Лучшие практики резервного копирования от вымогательских программ

Согласно информации об информационной безопасности, хакеры нацеливаются на резервные данные примерно в 93% всех атак вымогательского программного обеспечения. Это привело к потере резервных данных и их невозможности использования для восстановления, а также к повышению вероятности того, что организации заплатят выкуп в надежде восстановить доступ к системам.

Внедрение мер по кибербезопасности и резервирование данных для обеспечения восстановления после инцидентов с вымогательским программным обеспечением уже недостаточно. Антивирусная программа может защищать компьютеры и их данные на первом этапе, но если вирусы и вымогательское программное обеспечение заразили компьютеры и уничтожили данные, единственным методом восстановления данных является использование резервной копии данных. С резервными хранилищами в облаке, доступными через интернет, резервные копии подвергаются еще большему риску от вымогательского программного обеспечения. Поэтому кроме основных данных должны быть предприняты дополнительные меры по защите резервных копий.

В этом блоге объясняется, как создать эффективную стратегию защиты от вымогательского программного обеспечения.

Можно ли восстановиться из резервной копии после атаки вымогательского программного обеспечения?Исследование, проведенное компанией Sophos, показывает, что восстановление данных после инцидента с вымогательским программным обеспечением с использованием резервных копий происходит быстрее, чем при платеже выкупа. Надлежаще сконфигурированные резервные копии могут использоваться для восстановления данных и компьютеров после атаки вымогательского программного обеспечения. Если у вас есть надежная и не зараженная резервная копия, вы можете восстановить данные и минимизировать время простоя, связанное с инцидентом.

Исследование, проведенное компанией Sophos, показывает, что восстановление данных после инцидента с распространением программ-вымогателей с использованием резервных копий происходит быстрее, чем при выборе пути выплаты выкупа. Настроенные должным образом резервные копии могут быть использованы для восстановления данных и компьютеров после атаки программ-вымогателей. Если у вас есть надежная и не зараженная резервная копия, вы можете восстановить данные и свести к минимуму простой, связанный с инцидентом.

Рассмотрите следующие действия для восстановления систем после инцидента с программами-вымогателями:

• Изолировать зараженную систему. Как только вы обнаружите заражение программой-вымогателем, отключите зараженный компьютер от сети для предотвращения дальнейшего распространения вредоносного ПО.
• Удалить программу-вымогателя. Используйте надежные антивирусные или антишпионские программы для удаления программы-вымогателя из вашей системы. Убедитесь, что ваши антивирусные определения обновлены, чтобы увеличить шансы на успех. Альтернативой является форматирование дисковых накопителей, зараженных программами-вымогателями, и восстановление данных из резервных копий на эти накопители (резервные копии должны быть не затронуты).
• Оценить доступность резервных копий. Проверьте системы резервного копирования, чтобы убедиться, что они не затронуты атакой программ-вымогателей.
• Восстановить данные. Вы можете инициировать процесс восстановления данных с помощью решения для резервного копирования данных. Это может включать выбор конкретных файлов, папок или образов системы для восстановления. Следуйте инструкциям, предоставленным вашим программным обеспечением для резервного копирования или поставщиком услуг.
• Проведите расследование и составьте отчет. Исследуйте, как рэнсомвар попал в вашу систему, чтобы предотвратить будущие атаки. Сообщите о инциденте соответствующим органам, например, правоохранительным органам или организациям кибербезопасности.
• Помните, что эффективность вашего восстановления зависит от регулярного обновления и обеспечения безопасности резервных копий. Если ваши резервные копии устарели или подверглись компрометации, вы можете не сможете полностью восстановить свои данные. Важно поддерживать надежную стратегию защиты от рэнсомвара, основанную на резервном копировании, как часть ваших общих мер по кибербезопасности, чтобы смягчить последствия инцидентов с рэнсомваром.Может ли рэнсомвар атаковать резервную копию?
• Резервные копии не защищены от инфицирования вредоносным программным обеспечением. Рэнсомвар может потенциально атаковать и шифровать (уничтожать) файлы резервной копии, если они напрямую доступны с зараженной системы или если рэнсомвар специально разработан для атаки на системы резервного копирования.Преступные группы, использующие рэнсомвар, знают, что организации полагаются на резервные копии для восстановления систем вместо выплаты выкупов. По этой причине резервные копии могут быть одной из основных целей для рэнсомвара.

