Infinidat Blog

Программы-вымогатели появились, чтобы достать вас… ваши резервные копии!

Эран Браун, Технический директор в регионе EMEA

В последние годы программы-вымогатели превратились в весьма доходный бизнес, при этом некоторые госструктуры используют их в военных целях или в качестве новых источников дохода. В любой статье по теме будет две главных рекомендации: 

Готовьтесь заранее: вкладывайтесь в обучение сотрудников, проводите тесты на проникновение, чтобы проверить, как они усвоили урок, и т.д.

Реагируйте быстро: если программа-вымогатель пробила брешь в вашей защите и начала распространяться по организации, то чем быстрее среагирует ваша ИТ-команда, тем меньше будут потери для бизнеса.

К сожалению, киберпреступники читают те же статьи и всё время развиваются. В частности, программы-вымогатели шифруют резервные копии, чтобы вы не могли ими воспользоваться, повреждают файлы резервных копий (как WannaCrypt0r) или атакуют файлы резервных копий служб MAC Time Machine или Windows Volume Shadow Copy Service (VSS).

 

Как организациям защититься от атаки?

В предыдущем посте я уже рассказывал о том, как моментальные снимки помогают обнаружить программу-вымогателя и обеспечить оптимальное восстановление без переноса терабайтов данных из хранилища резервных копий.

Однако, коль скоро хакеры активно ищут способы испортить резервные копии и, вероятно, также уничтожить моментальные снимки, нужно принять меры предосторожности – никто же не хочет, чтобы в один прекрасный день его моментальные снимки уничтожил новейший вирус-вымогатель (какой-нибудь WannaSnap…).

 

Здесь многие заказчики спросят: почему бы не вернуться на автономные резервные копии? Зачем вообще рисковать, храня резервные копии онлайн? Тут самое время вспомнить о скорости восстановления. На восстановление больших объемов данных с ленты уйдет много времени, что непосредственно повлияет на заказчиков и выручку.

Да и сама возможность восстановления оказывается под вопросом, так как восстановиться с ленточных копий удается далеко не всегда. По сообщениям ряда заказчиков, только с 94% их резервных копий удается восстановиться в день резервного копирования, причем со временем этот показатель неуклонно падает.

 

Можно ли защитить резервные копии, хранящиеся онлайн, от программ-вымогателей?

Если коротко, то да! Нужно использовать механизмы защиты, которые конвертируют моментальный снимок в снимок типа "однократная запись, многократное чтение" (Write Once Read Many, WORM), который нельзя изменить или удалить до тех пор, пока не истечет срок его блокировки. При этом нужно, чтобы моментальный снимок сохранял весь свой функционал и все свои изначальные возможности:

 

· Возможность восстановления (во всех случаях, а не только после атаки программ-вымогателей)

· Управление копиями данных: создание из моментальных снимков копии с возможностью записи для сред тестирования и разработки

· Доступность для пользователей: в сетевых хранилищах WORM-снимки должны быть по-прежнему доступны через скрытую папку .snapshot / .ckpt для восстановления данных конечных пользователей

 

Другие варианты использования

WORM-снимки могут также использоваться и в следующих случаях:

 

· Защита от человеческого фактора: в большинстве отказов ИТ-систем виноваты люди. Никогда не лишне подстраховать себя от ошибок уставшего админа. Моментальные снимки можно блокировать, чтобы предотвратить случайное уничтожение до истечения срока хранения.

· Хранение данных для судебных нужд: иногда в силу закона данные должны храниться или быть доступны в течение долгого времени, так как их могут истребовать в качестве доказательства или для проведения расследования и т.д. Блокировка копии данных - отличный способ долго сохранять доступ к данным, причем, если нужно, блокировку можно продлить.

 

WORM - это надолго

 

Каждому, кто когда-либо работал с WORM-решениями, знакома байка о некоем админе, случайно закрывшем доступ к большому набору данных – надолго (я лично видел набор данных, заблокированных на 70 лет - к счастью, не мной...). В результате компания несет огромные убытки, а горе-сотрудник оказывается на улице. Поэтому WORM-решения должны блокировать попытки установить неразумно долгий срок хранения, причем с учетом специфики организации: финансовые компании часто хранят данные 7 лет, а больницы могут хранить и все 80 лет.

 

Знакомство со SnapSecure

облегчает жизнь благодаря делению снимков на три категории (см. снимок экрана ниже):

 

· Заблокированные: моментальный снимок нельзя изменить/удалить (значок закрытого замка)

· С истекшим сроком хранения: срок блокировки моментального снимка истек, но данные никогда не изменялись (значок открытого замка)

· Данные никогда не блокировались, или блокировались, но были с тех пор изменены (никакого значка)

 

 

Снимок экрана 1: Разные статусы WORM-снимков

 

В результате администраторы, которые хотят продлить срок хранения моментального снимка для судебных нужд, могут быть уверены в том, что за время разблокировки данные никто не менял.

About Infinidat