Jak zapobiegać utracie danych: Veeam Endpoint Backup a CryptoLockery Promocja

Artykuł sponsorowany
W ostatnim czasie wiele się mówi o CryptoLockerach. Czytelnikom, którzy jeszcze o nich nie słyszeli, wyjaśniam, że CryptoLocker to koń trojański (popularnie zwany trojanem) typu ransomware, który atakuje wyłącznie komputery z systemem operacyjnym Windows. Obecnie istnieje więcej odmian tego zagrożenia i choć nie są one spokrewnione z pierwotnym CryptoLockerem, zasadniczo działają tak samo. Odmiany te wciąż określa się nazwą CryptoLocker, chociaż ściśle rzecz biorąc należą one do kategorii ransomware.

Tego rodzaju trojany szyfrują wybrane pliki (najczęściej określonego typu) na komputerze użytkownika. Aby uzyskać klucz deszyfrujący, trzeba zapłacić okup (w postaci bitcoinów). Nawet po udanym usunięciu tego trojana pliki pozostają zaszyfrowane. Użytkownik, który nie ma strategii tworzenia kopii zapasowych uwzględniającej CryptoLockery, naraża się na ryzyko utraty wszystkich plików. Co gorsza, w niektórych doniesieniach można przeczytać o osobach, które nie otrzymały klucza deszyfrującego mimo zapłacenia okupu. Istnieją nawet odmiany tego trojana, które szyfrują również pliki kopii zapasowych, pozostawiając użytkownika bez jakichkolwiek środków ratunku.

Dropbox, OneDrive, Dysk Google i nie tylko

Czasem można przeczytać, że odpowiedzią na to zagrożenie może być korzystanie z usług przechowywania danych w chmurze, takich jak Dropbox, OneDrive, Dysk Google itp. Sęk w tym, że większość takich plików jest synchronizowana (w obu kierunkach) w chwili wprowadzenia zmian. Jeśli pliki zostaną zaszyfrowane, funkcja synchronizacji spowoduje ich przesłanie do chmury, a użytkownik utraci do nich dostęp. Ponadto obecnie hakerzy mogą skutecznie atakować chmurowe platformy przechowywania danych, takie jak Dropbox, OneDrive, Dysk Google i wiele innych. Podczas takiego ataku szyfrowane są pliki przechowywane na tych platformach, które następnie nieświadomi użytkownicy pobierają na swoje komputery. Chociaż firmy specjalizujące się w zabezpieczeniach przewidywały takie ataki zaledwie kilka miesięcy temu, obecnie ich skala jest coraz większa. Stąd ostrzeżenie na przyszłość: w warunkach rosnącej popularności Internetu przedmiotów (IoT), systemów Big Data i coraz powszechniejszej łączności sieciowej tego rodzaju ataki ZNACZNIE się nasilą.

Jak chronić pliki kopii zapasowych przed CryptoLockerami

Na pewno nikt nie chciałby pewnego dnia stwierdzić, że nie tylko jego wszystkie ważne pliki, ale również ich kopie zapasowe są zaszyfrowane. W firmowych środowiskach IT ten problem raczej nie występuje, ponieważ CryptoLockery są zazwyczaj uruchamiane przez użytkowników. Jeśli więc użytkownik nie ma prawa do zapisu w lokalizacji kopii zapasowych (np. udziale NAS lub repozytorium Veeam Backup & Replication), trojan działający w kontekście zabezpieczeń użytkownika nie będzie mógł zaszyfrować określonych kopii zapasowych. Co prawda foldery robocze użytkowników mogą zostać zaszyfrowane, ale w ciągu kilku minut będzie można je przywrócić z ostatniej kopii zapasowej. Oczywiście w ramach najlepszych praktyk warto zadbać o to, aby administratorzy nie korzystali na co dzień z konta o wysokich uprawnieniach.

Problem jest poważniejszy, jeśli spojrzymy na mniejsze działy IT i użytkowników indywidualnych. W obu tych przypadkach użytkownik ma pełne uprawnienia do wszystkich zasobów, a więc trojan może uzyskać dostęp do plików w systemie NAS, na urządzeniach USB, w udziałach plików, na serwerze domowym i w innych lokalizacjach.

W tym miejscu mógłbym zacząć przekonywać, że nawet użytkownik indywidualny powinien korzystać z konta o mniejszych uprawnieniach, aby utrudnić zadanie CryptoLockerom, ale jest to mało prawdopodobne.

