Walka z ransomware za pomocą kopii zapasowej na taśmie - komentarze ekspertów i użytkowników

Michele Hope

Czy w dobie nowych opcji tworzenia kopii zapasowych taśma nadal może być ostatnią linią obrony przed oprogramowaniem ransomware? Poniżej podsumowanie głównych wniosków podczas debaty na temat taśm z udziałem ekspertów i użytkowników.

Można znaleźć dużo porad, zwłaszcza w Internecie, dla organizacji, które zastanawiają się, co zrobią, gdy cyberprzestępca zatrzaśnie ich cyfrowe drzwi oprogramowaniem ransomware. Wiele tych porad pochodzi od dostawców oprogramowania do tworzenia kopii zapasowych lub dostawców kopii zapasowych w chmurze, którzy podkreślają znaczenie kopii w zabezpieczeniu się przed atakami.

Czy przy dostępnych opcjach cyfrowych organizacje powinny uzupełniać swój arsenał broni przeciwko ransomware tworząc kopie zapasowe na taśmach? Chociaż może to niektórych zaskoczyć, eksperci i użytkownicy są nadal przekonani do odzyskiwania danych po ataku ransomware z kopii zapasowej na taśmie.

Lepiej zapobiegać niż leczyć

Oprogramowanie ransomware, zwykle uruchamiane przez niczego nie podejrzewającego użytkownika, który kliknie niewłaściwy link w mailu typu spear phishing, szyfruje pliki na zainfekowanej maszynie, a także infekuje inne systemy w sieci. W rezultacie zaszyfrowane mogą zostać serwery sieciowej pamięci masowej (NAS), serwery web, sieciowe udziały plików, połączone pliki kopii zapasowych, a nawet usługi synchronizacji/udostępniania plików i inne współdzielone dyski w chmurze. Ransomware atakuje nawet smartfony.

Według Dana Jana, dyrektora ds. zarządzania produktami w firmie Iron Mountain, najlepszym sposobem walki z ransomware jest przede wszystkim zapobieganie atakom. Po ataku organizacje często mają trudności z przywróceniem porządku.

Ransomware: Następstwa

Gdy dział IT organizacji dowie się o ataku ransomware na jeden lub więcej systemów, dobra praktyka bezpieczeństwa sugeruje odłączenie wszelkich zainfekowanych systemów od sieci.

Wyzwanie: Co zrobić z zaszyfrowanymi systemami? Organizacje mogą oczywiście zapłacić okup cyber złodziejom, którzy obiecują ich odszyfrowanie. Mogą też zacząć czyścić i przywracać zainfekowane systemy.

Niestety każdy z tych scenariuszy ma swoje słabe punkty. Płacenie okupu na ogół nie jest zalecane przez władze. Dodatkowo zdarza się, że firma zapłaci okup, a nie uzyska dostępu do zaszyfrowanych plików. Opcja przywracania zakłada, że organizacja posiada kopię zapasową wcześniejszego stanu, znanego jako dobry.

Ponieważ wiele systemów tworzenia kopii zapasowych jest teraz połączonych z resztą sieci i potencjalnie znajduje się na linii ognia ransomware, również one mogą zostać zaszyfrowane i stać się bezużyteczne. W rzeczywistości, według ankiety przeprowadzonej przez Barkly wśród osób, które doświadczyły ataku ransomware, tylko 42% było w stanie pomyślnie odzyskać dane z kopii zapasowej. Jeden z powodów? Dyski kopii zapasowych również zostały zaszyfrowane.

Ostatni bastion kopii zapasowych: odłączony od sieci i wyłączony

Ataki ransomware nie znikną. Nie zawsze też można im zapobiec, a sieciowe kopie zapasowe mogą również paść ofiarą oprogramowania ransomware. Więc co ma zrobić organizacja? Odpowiedzią jest powrót do podstaw tworzenia kopii zapasowych. Zwalczanie ransomware za pomocą tworzenia kopii zapasowych na taśmach zaczyna mieć sens.

Według Jana nadal obowiązuje zasada pochodząca z wczesnej historii tworzenia kopii zapasowych czyli 3-2-1: „Powinieneś mieć łącznie trzy kopie, dwie lokalne na dwóch różnych nośnikach (zwykle na dysku i na taśmie). Do tego dodajesz jedną kopię trzymaną poza siedzibą, odłączoną od sieci. „W czasach stałego połączenia z siecią musisz mieć kopię swoich danych poza nią”. Co do zasady nie każdy się z tym zgadza, ale organizacje nadal muszą podjąć konkretne decyzje, żeby coś z tym zrobić.

Kopia niepodłączona

Jana określa tę odłączoną kopię jako „offline”, co oznacza, że kopia jest całkowicie odizolowana od jakiejkolwiek sieci. W notatce Tape Storage Council wyjaśniono: „Dzięki taśmie powstaje przerwa między cartridge a systemami komputerowymi. Dyski pozostają w trybie online i są szczególnie podatne na atak”. W notatce czytamy dalej: „Technologia taśm uniemożliwia elektroniczny dostęp do danych przez cyberataki, ponieważ taśma wyjęta z systemu nie jest już dostępna elektronicznie”.

Opinie użytkowników

Wydaje się, że administratorzy jednego z forów poświęconych oprogramowaniu do tworzenia kopii zapasowych szczególnie stawiają na taśmy w kontekście oprogramowania ransomware. „Zawsze zalecam używanie taśmy, gdy tylko jest to możliwe, jako ostatniej linii obrony” – powiedział jeden z uczestników forum. „Wiele razy widziałem, jak kopie zapasowe na taśmie ratowały firmy przed najgorszymi katastrofami… widziałem też, jak zawiodła każda linia kompleksowej strategii ochrony opartej na dyskach, pozostawiając użytkowników z nieodwracalną utratą danych”.

Do dyskusji włączył się inny ekspert ze swoją opinią na temat tego, co uważa za najlepszą ochronę przed ransomware: „Kopie zewnętrzne na taśmach, przechowywane w innym miejscu. Tylko takie scenariusze gwarantują, że oprogramowanie ransomware nie będzie w stanie uzyskać dostępu do kopii zapasowych”.

Najważniejsze jest planowanie z wyprzedzeniem

Jana utrzymuje, że odłączoną kopią może być zewnętrzna taśma w vault, nośnik optyczny, a nawet zapis w chmurze, która jest fizycznie oddzielona od głównego centrum danych. Niezależnie od wybranego przez organizację nośnika poza siedzibą firmy, podkreślił on znaczenie „ćwiczeń przeciwpożarowych” i wstępnego, wcześniejszego zaplanowania kroków odzyskiwania danych po ataku ransomware z wyznaczonym partnerem. „Pomyśl o przeprowadzeniu audytu. Jeśli musisz przywrócić dane, to ile czasu Ci to zajmie?”, pyta. „W ten sposób dowiesz się, czy masz odpowiedniego partnera, który jest w stanie udzielić Ci potrzebnej pomocy we właściwym czasie”.