Защита бэкапов от Ransomware

Защита бэкапов компании от Ransomware 

Защита резервных копий компании от программ-вымогателей

  Резервные копии (бэкапы) — это важная часть любого плана восстановления после атаки программ-вымогателей. В идеале, если компания стала жертвой атаки, она может использовать свои резервные копии для восстановления системы, не платя денег вымогателям.

Известная проблема: резервные копии не защищены от Ransomware. Все более совершенные Ransomware имеют инструменты для поиска и шифрования резервных копий, хранящихся локально или в облаке. Если резервные копии окажутся зашифрованы, то другого способа вернуть файлы, кроме как заплатить выкуп, у жертвы может не быть. 

Здесь мы покажем, как программы-вымогатели могут повлиять на резервное копирование компании и что можно сделать, чтобы сохранить свои резервные копии в безопасности. Всего три способа, чтобы не утомлять читателя. 

Как вымогатели шифруют резервные копии?

  Есть много способов, которыми Ransomware могут инфицировать систему, включая email-вложения, вредоносные ссылки, скрытые загрузки, RDP-атаки, MSP-инструменты и другое стороннее ПО. После заражения конечной точки Ransomware может распространиться на любые резервные копии, хранящиеся на устройствах, которые доступны для записи через стандартные протоколы, такие как NAS-устройства, локально установленные облачные службы и USB-устройства. 

Ransomware могут использовать несколько способов:

Распространение по локальной сети

Многие владельцы малого бизнеса понимают ценность резервного копирования, но не имеют ресурсов или опыта для создания и поддержания полноценной стратегии непрерывности бизнеса. Вместо этого они могут использовать специальный подход, который может включать ручное копирование важных файлов на внешний жесткий диск или автоматическое резервное копирование на подключенный к сети файловый сервер.

Локальные резервные копии важны, но малоэффективны, если использовать их в одиночку. Многие варианты Ransomware могут распространяться на другие компьютеры в сети и на подключенные сетевые диски. В случае заражения системы Ransomware скорее всего распространится по сети и зашифрует диск, на котором хранятся резервные копии компании. 

Синхронизация с облачным хранилищем

Облачное хранилище — это удобный способ хранения файлов, но неэффективный способ сохранения резервных копий, особенно когда речь идет о Ransomware. Многие облачные сервисы хранения, такие как Dropbox, OneDrive, Google Drive, "Яндекс.Диск", "Облако Mail.ru" автоматически синхронизируют локальные файлы с файлами, хранящимися в облаке. Если ваш бизнес будет поражен программой-вымогателем и файлы в вашей сети зашифрованы, файлы в облаке тоже будут зашифрованы. 

Некоторые поставщики услуг облачного хранилища предлагают управление версиями файлов, т.е. хранят нескольких версий файлов. Если файлы вашей компании зашифрованы, вы можете просто откатить файлы до предыдущей незашифрованной версии. Однако эта функция поддерживается не всеми поставщиками облачных хранилищ, может быть отключена по умолчанию или входит в расширенный платный пакет услуг. 

Удаление точек восстановления системы

Восстановление системы встроено в Windows инструмент восстановления, позволяет администратору отменить последние изменения в ОС и может быть полезно для отката драйверов и системных файлов к предыдущим версиям. К сожалению, восстановление системы не сохраняет копии личных файлов, включая документы, фото и видео, значит, что его нельзя использовать для отмены шифрования файлов. 

Для личных файлов есть "История файлов", но и эта функция не защитит от Ransomware. "Восстановление системы" и "История файлов" могут помочь восстановить личные файлы только после сбоев в работе системы, но в большинстве случаев после шифрования они бесполезны, т.к. многие Ransomware удаляют теневые копий томов, манипулируют размером хранилища и отключают функции восстановления. 

Защитите свои резервные копии от Ransomware!

  Многослойный подход — лучший способ защитить резервные копии от программ-вымогателей.

 Локальные резервные копии выполняются быстро, эффективно и доступны в любое время. Однако, как сказано выше, локальные резервные копии уязвимы для Ransomware, которые могут распространяться по сети. Хотя решения для хранения данных за пределами компьютеров и локальной сети работают медленнее и менее удобны, они лучше изолированы от сети компании и поэтому считаются более надежными. При этом использование сочетания локальных и удаленных резервных копий обеспечивает лучшую защиту, чем каждая функция по отдельности. 

Исходя из этого, самый простой способ создания резервных копий, защищенных от программ-вымогателей, — это соблюдать правило 3-2-1:

1) Хранить не менее трёх копий всех ваших файлов.

2) Хранить копии хотя бы на двух разных типах носителей.

3) Хранить хотя бы одну копию вне главного офиса.

Не забывайте всегда использовать уникальные логины и пароли для всех систем резервного копирования (и всего остального в этом отношении!).

Кроме вышесказанного, компаниям не нужно полностью полагаться на автоматизацию резервного копирования, а также не нужно сваливать всю рутину резервного копирования на системного администратора (особенно, приходящего время от времени). 

Необходимо назначить доверенного исполнителя (бэкапера), который будет контролировать процесс автоматизации и управлять им при необходимости. Тем более, что правило 3-2-1 к тому обязывает. 

Ограничение доступа к резервным копиям поможет уменьшить поверхность атаки для программ-вымогателей и сведёт к минимуму вероятность того, что конфиденциальная информация компании попадёт в чужие руки.

Вывод 

Использование комбинации локальных и внешних резервных копий поможет снизить риск того, что программы-вымогатели повлияют на резервные копии вашей компании, и укрепит позиции вашего бизнеса, чтобы свести к минимуму время простоя в случае заражения. 

Thanks to Jareth for the article.

----

В благодарность за статью вы можете сделать перевод по никнейму IDRANSOMWARE на любую сумму. Ссылка: https://qiwi.com/n/IDRANSOMWARE 

-----

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.

© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна. 

© Amigo-A (Andrew Ivanov): All blog articles.