Jak obnovit data i když celé diskové pole bylo napadeno, zašifrováno a jeho zálohy smazány

Jedním ze způsobů, jak této škodě předejít je využít řešení pro ochranu dat od společnosti Dell – Dell EMC PowerProtect DD (Data Domain).

Jak obnovit data i když celé diskové pole bylo napadeno, zašifrováno a jeho zálohy smazány


Není to tak dávno, co Národní úřad pro kybernetickou a informační bezpečnost vydal varování před zvýšeným rizikem kybernetických útoků. Tyto útoky mohou mít nejrůznější povahu, přičemž ty nejzákeřnější vás mohou doslova připravit o veškerá data. Jedním ze způsobů, jak této škodě předejít je využití řešení pro ochranu dat od společnosti Dell – Dell EMC PowerProtect DD (Data Domain). To ale musí být správně nastaveno, aby zaručovalo nejvyšší stupeň ochrany.

Jedním z nejčastějších typů útoku, který způsobí ztrátu dat je ransomware. První fáze takového útoku bývá vedena na nejzranitelnější část IT – koncového uživatele. Prostřednictvím phishingu, e-mailu s podvrženou přílohou, který na první pohled nevzbudí pozornost ani u poučeného uživatele, spustí uvnitř organizace malware, který na pozadí shromáždí kompletní informace o aplikačním a systémovém prostředí organizace. Data pak odešle prostřednictvím standardních protokolů mimo prostředí organizace útočníkovi. Tento útok je cílený – útočníci si často vybírají organizace, které disponují citlivými daty a u nichž je vysoká míra pravděpodobnosti, že nebudou chtít napadení zveřejnit.

Následuje druhá fáze – malware stáhne další škodlivý software, který prolomí kompletní strukturu uživatelských jmen a hesel. Na prvním místě se zaměřuje na silná administrátorská hesla a dále na zbytek. Jakmile získá dostatečný počet silných oprávnění, nastupuje samotný ransomware. Fáze 1 a fáze 2 je většinou nepovšimnuta.

Ve třetí fázi dojde k zašifrování veškerého obsahu, který je v rámci IT prostředí organizace dostupný. Velmi často dojde ještě před šifrováním ke smazání záloh. Šifrování samotné je velmi náročný proces, a to už se viditelně projeví na běhu organizace. Zpomalí se odezvy aplikací, zahltí se síť atd. Až v této chvíli je většinou útok odhalen, a to už je pozdě. Dojde sice k odpojení celého prostředí od veřejného internetu, ale v té chvíli není možné rozhodnout, jaká část je napadena a jaká nikoliv. Zbývají dvě možnosti.

První možností je počkat na ukončení šifrování a zaplacení výkupného a věřit, že poskytnutý klíč nejen že odšifruje zašifrovaná data, ale že útočník nenechá backdoor v systému. Toto řešení si z pohledu obecných pravidel kybernetické bezpečnosti může dovolit málokterá firma, natož pak státní nebo veřejná organizace. Takže přichází druhá, a vlastně jediná možnost – tedy kompletní postavení IT od nuly. Reinstalace celého prostředí a ztráta většiny dat případně jejich obnovu.

A právě obnova dat v takové situaci je dosti specifická disciplína. Musíte mít zálohu na úložišti, které principiálně zašifrovat nelze, ale hlavně musíte vědět, že obnovujete nekontaminovanou zálohu. Těchto vlastností můžete velmi snadno, rychle a za přijatelných nákladů dosáhnout jako uživatelé Dell EMC DataDomain.

Řešení Dell EMC Data Domain, vyvinuté speciálně za účelem zálohy, archivace a obnovy dat patří dnes mezi nejlepší a nejvyspělejší platformy svého druhu. Řešení je již natolik pokročilé, že vám umožní obnovit data i v případě, že vaše celé diskové pole bylo napadeno, zašifrováno a jeho zálohy byly virem smazány. „Většinou je útok bohužel odhalen, až když už je pozdě. Můžete sice odpojit prostředí od internetu, ale i tak nevíte, která data byla nebo nebyla napadena. Předejít totální ztrátě dat a s tím spojeným dalším problémům je do značné míry možné jejich kvalitní ochranou, která zajistí, že data v záloze budou zdravá a připravena k okamžité obnově. Právě to umožňuje architektura Data Domain, která je mimo jiné americkým sdružením Sheltered Harbor doporučována jako jediné řešení pro ochranu dat ve finančním sektoru. Avšak, aby byla maximálně efektivní, musí být i správně nastavena,“ uvedl Aleš Koreček, Data Protection Solution Presales Manager pro oblast střední a východní Evropy ve společnosti Dell EMC. 

