Jak na ochranu zálohovaných dat před ransomware

Ransomware je reálnou hrozbou a netýká se jen osobních počítačů. Veeam Software přináší řadu doporučení, která lze využít v rámci stávající zálohovací infrastruktury firmy.

Jednou z důležitých součástí ochrany vůči ransomware je schopnost obnovit data ze záloh do původního stavu, a to zejména tehdy, pokud by se hrozba tohoto typu vymkla v datovém centru kontrole.

Důležité je si přitom uvědomit, že neexistuje žádný univerzální postup, který by ochránil před ransomware všechna zálohovací prostředí.

Přestavujeme varianty k výběru a k využití podle reálných potřeb a možností vaší společnosti.

Rozdílné přístupové údaje 

Jedním z nejlepších bezpečnostních opatření je využívání přístupových údajů jedinečných pro jednotlivé služby - a ve věku ransomware to platí dvojnásob. Přístupové údaje k úložišti se zálohami je nutné pečlivě chránit a využívat je výhradně právě pro zálohovací procesy. Důležité také je, aby k zálohám neměly přístup jiné účty, jinými slovy nikdy nevyužívejte doménového administrátora pro všechno.

Naše produkty někdy nejsou součástí domény vůbec, zejména v případě menších prostředí, nebo využívají doménu určenou výhradně pro vybrané procesy včetně zálohování, jak tomu obvykle bývá u větších organizací. Oddělení autentizace směrem k zálohovacímu prostředí od zbytku informační architektury je velmi efektivní a snadno dosažitelný bezpečnostní prvek.

Off-line úložiště jako součást strategie zajištění dostupnosti

Velmi účinným opatřením před nežádoucím zašifrováním záloh ze strany ransomware je využívání off-line úložišť. My nabízíme k výběru hned několik druhů úložišť, které mohou být úplně nebo částečně off-line.

Varianty pro uložení záloh:

• Cloudové zálohy pomocí služby Cloud Connect - není přímou součástí zálohované infrastruktury a využívá odlišný autentizační mechanismus

• Rotace pevných disků / médií - off-line, připojení je vyžadované pouze pro zápis nebo čtení

• Snímky primárního úložiště - snímky lze využívat jako prostředek pro zotavení a obvykle je k dispozici odlišný autentizační mechanismus

• Replikované virtuální stroje - vypnuté virtuální stroje, navíc ve většině případů lze využít i odlišný autentizační mechanismus (například provoz hostitelů vSphere/Hyper-V v rámci další domény)

• Páska - off-line, připojení je vyžadované pouze pro zápis nebo čtení

Odlišný souborový systém pro úložiště se zálohami

Dalším způsobem ochrany před ransomware může být využívání postupů, technik a pravidel odlišných od těch, které jsou součástí provozního prostředí. My již mnoho let zákazníkům doporučujeme ukládat zálohy na úložiště, které využívá jiný autentizační mechanismus.

Příkladnou ukázkou jsou zálohy kritických prvků podnikové informační architektury. Vezměme do úvahy například doménový řadič - pokud je ověřování přístupu k zálohám řešeno pomocí Active Directory, může jít za situace vyžadující úplnou obnovu příslušného doménového řadiče o obtížně řešitelný problém.

Dobrým opatřením může být i využívání linuxového operačního systému jako repositáře. Ověřování přístupu k  zálohám zde lze zajistit pomocí autentizačního mechanismu linuxového systému, přičemž s cílem minimalizovat riziko šíření ransomware lze využít i další souborové systémy (ext3, ext4 apod.).

Abychom ale někoho neuvedli v omyl, ransomware samozřejmě existuje i na jiných operačních systémech. Nicméně použití různých operačních systémů může míru ochrany záloh zvýšit.

Několik příkladů zálohovacích prostředí:

• Využívání úložiště na linuxovém serveru jako repositáře pro zálohy připojeného pomocí protokolu NFS
• Deduplikace pomocí řešení Hewlett Packard Enterprise (HPE) StoreOnce Catalyst
• Deduplikace pomocí zařízení ExaGrid s využitím nativního agenta Veeam
• Deduplikace doménových úložišť pomocí DDBoost

Zálohování záloh

Výše zmíněné zálohy primárních dat jsou off-line pouze částečně. Pokud tedy úložiště pro ukládání záloh umožňuje vytvářet snímky sama sebe, využívejte je. Jedná se jednoznačně o další užitečnou úroveň prevence proti ransomware.

Pravidlo 3-2-1-1

Držte se osvědčeného pravidla 3-2-1, a to opravdu důsledně. Uvedené pravidlo říká, že mají existovat tři kopie zálohovaných dat uložené na dvou typech médií, kdy jedna z těchto kopií je umístěna v geograficky oddělené lokalitě. Jde o ověřený přístup, který umožňuje řešit prakticky jakýkoli typ havárie a nevyžaduje přitom žádnou speciální technologii.

Ve věku ransomware je nicméně vhodné přidat k tomuto pravidlu další "jedničku", která znamená, že jedno z médií má být off-line, tedy za normální situace nedostupné z provozní infrastruktury. A k zajištění tohoto doplňku můžete využít některou z výše popsaných možností pro vytvoření úplné nebo částečné off-line kopie dat.

Podrobný přehled o podezřelém chování

Mezi největší rizika spojená s ransomware je jeho šíření do dalších systémů a podrobný přehled o potenciálně nebezpečných aktivitách ve vaší infrastruktuře je proto velmi užitečný.

Veeam toto řeší například novým předdefinovaným alarmem, který je součástí platformy Veeam ONE verze 9.5 a který upozorňuje na aktivity typické právě pro ransomware jako je nárůst počtu zápisů nebo vysoké vytížení procesoru.

Využívání nástroje Backup Copy Job

Backup Copy Job je nástrojem pro vytváření bodů obnovy na různých úložištích a s rozdílnými pravidly pro jejich uchování. Jinými slovy jde o mechanismus, který nabízí mnohem víc než jen prosté zálohování a může boj s ransomware ještě více ulehčit. Organizace s ním získávají možnost vrátit svá data do stavu, který odpovídá konkrétnímu požadovanému okamžiku.

Nástroj Backup Copy Job vytváří body obnovy na základě již existujících záloh a ukládá je do nového úložiště, které může být i jiného typu. Nastavení celého procesu je přitom velmi snadné.

Článek Veeam Software (Czech Republic) s.r.o. ze dne pátek 30. června 2017

Další články od Veeam Software (Czech Republic) s.r.o.