Obnova dat po útoku ransomwaru

1. 8. 2021

Sdílet

 Autor: Depositphotos
Nejlepším způsobem, jak se zotavit z útoku ransomwaru, je mít spolehlivý a rychlý proces zálohování. Zde je náš návod.

Podle zprávy zprůzkumu věnovanému ransomwaru vydané společností KeeperSecurity zaplatilo 49 % společností zasažených ransomwarem výkupné adalších 22 % odmítlo říci, zda zaplatily, nebo ne. Mezi důvody patřínedostatky v zálohování – konkrétně nedostatečně použitelné zálohy.

Co se dozvíte v článku
  1. 1. Udržujte zálohy v izolaci
  2. 2. Použití technologií umožňujících jen jeden zápis
  3. 3. Používejte více typů záloh
  4. 4. Chraňte katalog záloh
  5. 5. Zálohujte vše, co je potřeba zálohovat
  6. 6. Zálohujte celé firemní procesy
  7. 7. Horké kopie infrastruktury pro obnovení po havárii a automatizace pro urychlení
  8. 8. Testujte, testujte a znovu testujte

Zálohy musí být vbezpečí před malwarem a musí být možné je rychle a snadno použít k obnově,a to nejen pro důležité soubory a databáze, ale také pro klíčové aplikace,konfigurace a veškeré technologie potřebné pro podporu kompletních firemníchprocesů. A co je nejdůležitější, zálohování by mělo být dobře otestované.

Zde je osm kroků kzajištění úspěšného obnovení ze záloh po útoku ransomwaru.

1. Udržujte zálohy v izolaci

Podle průzkumuspolečnosti Veritas vydaného minulý podzim má jen 36 % firem tři nebo vícekopií svých dat, včetně alespoň jedné mimo lokalitu. Udržování „vzduchovémezery“ mezi zálohami a produkčním prostředím je rozhodující pro jejich udrženív bezpečí před ransomwarem a dalšími katastrofami.

„Někteří našiklienti používají svépomocí provozované zálohování ve vlastní infrastruktuře ataké cloudové zálohování,“ popisuje Jeff Palatt, viceprezident poradenskýchslužeb ve společnosti MoxFive.

„Pokud někdopoužívá obojí, je ideální, když nedochází ke kaskádě. Pokud dojde k zapsánízašifrovaných souborů do lokální zálohy a následně dojde k replikaci docloudu, tak je to opravdu špatné.“

Některé cloudovéplatformy zahrnují verzování jako součást produktu bez dalších nákladů.Například Office 365, Dokumenty Google a on-line zálohovací systémy jako iDriveudržují všechny předchozí verze souborů bez jejich přepsání.

I když udeříransomware a dojde k zazálohování zašifrovaných souborů, přidá zálohovacíproces jen nové poškozené verze souborů, ale nepřepíše starší zálohy, které jižexistují.

Technologie, kteráukládá kontinuální přírůstkové zálohy souborů, také znamená, že nedojdev případě útoku ransomwaru k žádné ztrátě dat. Prostě se vrátíte kposlední dobré verzi souboru před útokem.

2. Použití technologií umožňujících jen jeden zápis

Dalším způsobem,jak chránit zálohy, je použít úložiště, které nelze přepsat. Použijte buďtofyzickou technologii WORM (write-once-read-many) nebo virtuální ekvivalenty,které umožňují zápis dat, ale ne jejich přepisování.

Zvyšuje to však nákladyna zálohování, protože to vyžaduje podstatně více místa pro ukládání. Některétechnologie zálohování pouze ukládají změněné a aktualizované soubory nebopoužívají jinou deduplikační technologii, aby nedocházelo k ukládání více kopiístejného obsahu do archivu.

3. Používejte více typů záloh

„V mnoha případechnemají podniky dostatek úložného prostoru nebo schopnost uchovávat zálohy podlouhou dobu,“ popisuje Palatt. „V jednom případě měl náš klient jen tři dennízálohy. Dvě byly přepsané, ale třetí byla stále použitelná.“

Kdyby ransomwareudeřil během prodlouženého víkendu, byly by všechny tři denní zálohy zničeny.„Najednou přijdete a všechny vaše iterace jsou přepsané, protože máte zálohujen za tři, čtyři nebo pět dní.“

Palatt doporučuje,aby firmy používaly různé typy záloh, jako jsou např. plné zálohy podle rozvrhuv kombinaci s přírůstkovými zálohami s častější periodou.

4. Chraňte katalog záloh

Kromě udržovánísamotných souborů záloh v bezpečí před útočníky by měly společnosti takézajistit, aby byly v bezpečí jejich datové katalogy.

„Většinasofistikovaných útoků ransomwaru se zaměřuje na katalog zálohování a nikoliv naskutečná zálohovací média, zálohovací pásky nebo disky, jak si většina lidí simyslí,“ prohlašuje Amr Ahmed, lídr společnosti EY pro infrastrukturu a odolnostslužeb.

Tento katalogobsahuje všechna metadata pro zálohy, index, čárové kódy pásek, úplné cestyk datovému obsahu na discích a tak dále. „Bez tohoto katalogu by byla vašemédia nepoužitelná,“ uvádí Ahmed.

