Infinidat Blog

¡El ransomware ha llegado a por sus backups!

En los últimos años, el ransomware se ha convertido en un negocio muy lucrativo, con algunos actores públicos militarizándolo o utilizándolo como nueva fuente de ingresos. Cualquier artículo que lea sobre cómo prepararse ante el ransomware le dirá que hay principalmente dos cosas que hacer:

Prevenir: invierta en la concientización de los empleados, y contrate pruebas de penetración para comprobar su concientización, etc.

Reaccionar: una vez que el ransomware ha roto el perímetro y se ha propagado por la organización, la velocidad con la que el equipo de TI reacciona se traduce en un impacto empresarial minimizado.

Pero los cibercriminales leen esos mismos artículos, y están evolucionando constantemente. Una de sus armas es atacar el backup, cifrándolo para que no pueda utilizarlo contra ellos, con unos archivos para corromper el backup (como WannaCrypt0r) y otros atacando los archivos de backup del Time Machine de los MAC o Volume Shadow Copy Service (VSS) de Windows.

¿Cómo deben preparase las organizaciones para el día del ataque?

En mi mi blog anterior ya hablé sobre el papel de las instantáneas para identificar un ataque de ransomware activo, y cómo pueden ofrecer una recuperación óptima sin tener que mover terabytes de datos desde su objetivo de backup.

Sin embargo, si los atacantes están investigando activamente modos de corromper los backups, es seguro afirmar que también están mirando la posibilidad de eliminar las instantáneas, por lo que debemos prepararnos proactivamente para ese día, ya que nadie quiere ser el primero en descubrir que sus instantáneas han sido eliminadas por la última cepa de ransomware (que probablemente se llame algo como WannaSnap...).

En este punto, muchos clientes preguntarán por qué no retroceder a los backups separados, en vez de arriesgarse con los backups en línea ante tal situación. El tiempo de recuperación es el principal factor aquí. Un negocio que tenga que recuperar grandes volúmenes de datos desde cinta tardará demasiado tiempo en recuperarse, lo que afectará directamente a sus clientes e ingresos.

También es una cuestión de recuperabilidad, ya que los backups en cinta no siempre son recuperables (por decirlo con sutileza) y algunos clientes documentan que tan solo el 94% de sus backups son recuperables el día del backup reduciéndose aún más esta cifra conforme pasa el tiempo.

¿Pueden protegerse los backups en línea del ransomware?

La respuesta rápida es Sí. Han de ponerse en marcha los mecanismos de seguridad adecuados que permitan convertir una instantánea en una instantánea WORM (Write Once Read Many) que no pueda modificarse ni eliminarse hasta que alcance un punto en el tiempo predefinido y venza su bloqueo. Al mismo tiempo, queremos que la instantánea siga siendo totalmente funcional y mantenga todas sus capacidades originales:

Recuperable (en todos los casos, no solo el ransomware)

Gestión de copia de datos: permite crear copias modificables de la instantánea a efectos de prueba y desarrollo.

Accesible a los usuarios: en NAS, las instantáneas WORM deben seguir siendo accesibles a través de la carpeta oculta. snapshot / .ckpt para la recuperación del usuario final.

Otros casos de uso

Las instantáneas WORM también pueden ser de utilidad en otros casos de uso:

Protección ante errores humanos: los humanos son la raíz de la mayoría de fallos tecnológicos. Añadir salvaguardas a una administración descuidada siempre es una práctica recomendable. Las instantáneas pueden bloquearse para evitar un borrado accidental antes del final de su política de retención.

 

Retención legal: en algunas situaciones legales, los datos necesitan seguir estando accesibles durante mucho tiempo para proteger pruebas relevantes, permitir una detección adecuada etc. Bloquear una copia de los datos es un modo excelente de mantener el acceso en el tiempo y, si es necesario, el bloqueo puede extenderse.

 

El WORM es largo

 

Todo el que haya trabajado con soluciones WORM conoce alguna historia de un administrador de almacenamiento que bloqueó accidentalmente un amplio conjunto de datos durante demasiado tiempo (yo mismo he visto bloqueos de conjuntos de datos de 70 años, gracias a Dios, no hechos por mí...) Esto se traduce en enormes gastos para la empresa, que por lo general premiará al empleado con una bonita caja de cartón donde poner sus pertenencias. Como protección, las soluciones WORM deben proporcionar salvaguardas frente a tiempos de retención no razonables. Deben ser configurables para que se adapten a los casos de uso, ya que los clientes financieros suelen mantener sus datos durante 7 años, mientras que los hospitales pueden querer retenerlos hasta 80.

 

Presentamos SnapSecure

SnapSecure forma parte del último anuncio de INFINIDAT y, como siempre, está disponible para todos nuestros clientes con contrato de soporte como una actualización gratuita (en un futuro escribiré sobre la filosofía de no tener licencias). SnapSecure permite a los administradores de almacenamiento establecer un tiempo de retención en la instantánea sobre la eliminación/modificación de los datos, pero seguir manteniendo todas las funcionalidades de una instantánea que se mencionaron antes.

 

Puesto que todo el acceso a InfiniBox se realiza mediante API, y la API evita cualquier modificación, incluso en el caso de que el ransomware fuera capaz de comprometer las credenciales de administrador, no podría corromper ni eliminar ninguno de los backups. Esto significa que puede confiar en ellos para recuperar sus datos en menos de un segundo y retomar rápidamente las operaciones de negocio.

 

En una situación de «retención legal», al mirar a una retención de WORM vencida, el administrador debe ser capaz de determinar si los datos se retienen todavía «como originales» (no se han modificado en modo alguno) o si los usuarios han tenido acceso a ellos y han podido hacer cambios. Esto es muy sencillo con SnapSecure, una instantánea entrará en una de estas tres categorías (vea la siguiente captura):

 

Bloqueada: la instantánea no puede modificarse ni eliminarse - candado cerrado.

Vencida: el bloqueo de la instantánea ha vencido pero los datos no se modificaron nunca - candado abierto.

 

Los datos nunca se bloquearon, o estuvieron bloqueados pero han cambiado desde entonces - sin símbolo.

 

Captura 1: Instantáneas en distintos estados de WORM

 

Esto permite a los administradores que quieren extender la retención legal en una instantánea la posibilidad de asegurarse de que los datos no se manipularon en ningún momento, durante el tiempo en que estuvo desbloqueada.

About Eran Brown

Eran Brown is the EMEA CTO at INFINIDAT.
Over the last 14 years, Eran has architected data center solutions for all layers — application, virtualization, networking and most of all, storage. His prior roles include Senior Product Management, systems engineering and consulting roles, working with companies in multiple verticals (financials, oil & gas, telecom, software, and web) and helping them plan, design and deploy scalable infrastructure to support their business applications.