A zatem jaką strategię kopii zapasowych warto zastosować, aby uniemożliwić trojanom typu CryptoLocker szyfrowanie plików kopii zapasowych tworzonych przy użyciu rozwiązania Veeam Endpoint Backup FREE?

1. Dostęp do udziału z kopiami zapasowymi przy użyciu osobnego konta
Jeśli jako miejsca zapisu kopii zapasowych używamy udziału sieciowego, powinniśmy łączyć się z nim nie przy użyciu nazwy użytkownika i hasła, ale konta komputera.
Kolejnym sposobem na unikanie CryptoLockerów jest skonfigurowanie odrębnego konta na kopie zapasowe każdego urządzenia końcowego. Najlepiej osobne konto utworzyć dla każdego komputera, który ma być objęty operacjami backupu, oraz umożliwić temu komputerowi dostęp wyłącznie do własnej lokalizacji kopii zapasowych.

2. Rotacja miejsc zapisu kopii zapasowych
Zamiast zapisywać kopie zapasowe na jednym urządzeniu wymiennym (na przykład dysku twardym USB), lepiej kupić dodatkowe urządzenie i używać go w ramach schematu rotacji. Dzięki temu, jeśli nasze pliki kopii zapasowych zostaną zaszyfrowane, gdy jedno urządzenie będzie podłączone do urządzenia końcowego, wciąż będziemy mieć zestaw starszych kopii zapasowych na drugim urządzeniu. W każdej strategii backupu niezbędne jest fizyczne odseparowanie plików kopii zapasowych od źródła danych, a także posiadanie co najmniej jednego egzemplarza kopii zapasowych tylko do odczytu. Rotacja dysków to najłatwiejszy sposób spełnia tych wymagań, a rozwiązanie Veeam Endpoint Backup FREE umożliwia bardzo łatwe korzystanie z dysków w schemacie rotacji.

3. Zabezpieczanie kopii zapasowych — odłączanie urządzenia wymiennego
Aby CryptoLocker nie mógł wniknąć do urządzenia, na którym przechowywane są kopie zapasowe, urządzenie to nie powinno być stale podłączone do komputera. Jeśli korzystamy z rozwiązania Veeam Endpoint Backup FREE, urządzenie nie musi być cały czas podłączone, ponieważ możemy łatwo utworzyć harmonogram backupu oparty na zdarzeniu, jakim jest podłączenie pamięci masowej. Wystarczy wybrać opcję When backup target is connected, a po podłączeniu urządzania docelowego automatycznie rozpocznie się tworzenie kopii zapasowej. To naprawdę proste. Opcja ta jest bardzo wygodna w przypadku tworzenia kopii zapasowych tabletów i netbooków — przecież nikt nie chciałby ich nosić z podpiętym napędem USB!

Reguła 3-2-1
Kopie zapasowe zawsze warto tworzyć zgodnie z regułą 3-2-1. Szczególnie ważna jest tutaj cyfra 1, czyli przechowywanie jednego egzemplarza kopii zapasowej w innym miejscu. Chociaż w przypadku użytkowników indywidualnych ta zasada może być trudna do spełnienia, gorąco ją polecam. Dane są po prostu znacznie bezpieczniejsze, jeśli jedna ich kopia przeznaczona tylko do odczytu jest przechowywana w miejscu innym niż dane źródłowe, np. na nośniku wymiennym.

Zakończenie

W ostatnim czasie nasilają się ataki metodą ransomware. W wielu przypadkach usuwanie ich skutków nie jest łatwe, a często okazuje się po prostu niemożliwe. W ubiegłym roku mój kolega brał udział w sympozjum dla dyrektorów IT. Opowiadał, że pracownik działu FBI ds. cyberprzestępczości wymienił trzy możliwe reakcje na atak ransomware:
1. Zadzwonić do FBI z prośbą o pomoc.
2. Przywrócić dane z DOBREJ, CZYSTEJ, ZWERYFIKOWANEJ KOPII ZAPASOWEJ.
3. Zapłacić okup!

Kolega dodał, że liczba i wielkość przedsiębiorstw, których przedstawiciele uznali opcję okupu za właściwą, była naprawdę zdumiewająca.
Tak więc, chociaż posiadanie dobrego rozwiązania do backupu zapewnia istotną warstwę ochrony, trzeba również podjąć przedstawione w tym wpisie niezbędne środki ostrożności, aby CryptoLocker nie zaszyfrował plików kopii zapasowych. Przypominam też o konieczności testowania kopii!

Mike Resseler, Strategia Produktowa w Veeam Software