Резервные копии, хранящиеся на следующих ресурсах, доступных с зараженного компьютера, находятся в опасности:

Общие диски

Хранилища сетевого доступа (NAS)

Внешние дисковые накопители, подключенные к зараженному компьютеру

Облачное хранилище, доступное с зараженных машин

• Общие диски
• Сеть с подключенным хранилищем (NAS)
• Внешние дисковые накопители, подключенные к зараженному устройству
• Облачное хранилище, доступное с зараженных устройств

Хотя возможно, что вредоносное ПО, требующее выкуп, может ставить целью резервные копии, существуют профилактические меры, которые вы можете предпринять в рамках стратегии защиты от такого ПО для защиты и безопасности резервных данных. Таким образом, вы обеспечиваете надежное восстановление в случае атаки.

Лучшие практики резервного копирования для защиты от требующего выкупа ПО

Лучшие практики резервного копирования для защиты от требующего выкупа ПО разработаны для обеспечения целостности данных и возможности восстановления в случае атаки таким ПО. Они охватывают подходы к резервному копированию, а также стратегии защиты этих резервных копий от возможного заражения в случае заражения основных систем.

Стратегия резервного копирования 3-2-1

Основой вашей стратегии защиты от требующего выкупа ПО является правило резервного копирования 3-2-1. Это надежная методика резервного копирования, которая может помочь защититься от атак таким ПО, обеспечивая избыточность, разнообразие и изоляцию резервных копий. Правило диктует, что у вас должно быть не менее 3 копий данных, 2 из которых находятся на разных носителях, с 1 хранимой вне сайта. Стратегия резервного копирования 3-2-1 от требующего выкупа ПО может быть дополнительно расширена до 3-2-1-1, чтобы включить копии с воздушным зазором или неизменяемые копии.

Ниже вы можете увидеть, как стратегия резервного копирования 3-2-1 может защитить ваши данные от требующего выкупа ПО:

• 3 копии данных:
  • Основная копия. Это ваши живые данные, оригинальные файлы и данные, с которыми вы работаете ежедневно.
  • Локальное резервное копирование. Создайте вторую копию ваших данных, хранящихся локально, например, на внешнем жестком диске, сервере резервного копирования или устройстве хранения сетевого доступа (NAS). Это обеспечивает быстрый и удобный доступ к вашим резервным копиям в случае потери данных или их повреждения.
  • Внешнее резервное копирование. Третья копия должна храниться за пределами вашего основного местоположения. Это может быть в другом физическом месте, обычно достигаемом с помощью облачного хранения, копирования резервной копии данных на вторичное местоположение через сеть или физической транспортировки резервных копий во внешнее местоположение регулярно.
• 2 различных носителя данных. Использование различных носителей данных для каждой резервной копии может улучшить надежность. Например, если у вас есть локальная резервная копия на физическом жестком диске, используйте другой тип носителя для резервной копии в удаленном месте, такой как облачное хранилище или другое физическое устройство. Это разнообразие помогает защититься от одного и того же типа программы-вымогателя, одновременно воздействующего на локальные и удаленные резервные копии.
• 1 носитель хранится за пределами рабочей зоны. Хранение одной резервной копии за пределами рабочей зоны позволяет восстановить данные, если первичное местоположение будет уничтожено из-за чрезвычайной ситуации, такой как пожар, наводнение, ураган и т. д.
• 1 воздушно-изолированная или неизменяемая копия. Воздушно-изолированная резервная копия изолирована от сети и недоступна через Интернет или не подключена к вашей основной системе. В то время как неизменяемая резервная копия хранится в неизменяемых репозиториях, которые нельзя изменить или удалить. Это означает, что даже если программное обеспечение-вымогатель проникает в вашу сеть, оно не сможет зашифровать эти резервные копии.

  Убедитесь, что ваша воздушно-изолированная резервная копия (офлайн-резервная копия) периодически обновляется, но отключите эту резервную копию от сети или удалите ее из физического местоположения, когда она не используется. Эта изоляция делает резервную копию очень устойчивой к атакам программы-вымогателя.