Samotné nastavení má pak dvě fáze. První je softwarová a může si ji každý, kdo využívá Dell EMC Data Domain nastavit sám s téměř nulovými náklady. Dalším stupněm zabezpečení je hardwarový update.

Dell EMC Data Domain má mnoho nástrojů, jak ji systémově chránit. Klíčovým prvkem je zavedení retention locku a snapshotů. Retention lock je sám o sobě schopen zamknout data do takové míry, že je nebude schopen kompromitovat ani sám administrátor. Snapshot je potom systémová záležitost, kdy administrátor jednou za čas vytváří snapshot souborového systému, díky čemuž máte něco, k čemu se vždy můžete vrátit. Mimo to nabízí Dell EMC Data Domain ještě další procesy, které může administrátor nastavit. „Opatření v rámci hardeningu Dell EMC Data Domain se obecně týkají změny oprávnění, separace uživatelů a izolace Dell EMC Data Domain na síti. Všechny tyto kroky mohou značně zvýšit úroveň zabezpečení, a pakliže si s nimi klient neví rady, pomůžeme mu buď to my, nebo naši certifikovaní partneři, kteří naše osvědčené postupy dodržují,“ upřesnil Aleš Koreček.

Podle jeho slov problémy v tomto směru vznikají v mnoha institucích v průběhu let a postupně se na sebe nabalují. „Nejde o to, že by administrátoři byli líní, či nepoctiví. Problém častokrát vznikne tak, že lidé z IT kvůli testování otevřou nějaké porty, či použijí stejného uživatele na jiný server a následně se na to zapomene. Tyto chyby si po čase začnou žít svým vlastním životem a představují slabé místo v rámci zabezpečení společnosti,“ dodal Aleš Koreček.

Pakliže má klient správně nastavenou Dell EMC Data Domain, tak značně stíží útočníkovi možnost kontaminovat celou zálohu a zároveň má jistotu v tom, že data, která na ní najde, nebudou zašifrovaná. Nemá ale jistotu v tom, že data nebudou kontaminována a že část z nich může být zálohována už v zašifrovaném stavu. Tomu se dá předejít pořízením další Dell EMC Data Domain. Právě ta bude mít svůj vlastní data management, který bude prověřovat data automaticky, díky čemuž předejdete jejich složité manuální selekci. Co se velikosti týče, může být druhá Dell Data Domain menší než ta původní. Toto řešení je možné doplnit ještě o poslední komponentu, zvanou Cyber Sense, což je v podstatě analytický engine, který provádí online heuristickou analýzu dat v Dell EMC Data Domain, v rámci které nejen že hledá podezřelé brouky, ale je také schopen rozeznat podezřelou aktivitu a následně na ni upozornit. „Cyber Sense vás kromě toho, že garantuje čistá data, dokáže upozornit i na možné problémy v záloze. A právě to je All in One řešení, které nabízí maximální možnou míru ochrany kvality zálohovaných dat a které je dodáváno v rámci Dell Professional Services. Ty jsou určeny velkým společnostem vyžadujícím nejvyšší stupeň zabezpečení dat.

Třešničkou na dortu v rámci celého řešení je pak mít součástí záložní infrastruktury tzv. Cleanroom, na němž bude možné okamžité spuštění kritických procesů a do které můžete nahrát kvalitní zálohovaná data ze své Dell EMC Data Domain“ uzavřel Aleš Koreček. Často se totiž stává, že při napadení útočník vyřadí nejen úložiště, ale i servery. A i když se k datům nedostane a ta zůstanou v bezpečí, tak nebudete schopni fungovat, protože nebudete mít infrastrukturu, která by mohla s daty pracovat. Ale to je už jiný příběh. 

Úvodní foto: Dell










Komentáře