Odpovedá Rick Vanover, riaditeľ produktového marketingu, Veeam Software
Ransomware je reálnou hrozbou a zďaleka sa nedotýka len osobných počítačov. IT firmy aj koncoví zákazníci sa s týmto typom škodlivého softvéru stretávajú v rôznych oblastiach vrátane dátových centier. A preto jednou z dôležitých súčasťou ochrany voči ransomware je schopnosť obnoviť dáta zo záloh do pôvodného stavu, a to hlavne vtedy, ak by sa hrozba tohoto typu vymkla v dátovom centre kontrole.
V následujících odstavcích vám proto přinášíme řadu tipů, jak se na nepříznivou situaci plánovaně připravit, a to i za využití technologií Veeam Software, přičemž vůbec nevadí, pokud produkty této značky zatím nevyužíváte – rady můžete využít i bez nich a odpovídajícím způsobem je v rámci stávající zálohovací infrastruktury využít.
Důležité je nicméně pochopit, že neexistuje žádný univerzální postup, který by ochránil před ransomware všechna zálohovací prostředí. Cílem tohoto textu je nabídnout varianty k výběru a k využití podle vašich reálných potřeb a možností.
- Rozdílné přístupové údaje
Jedním z nejlepších bezpečnostních opatření je využívání přístupových údajů jedinečných pro jednotlivé služby – a ve věku ransomware to platí dvojnásob. Přístupové údaje k úložišti se zálohami je nutné pečlivě chránit a využívat je výhradně právě pro zálohovací procesy. Důležité také je, aby k zálohám neměly přístup jiné účty, jinými slovy nikdy nevyužívejte doménového administrátora pro všechno.
Naše produkty někdy nejsou součástí domény vůbec, zejména v případě menších prostředí, nebo využívají doménu určenou výhradně pro vybrané procesy včetně zálohování, jak tomu obvykle bývá u větších organizací. Oddělení autentizace směrem k zálohovacímu prostředí od zbytku informační architektury je velmi efektivní a snadno dosažitelný bezpečnostní prvek.
- Off-line úložiště jako součást strategie zajištění dostupnosti
Velmi účinným opatřením před nežádoucím zašifrováním záloh ze strany ransomware je využívání off-line úložišť. My nabízíme k výběru hned několik druhů úložišť, které mohou být úplně nebo částečně off-line. Podrobnosti jsou uvedené v tabulce č. 1.
Úložiště / typ | Vlastnosti |
Páska | Off-line, připojení je vyžadované pouze pro zápis nebo čtení. |
Replikované virtuální stroje | Vypnuté virtuální stroje, navíc ve většině případů lze využít i odlišný autentizační mechanismus (například provoz hostitelů vSphere/Hyper-V v rámci další domény). |
Snímky primárního úložiště | Snímky lze využívat jako prostředek pro zotavení a obvykle je k dispozici odlišný autentizační mechanismus. |
Cloudové zálohy pomocí služby Cloud Connect | Není přímou součástí zálohované infrastruktury a využívá odlišný autentizační mechanismus. |
Rotace pevných disků / médií | Off-line, připojení je vyžadované pouze pro zápis nebo čtení. |
Tabulka č. 1 – Varianty pro uložení záloh
- Odlišný souborový systém pro úložiště se zálohami
Dalším způsobem ochrany před ransomware může být využívání postupů, technik a pravidel odlišných od těch, které jsou součástí provozního prostředí. My již mnoho let zákazníkům doporučujeme ukládat zálohy na úložiště, které využívá jiný autentizační mechanismus. Příkladnou ukázkou jsou zálohy kritických prvků podnikové informační architektury. Vezměme do úvahy například doménový řadič – pokud je ověřování přístupu k zálohám řešeno pomocí Active Directory, může jít za situace vyžadující úplnou obnovu příslušného doménového řadiče o obtížně řešitelný problém.