Стратегия резервного копирования от программы-вымогателя 3-2-1 защищает от программы-вымогателя следующим образом:

• Избыточность данных. В случае атаки вымогательского программного обеспечения, направленной на ваши основные данные, у вас есть две дополнительные копии (локальная и удаленная), с которых можно восстановить данные без уплаты выкупа.
• Разнообразие. Использование различных носителей данных обеспечивает сохранность информации в случае компрометации одного типа резервного копирования вымогательским программным обеспечением. Это разнообразие делает более сложным задачу вымогательского программного обеспечения повредить все копии ваших данных.
• Изоляция. Воздушно-изолированная копия, хранящаяся офлайн или в изолированной среде, служит последней линией обороны. Даже если вымогательское программное обеспечение получит доступ к вашей сети или локальным резервным копиям, оно не сможет добраться до воздушно-изолированной копии.
• Гибкость восстановления. Вы можете быстро восстановить данные из локальной копии в случае незначительных потерь данных, а если произойдет серьезная атака вымогательского программного обеспечения, у вас есть удаленные и воздушно-изолированные копии для резервного восстановления.

Подход к защите данных 3-2-1-1 является хорошей стратегией резервного копирования данных против вымогательского программного обеспечения, если его дополнять другими мерами безопасности и внедрять правильно.

Планирование и тестирование ЧС.

Планирование восстановления после катастрофы и тестирование играют критическую роль в защите от атак вымогателей, обеспечивая готовность, минимизируя время простоя и облегчая эффективное восстановление данных в случае атаки вымогателей. Планирование восстановления после катастрофы учитывает не только восстановление данных, но и непрерывность бизнеса важных операций. Это означает наличие резервных систем и процессов, чтобы бизнес продолжал функционировать даже во время инцидента с вымогательством. Хорошо протестированный план восстановления после катастрофы позволяет более быстро восстанавливать критические системы и данные.

Создайте план восстановления после катастрофы:

• Определите критические системы и данные. Это помогает определить, что нужно защищать в случае атаки вымогателей.
• Разработайте стратегию резервного копирования и восстановления. Это включает в себя внедрение стратегии резервного копирования 3-2-1, обеспечение избыточности данных и наличие резервных копий вне места хранения основных данных.
• Реагирование на инциденты. Включите процедуры реагирования на инциденты, специфичные для вымогательства, в свой план восстановления после катастрофы. Это гарантирует, что ваша команда знает, как реагировать эффективно в случае атаки.

Тестирование и улучшение плана восстановления после катастрофы:Проведение регулярного тестирования. Проводите регулярные тесты и симуляции восстановления после катастрофы, которые включают сценарии вымогательства. Тестирование помогает выявить слабые места в вашем плане и позволяет внести необходимые улучшения.

• Проведение регулярного тестирования. Проводите регулярные тесты восстановления после катастроф и симуляции, включая сценарии с распространением вредоносных программ. Тестирование помогает выявить слабые места в вашем плане и позволяет внести необходимые улучшения.
• Проверка целостности резервных данных путем тестирования процесса восстановления данных. Обеспечение того, что резервные копии не подвергнутся компрометации, является жизненно важным в борьбе против программ-вымогателей.
• Тренинги на основе сценариев. Обучение сотрудников сценариям, связанным с программами-вымогателями, гарантирует, что они будут готовы эффективно реагировать при возникновении атаки.

Не забывайте о документации и соответствии требованиям:

• Документация. Планы восстановления после катастроф должны быть хорошо документированы и регулярно обновляются. Эта документация помогает обеспечить, чтобы каждый знал свои роли и обязанности во время инцидента.
• Соответствие регуляторным требованиям. Соответствие нормам защиты данных часто требует наличия надежного плана восстановления после катастроф. Это может помочь избежать юридических проблем и штрафов в случае атаки программ-вымогателей.

Использование неизменяемого хранилища

Неизменяемое хранилище – это тип хранилища, в котором данные не могут быть изменены после записи. Технология неизменяемого хранилища предотвращает любые изменения, удаление или шифрование сохраненных данных в течение определенного периода хранения. Используйте неизменяемое хранилище для хранения резервных копий и повышения вероятности успешного восстановления данных в случае атак программ-вымогателей.

Неизменяемое хранилище может использовать различные механизмы:

• Запись один раз, чтение много раз (WORM): Данные могут быть записаны один раз, после чего их можно только читать, но нельзя изменять или удалять.
• Криптографическое хэширование. Данные могут быть хэшированы с использованием криптографических алгоритмов, и значения хэшей хранятся отдельно. Любые изменения в данных приведут к другому хэшу, что предупредит о возможном вмешательстве.
• Версионирование. Хранятся версии данных, и предыдущие версии могут быть восстановлены, если текущая версия была скомпрометирована.
• Управление доступом. Системы неизменяемого хранения обычно имеют строгие механизмы управления доступом для предотвращения несанкционированных изменений данных.