Obnova bez jejichdostupnosti by bylo extrémně náročné nebo nepraktické. Podniky musí zajistit,aby používaly takové řešení zálohování, které obsahuje ochranu pro katalogzáloh, například v podobě vzduchové mezery.

5. Zálohujte vše, co je potřeba zálohovat

Větší organizacemají také problém zajistit, aby se zálohovalo vše, co je potřeba zálohovat. Podleprůzkumu společnosti Veritas odhadují IT profesionálové, že v případě úplnéztráty všeho nebudou moci obnovit v průměru 20 % svých dat. Problémem takéje, že má mnoho společností stínové IT.

„Lidé se snažídělat svou práci nejpohodlnějším a nejefektivnějším možným způsobem,“ popisujeRandy Watkins, technologický ředitel společnosti Critical Start. „Často toznamená fungování mimo dohled IT a tedy zajištění věcí svépomocí.“

Firmy prostěnemohou zabránit ztrátě, když kritická data leží na serveru schovaném ve skřínikdovíkde, zejména pokud se tato data používají jen pro interní procesy. „Pokudjde o produkční prostředí, obvykle se to ukáže na nějakém firemním radaru,“uvádí Watkins. „Existuje nová aplikace nebo nová služba generující příjmy.“

Ne všechny systémymůže personál IT snadno nalézt, aby je bylo možné zálohovat. Udeří ransomware anajednou něco nefunguje. Watkins doporučuje, aby společnosti dělaly důkladnýprůzkum všech svých systémů a aktiv. To obvykle musí zahrnovat vedoucí každéčásti firmy, kteří musí požádat svůj personál o seznam všech kritických systémůa dat, která je nutné chránit.

6. Zálohujte celé firemní procesy

Ransomwareneovlivní jen datové soubory. Útočníci vědí, že čím více firemních funkcídokáží vyřadit, tím pravděpodobněji jim společnost zaplatí výkupné. Přírodníkatastrofy, selhání hardwaru a výpadky sítí také neberou ohledy.

Aby mohl firemníproces fungovat, musí docházet k zálohování nejen dat, ale také veškeréhosoftwaru, komponent, závislostí, konfigurací, síťového nastavení, nástrojů promonitorování a zabezpečení a všeho dalšího, což způsobuje vysokou náročnostprocesu obnovy. Společnosti tuto výzvu příliš často podceňují.

Největší výzvy přiobnově infrastruktury po útoku ransomwaru obvykle zahrnují přeinstalováníslužby Active Directory či databáze správy konfigurací.

Když v minulostichtěla firma plnou zálohu svých systémů, nejen dat, znamenalo to vytvořitfunkční duplikát celé její infrastruktury v lokalitě určené pro obnovu pohavárii. To samozřejmě zdvojnásobilo náklady na infrastrukturu a pro mnohofirem bylo takové řešení cenově nedostupné.

V současné dobělze využít cloudovou infrastrukturu k vytvoření virtuálních záložních datovýchcenter – takových, za které se platí jen v okamžiku jejich využití. A pokud jespolečnost již v cloudu, vytvoření zálohy v jiné zóně dostupnosti – nebo vjiném cloudu – je ještě jednodušší proces.

7. Horké kopie infrastruktury pro obnovení po havárii a automatizace pro urychlení

Podle společnostiVeritas jen třetina ředitelů IT věří, že by zvládli obnovu z útoku ransomwarudo pěti dnů. Probléms časem obnovení může vyřešit horká kopie infrastruktury (hot site) dostupnáběhem okamžiku. Vsoučasné době, když je infrastruktura založená na cloudu, není žádný důvodtakovou možnost nemít.

„Je to zcelajasné,“ prohlašuje Watkins. „Můžete použít skript, kterýkopíruje vaši infrastrukturu a vytvoří ji v jiné zóně dostupnosti nebo u zcelajiného poskytovatele. Potom použijete automatizaci a můžete jen stisknouttlačítko. Neexistuje žádný čas obnovy – zapnutí trvá pouhých 10 nebo 15 minut.Možná celý den, pokud budete chtít podstoupit testování.“

Proč to nedělávíce společností? Za prvé existují významné náklady pro počáteční nastavení,vysvětluje Watkins. „Dále k tomu potřebujete vlastní odborný personál, znalostiautomatizace a obecné znalosti cloudu,“ popisuje. „Potom zde jsou záležitostijako bezpečnostní opatření, která musíte nakonfigurovat dopředu.“

8. Testujte, testujte a znovu testujte

Podle společnostiVeritas 39 % firem naposledy testovalo svůj plán obnovení po havárii předvíce než třemi měsíci, nebo dokonce vůbec nikdy.

bitcoin školení listopad 24

„Zálohování chápehodně lidí z perspektivy backupu, ale ne z perspektivy obnovy,“ prohlašuje MikeGolden, hlavní manažer dodávek služeb cloudové infrastruktury ve společnostiCapgemini. „Zálohovat můžete celý den, ale pokud neotestujete obnovu a,přivoláváte problémy.“

Toto je místo, kdehodně společností selhává, varuje Golden. „Udělají zálohy a odejdou, neotestujíje.“ Nemají například představu, jak dlouho by trvalo stažení záloh, protože tonetestovali. „Neznáte žádné podrobnosti, co všechno se může pokazit, dokud seto nestane,“ vysvětluje.

Využíváte už některé z inovativních metod šifrování?