Hrozba ransomwaru: Zálohování může být poslední obrannou linií

19. 7. 2021

Sdílet

Ne všechny zálohy jsou stejné. Pro ochranu před ransomwarem je klíčový zabezpečený režim snímků a rychlost obnovy.

Prostředí kybernetických hrozeb se neustále vyvíjí, přičemž jednu z největších hrozeb pro podniky dnes představuje ransomware. Útočníci v tomto případě vydírají oběť tím, že zveřejní ukradená data anebo k nim trvale zablokují přístup, tedy je zašifrují. Vlastní provoz i finanční výsledky podnikání řady organizací dnes bezprostředně závisí právě na datech, a ransomware pro ně tudíž může mít katastrofální následky. Nedávná globálně provedená studie společnosti Sophos došla k závěru, že průměrné náklady na zaplacení výkupného činily 1,4 milionu dolarů; pokud se organizace rozhodly nezaplatit, pak škoda v důsledku ztráty příjmů činila v průměru 730 000 dolarů.

V průběhu pandemie došlo k závratnému nárůstu množství a závažnosti útoků ransomwaru. Jedním z důvodů byl rozšířený home office, kdy mnozí zaměstnanci pracovali na (alespoň potenciálně) nedostatečně zabezpečených domácích systémech a sítích, z nichž se vedla i videokonferenční pracovní jednání. Nedávná analýza společnosti Bitdefender o kybernetických hrozbách v roce 2020 vyčísluje meziroční nárůst útoků ransomwaru na 715 % a podobně znepokojivé jsou závěry dalších studií a průzkumů. Protože nic nenaznačuje, že by tato hrozba měla polevit, organizace by měly sáhnout po odpovídajícím řešení, a to i pro nejhorší možný scénář. Jednou z oblastí, o které se však v souvislosti s ransomwarem příliš často nemluví, je zásadní role zálohování dat pro zmírnění této hrozby.

Prevence už nestačí

Dostatečně robustní strategie kybernetické bezpečnosti vyžaduje, aby se společnosti již nespoléhaly pouze na systémy prevence průniku (IDS/IPS). Přestože vhodná preventivní bezpečností opatření jsou nezbytná, organizace musí současně plánovat, jak v případě útoku provést obnovu provozu. To znamená zavést strategii zálohování dat, která zohlední právě to, aby data šlo obnovit v co největším rozsahu a co nejrychleji.

Jakmile je podnik infikován ransomwarem, je již v naprosté většině případů příliš pozdě na zastavení útoku. Pokud panuje shoda na tom, že výkupné se platit nemá, data se po zašifrování stala nepřístupná. Na týmech IT pak leží odpovědnost za obnovení dat ze záloh, které ovšem mohou být zastaralé. Tento přístup také spoléhá na to, že zálohy jsou stále k dispozici, tj. nebyly rovněž zašifrovány nebo smazány samotným útokem ransomwaru.

Útočníci ovšem vědí, že právě zálohy jsou poslední obrannou linií organizace, takže ransomware se zaměřuje i na ně, snaží se je smazat nebo rovněž zašifrovat (přepsat aktuálně zašifrovanými daty). Obnova dat je pak nemožná, což nutí společnosti zaplatit výkupné nebo se smířit se ztrátou dat, která může způsobit nenapravitelné škody a mít trvalé následky i pro pověsti společnosti. Zaplacení výkupného navíc nijak nezaručuje ani vlastní obnovu dat, ani ochranu před budoucími útoky a vydíráním.

Použití záložních snímků

Řešení tohoto problému mohou představovat pokročilé zálohovací techniky s použitím snímků (snapshots). Snímky jsou určeny k ochraně dat stejným způsobem jako zálohy, ale jejich cílem je navíc minimalizovat ztrátu dat a dobu obnovy. Slouží jako podrobný index a chrání metadata, která fungují jako vodítko pro obnovu systémů, což pak tento proces výrazně urychluje. Organizace by měly volit snímky optimalizované z hlediska zabraného úložného prostoru a automatizované pomocí zásad komplexní ochrany, což poskytuje potřebnou pružnost. Dále lze doporučit zálohovací systém, který umožňuje přenos snímků z místního úložiště do sekundárního systému nebo cloudu.

Tento koncept posouvá ještě o krok dále řešení SafeMode Snapshots. Tyto jedinečné snímky určené pouze pro čtení jsou neměnné, a zabraňují tak ransomwaru přepsat i uložené zálohy. Po aktivaci jsou snapshoty uchovávány po dobu stanovenou zákazníkem a nelze je odstranit. Konfiguraci systému snímků navíc může změnit pouze oprávněný zaměstnanec organizace, když zkontaktuje svého kolegu z technické podpory. Ten nejprve ověří jeho totožnost a teprve poté systém odemkne.

Rychlost obnovy zálohovaných dat – skutečný rozdíl

I při použití neměnných snímků jsou ovšem organizace v případě útoku omezeny rychlostí obnovy dat. Tato rychlost odpovídá obnově provozu a v dnešním prostředí může být zcela zásadní. V případě velkého online prodejce může i hodinový výpadek znamenat obrovské škody.

Zde je však třeba zdůraznit, že většina architektur ochrany dat je optimalizována pro zálohování, nikoli pro obnovu. Takový systém, optimalizovaný pro příjem dat a efektivitu jejich uložení, znamená pak značnou brzdu pro rychlost obnovy. Data musejí být nejprve rekonstruována, protože deduplikace způsobila uložení souvisejících dat na různých místech.

ICTS24

Podniky by proto měly zvážit zálohování pomocí flashových úložišť, která využívají pokročilé technologie, jako je například FlashBlade, UFFO (Unified Fast File and Object) platforma přinášející vysoce specializované úložiště a nabízející bezkonkurenční rychlost obnovy až 270 TB/hod., a to při špičkové rychlosti zálohování 90 TB/hod. Úložiště UFFO se také umějí vypořádat s nárůstem objemu zpracovávaných dat, a nabízejí tak proti útokům ransomwaru téměř úplnou ochranu, spočívající v maximálním zkrácení doby obnovy.

Jacob Ringler, ředitel pražského R&D centra Pure Storage