Рэнсмэр обычно действует путем шифрования файлов и требует выкуп за ключ дешифрования. Неизменяемое хранение может защитить от рэнсмэра несколькими способами:

• Предотвращает модификацию. Поскольку данные в неизменяемом хранилище не могут быть изменены, попытки рэнсмэра зашифровать или изменить файлы будут неуспешными.
• Обеспечивает быстрое восстановление. Даже если рэнсмэр зашифрует ваши основные данные, вы можете полагаться на неизменяемое хранение для восстановления чистых копий ваших файлов. Вы можете легко восстановить свои данные в их незашифрованном состоянии, так как оригинальные данные остаются неповрежденными.
• Сигналы о подлоге. Системы неизменяемого хранения могут генерировать предупреждения, когда обнаруживаются несанкционированные попытки изменить данные, что позволяет быстро отреагировать на потенциальные атаки рэнсмэра.

Использование шифрования данных

Шифрование данных может помочь снизить негативные последствия атак вымогательского программного обеспечения. Обратите внимание, что только шифрование не защищает от атак вымогательского программного обеспечения. Вымогательское программное обеспечение все равно может шифровать/уничтожать файлы, к которым получило доступ, независимо от того, зашифрован ли этот файл или нет. Однако шифрование гарантирует, что ваши данные конфиденциальны и не могут быть поняты несанкционированными лицами, включая злоумышленников, использующих вымогательское программное обеспечение.

Даже если вымогательское программное обеспечение проникает в вашу систему, у него может не быть необходимых разрешений или ключей шифрования для доступа к зашифрованным чувствительным данным. Это означает, что оно не сможет разобраться в зашифрованных данных. В результате злоумышленники, использующие вымогательское программное обеспечение, не смогут вымогать жертву, загружая украденные данные в интернет. Это также преимущество с точки зрения соблюдения требований для избегания штрафов.

Шифрование данных в процессе передачи, такое как во время передачи по сети или при хранении в облачных службах, гарантирует, что перехваченные данные бесполезны для киберпреступников. Зашифрованные каналы связи, такие как виртуальные частные сети (VPN) и защищенные каналы SSL (secure socket layer), защищают от попыток вымогательского программного обеспечения перехватывать данные в процессе передачи.

Правильное управление ключами является важным условием эффективности шифрования. Храните ключи шифрования надежно и отдельно от данных, которые они защищают, чтобы предотвратить доступ вымогательского программного обеспечения как к данным, так и к ключам.

Установите разрешения на резервное копирование данныхУстановка разрешений для резервных копий помогает предотвратить компрометацию или уничтожение ваших резервных копий вымогательским программным обеспечением. Правильно настроенные разрешения гарантируют, что только авторизованные пользователи или системы могут получить доступ к данным резервных копий.

Установка разрешений для резервных копий данных помогает предотвратить компрометацию или уничтожение ваших резервных копий с помощью программ-вымогателей. Правильно настроенные разрешения обеспечивают, чтобы только авторизованные пользователи или системы могли получить доступ к резервным данным.

Ограничивая доступ к резервным данным, вы уменьшаете атакующую поверхность для программ-вымогателей. Если программа-вымогатель проникнет в вашу сеть, она может попытаться заразить несколько систем в сети. Если программа-вымогатель заразит систему с ограниченными разрешениями, ей будет труднее распространяться на резервные места и компрометировать эти резервные копии.

Установка разрешений соответствует принципу наименьших привилегий и разделения обязанностей. Она обеспечивает, что ни один пользователь или система не имеет чрезмерного контроля над резервными данными, тем самым снижая риск угроз со стороны сотрудников.

Настройки разрешений позволяют проводить аудит и мониторинг доступа к резервным данным. Если программа-вымогатель попытается компрометировать резервные копии, аудит может генерировать предупреждения и предоставлять записи о попытках неавторизованного доступа для расследования. Неавторизованный доступ или изменения резервных данных могут быть быстро обнаружены с помощью систем мониторинга и оповещения. Это позволяет быстро реагировать на потенциальные атаки программ-вымогателей, минимизируя потерю данных.

