени документи или компрометирани /злонамерени уебсайтове. Злонамереният софтуер често се намира вътре в системите, докато търси хоризонтално ключови уязвимости в данните на организацията, като например местоположението на резервните копия.

Това време на скрито заразяване е периодът между проникването на зловредния код и моментът, в който софтуерът за криптовирус действа, за да шифрова и/или извлича и изтрива данни. Тогава нападателите искат откуп за ключа за дешифриране или за връщане на данните.

РЕКЛАМА
Как съхранението и резервните копия защитават срещу атака с криптовируси?

Ефективната защита срещу криптовирус (ransomware) започва на първо място с недопускането на зловреден софтуер в ИТ системите. В системите за резервно копиране и съхранение тя се съсредоточава върху ефективната защита на данните, с налични допълнителни решения под формата на откриване на аномалии, базирано на изкуствен интелект (AI).

Ключът към възстановяването след атака с рансъмуер е редовното създаване на ефективни резервни копия (бекъпи). Това е така, защото, ако бъдете засегнати от криптовирус , имате нужда от чисто копие на вашите данни, към които да се върнете. Имайте предвид, че резервните копия вероятно ще бъдат най-надеждният предпазен механизъм, тъй като те обикновено датират от най-отдалечените копия за защита на данните и следователно е по-вероятно да осигурят чисто копие от системи преди проникването на такъв криптовирус.

Моментните снимки (snapshots) са друг популярен метод за защита на данните, но е по-вероятно те да бъдат компрометирани, ако бъдат направени по време на периоди на скрито заразяване с криптовирус. Те обикновено не са с толкова стара дата, колкото резервните копия.

Поставянето на защитна стена между резервните копия и производствените системи е друг ключов метод за гарантиране, че рансъмуерът не може да повлияе върху резервните копия.

Доставчиците на системи за съхранение също вграждат защита срещу рансъмуер, като откриване на аномалии, което търси злонамерен софтуер, докато действа върху данни. Някои доставчици предлагат и гаранции на клиенти, засегнати от атаки с криптовируси.

Защо бекъпът е важен в случай на атака с криптовирус?

Най-добрият начин една организация да избегне плащането на откуп е да се опита да възстанови работоспособността на ИТ системите си от най-новите си добри копия на данните.

Това означава, че е жизненоважно за организациите да правят ефективни резервни копия, да пазят неизменни копия на бекъпите и да тестват редовно дали могат да възстановяват данните от тях

Но резервните копия имат своите граници, другите методи за защита на данните, като моментни снимки, също имат своите недостатъци. Резервните копия например са добри за възстановяване само от тях, стига да са чисти. Това означава, че файловете не са заразени от криптовируси, включително тези, които са останали неактивни, но не са били открити.

По същия начин моментните снимки са добри само докато не бъдат засегнати от наличието на файлове с криптовирус. Ключово ограничение на моментните снимки е, че те могат да бъдат големи и често по тази причина се запазват по-малко от тях - с по-кратка продължителност за връщане назад.

Бандите, използващи рансъмуер, често се насочват към бекъп файловете на дадена организация, за да направят трудно или невъзможно възстановяването до даден "чист" момент.

Как разделянето с въздушна защитна стена може да защити архивите срещу рансъмуер?

Един от начините за защита на архивите срещу рансъмуер е да ги задържите от другата страна на стената (Air-gapping). Това е най-сигурният вариант, особено ако резервните копия се съхраняват извън централата на организацията, на носител с еднократен запис и многократно четене (WORM) като оптични или лентови устройства.

Недостатъкът на външните физически въздушни стени е времето, необходимо за възстановяване на данни от резервни копия, съхранявани по този начин. Времето за възстановяване може да е твърде дълго за постигане на целите за непрекъснатост на бизнеса, особено ако ИТ екипите трябва да претърсят множество резервни копия, за да намерят копия без криптоворус. Доставчиците са се справили с това предизвикателство чрез виртуална "въздушна" технология".

Как мрежовото сегментиране може да защити резервните копия срещу рансъмуер?

Физическите въздушни стени могат да бъдат най-сигурните, но те имат съществен недостатък - времето за възстановяване. Решението е стриктно сегментиране на резервни копия от производствени среди, така че незаразените копия да могат да се използват за възстановяване.

Подходите включват използване на отделен мрежов сегмент с правила за защитна стена "Отказ на всички", за да го защитите. Това може да бъде на място или във вторичен център за данни. Правилата могат да бъдат смекчени, когато са необходими данни или за целите на репликация, а за достъп до резервни копия са необходими множество администратори и удостоверяване.

Може да се разчита и на вариант, при който се използва публично облачно съхранение като капацитет извън сайта.

Какво представляват непроменяеми моментни снимки?

Непроменяеми моментни снимки са такива, които не могат да бъдат променяни, след като бъдат записани. Моментните снимки винаги са непроменяеми (следователно не би трябвало да могат да бъдат заразени с вирус), но доставчиците на хранилища са предприели допълнителни мерки, за да предотвратят достъпа им през рансъмуер. Това може да означава, че достъпът до моментни снимки е защитен с множество PIN кодове или е заключен във времето.

Недостатъкът на моментните снимки е, че създават голям обем данни. От съображения за производителност те често се записват в хранилище от първо ниво и това ги прави скъпи, особено ако организациите трябва да ги пазят за няколко дни или седмици като защита срещу атака с криптовирус.

Как AI могат да защитят срещу криптовирус?

Когато рансъмуерът започне да работи, той все пак дава признаци, които могат да бъдат забелязани. Те могат да включват необичайно голям брой промени на файлове в набор от данни или повишена произволност в имената на файловете или съдържанието, което може да възникне, когато рансъмуерът започне да шифрова данни.

Доставчиците са добавили такава функционалност на ниво устройство за съхранение и мрежа, чрез която да помогнат за ранно откриване на инфекции с криптовирус. AI инструментите могат да помогнат за откриване на аномалии в огромни количества данни и със скорост, която се надяваме да предотврати разпространението, криптирането или изтриването на данни от зловреден софтуер.

Доставчиците, които предлагат откриване на аномалии, включват Cohesity, NetApp, Veeam, HPE InfoSight, Dell (APEX Backup Services), Pure Storage и др.

Какви гаранции предлагат доставчиците срещу щети от криптовирус?

Някои доставчици на хранилища и резервни копия са предприели стъпката да предложат финансови гаранции, в случай че клиент пострада от атака с криптовирус.

Veeam и NetApp предлагат гаранции за защита от рансъмуер, докато Pure Storage има споразумение за ниво на обслужване за възстановяване след такава атака, което включва хардуерна и техническа поддръжка за възстановяване на данните.

Но доставчиците се подсигуряват със стриктно написани гаранционни SLA споразумения. А парите ще бъдат платени, за да помогнат на дадената организация само ако данните са били поставени извън обсега на криптовируса.