Dobrým opatřením může být i využívání linuxového operačního systému jako repositáře. Ověřování přístupu k zálohám zde lze zajistit pomocí autentizačního mechanismu linuxového systému, přičemž s cílem minimalizovat riziko šíření ransomware lze využít i další souborové systémy (ext3, ext4 apod.). Abychom ale někoho neuvedli v omyl, ransomware samozřejmě existuje i na jiných operačních systémech. Nicméně použití různých operačních systémů může míru ochrany záloh zvýšit. Podívejme se proto na několik příkladů zálohovacích prostředí, která využívají různé souborové systémy a jiné autentizační mechanismy:
- Deduplikace doménových úložišť pomocí DDBoost(nebo pomocí úložišť připojených protokolem NFS, nicméně doporučeným řešením je právě DDBoost)
- Deduplikace pomocí řešení Hewlett Packard Enterprise (HPE) StoreOnce Catalyst
- Deduplikace pomocí zařízení ExaGrid s využitím nativního agenta Veeam
- Využívání úložiště na linuxovém serveru – jako repositáře pro zálohy – připojeného pomocí protokolu NFS
Příklad využití odlišných bezpečnostních mechanismů řízení přístupu v procesech Veeam ve spojení s uvedenými typy dokresluje obrázek č. 1.
Obrázek č. 1 – Uživatelské rozhraní
- Zálohování záloh
Výše zmíněné zálohy primárních dat jsou off-line pouze částečně. Pokud tedy úložiště pro ukládání záloh umožňuje vytvářet snímky sama sebe, využívejte je. Jedná se jednoznačně o další užitečnou úroveň prevence proti ransomware.
- Pravidlo 3-2-1-1
Držte se osvědčeného pravidla 3-2-1, a to opravdu důsledně. Uvedené pravidlo říká, že mají existovat tři kopie zálohovaných dat uložené na dvou typech médií, kdy jedna z těchto kopií je umístěna v geograficky oddělené lokalitě. Jde o ověřený přístup, který umožňuje řešit prakticky jakýkoli typ havárie a nevyžaduje přitom žádnou speciální technologii.
Ve věku ransomware je nicméně vhodné přidat k tomuto pravidlu další „jedničku“, která znamená, že jedno z médií má být off-line, tedy za normální situace nedostupné z provozní infrastruktury. A k zajištění tohoto „doplňku“ můžete využít některou z výše popsaných možností pro vytvoření úplné nebo částečné off-line kopie dat.
- Podrobný přehled o podezřelém chování
Mezi největší rizika spojená s ransomware je jeho šíření do dalších systémů a podrobný přehled o potenciálně nebezpečných aktivitách ve vaší infrastruktuře je proto velmi užitečný. Veeam toto řeší například novým předdefinovaným alarmem, který je součástí platformy Veeam ONE verze 9.5 a který upozorňuje na aktivity typické právě pro ransomware jako je nárůst počtu zápisů nebo vysoké vytížení procesoru.
Obrázek č. 2 – Alarm „Possible ransomware aktivity“
- Využívání nástroje Backup Copy Job
Backup Copy Job je nástrojem pro vytváření bodů obnovy na různých úložištích a s rozdílnými pravidly pro jejich uchování. Jinými slovy jde o mechanismus, který nabízí mnohem víc než jen prosté zálohování a může boj s ransomware ještě více ulehčit. Organizace s ním získávají možnost vrátit svá data do stavu, který odpovídá konkrétnímu požadovanému okamžiku.
Nástroj Backup Copy Job vytváří body obnovy na základě již existujících záloh a ukládá je do nového úložiště, které může být i jiného typu. Nastavení celého procesu je přitom velmi snadné.
Je to vše? Pochopitelně ne, zcela zásadní je pružnost přijatých opatření a vysoká ostražitost. Možná budou ve vaší podnikové informační architektuře použitelné jen některé z uvedených tipů. A možná dokonce máte své vlastní rady nebo postupy, jak nežádoucímu zašifrování záloh předcházet – pak neváhejte a řekněte o nich ostatním. Například na Twitteru najdete užitečné rady na @RickVanover a @Veeam.