Другие рекомендации

Вот некоторые дополнительные рекомендации, которые помогут вам улучшить стратегию резервного копирования против программ-вымогателей:

• Регулярно резервируйте данные. Составьте регулярный график резервного копирования, который соответствует потребностям вашей организации. Частое резервное копирование, такое как ежедневное или почасовое, помогает минимизировать потерю данных в случае атаки, сокращая RPO.
• Автоматизировать резервное копирование. Используйте решения для резервного копирования, которые автоматизируют процесс, чтобы снизить риск ошибок, связанных с человеческим фактором, и избежать пробелов в хранении.
• Использовать резервные копии с версионированием. Выбирайте решения для резервного копирования, которые предлагают версионирование или гибкие настройки хранения, позволяя вам получить доступ и восстановить предыдущие версии файлов. Это полезно при восстановлении на определенный момент времени, если вредоносное ПО остается незамеченным в течение некоторого времени.
• Отслеживать окружение. Реализуйте системы мониторинга для обнаружения любых необычных или подозрительных действий на ваших системах. Настройте оповещения о любых несанкционированных попытках доступа, изменениях конфигурации резервного копирования или просто необычном потреблении ресурсов.
• Обеспечить безопасность серверов резервного копирования. Примените лучшие практики безопасности к самому серверу резервного копирования, включая регулярные обновления безопасности и политики надежных паролей. Минимизируйте доступ к вашему серверу резервного копирования через интернет, чтобы снизить риск удаленных атак. Регулярно обновляйте программное обеспечение и системы резервного копирования для устранения уязвимостей, которые могут быть использованы для распространения вредоносного ПО.
• Выбирать надежного поставщика резервного копирования. Если вы используете облачные сервисы резервного копирования, выберите авторитетного и обеспечивающего безопасность поставщика с репутацией защиты данных.
• Образование рабочих. Обучайте сотрудников или пользователей распознавать попытки фишинга и другие тактики социальной инженерии, которые могут привести к атакам расшифровки данных. В процессе планирования и тестирования восстановления после катастрофы сотрудники становятся более осведомленными о рисках, связанных с расшифровкой данных. Это повышенное осведомление может привести к лучшим практикам в области кибербезопасности и сообщению инцидентов.

Использование возможностей резервного копирования, устойчивого к расшифровке данных, от NAKIVO

NAKIVO Backup & Replication – это быстрое, надежное и доступное решение для защиты данных, которое может эффективно создавать резервные копии данных и защищать от расшифровки данных. Ниже приведены некоторые из функций для защиты данных и возможности восстановления после атак расшифровки данных в NAKIVO Backup & Replication:

• Неизменяемые резервные копии. Резервные копии могут быть сделаны неизменяемыми на локальных хранилищах, NAS, платформах публичного облака (Amazon S3, Azure Blob Storage, Wasabi и BackBlaze B2 и т.д.) и частных облаках. Установите период неизменяемости для резервных копий, и данные резервной копии не могут быть изменены или удалены до истечения этого периода. Эта функция защищает резервные данные от изменения расшифровщиком.
• Резервное копирование на магнитную ленту. Магнитные ленты – это тип среды хранения резервных копий с воздушным зазором. После записи резервной копии на магнитную ленту и выбрасывания ленточного картриджа данные, записанные на этом картридже, не могут быть доступны расшифровщику.
• Гибкие настройки хранения. Вы не можете предсказать точное время атаки вредоносных программ. Наличие резервных копий за разные даты позволяет восстановить данные в необходимом состоянии до того, как они были повреждены вредоносными программами. Поддержка инкрементной архивации и частых точек восстановления помогает восстановить больше данных в актуальном состоянии до того, как произойдет атака вредоносных программ.
• Шифрование данных. Шифрование данных в хранилище резервных копий и при передаче по сети повышает уровень безопасности и предотвращает перехват данных при передаче по сети. Зашифрованное хранилище резервных копий препятствует расшифровке и загрузке данных из этого хранилища злоумышленниками, использующими вредоносные программы, в Интернет для опасного шантажа.
• Копия резервной копии. Следуйте правилу резервного копирования 3-2-1 и копируйте резервные данные на другие носители хранения и удаленно с помощью заданий копирования резервных данных. Цепочка заданий является полезной функцией копирования резервных данных, которая позволяет автоматически начать создание копии резервной копии после завершения задания резервного копирования.
• Сканирование резервных копий на наличие вредоносных программ. Сканирование резервных копий во время процесса восстановления предотвращает пользователей от восстановления зараженных файлов на свои системы, что потенциально может привести к распространению вирусов в производственной среде.
• Восстановление сайта. Восстановление после катастрофы с функцией Восстановление сайта происходит быстро и эффективно. Вы можете тестировать сценарии восстановления после катастрофы с помощью Восстановления сайта. Вы можете присоединять/отсоединять резервные репозитории, потому что отсоединенный репозиторий менее уязвим к вымогательскому вредоносному ПО.