CyberbezpieczeństwoAdvertorialPolecane tematy
Jak zapobiegać utracie danych: Veeam Endpoint Backup a CryptoLockery
Advertorial
Advertorial
W ostatnim czasie wiele się mówi o CryptoLockerach. Dziś istnieje wiele odmian tego zagrożenia. Choć nie są one spokrewnione z pierwotnym CryptoLockerem, to zasadniczo działają tak samo. Kolejne odmiany wciąż określa się nazwą CryptoLocker, chociaż ściśle rzecz biorąc, należą one już do kategorii ransomware.
W każdej strategii backupu niezbędne jest fizyczne odseparowanie plików kopii zapasowych od źródła danych, a także posiadanie co najmniej jednego egzemplarza kopii zapasowych tylko do odczytu. Rotacja dysków to najłatwiejszy sposób spełnienia tych wymagań, a rozwiązanie Veeam Endpoint Backup FREE umożliwia bardzo łatwe korzystanie z dysków w schemacie rotacji.
Tego rodzaju trojany szyfrują wybrane pliki – najczęściej określonego typu – na komputerze użytkownika. Aby uzyskać klucz deszyfrujący, trzeba zapłacić okup, najczęściej w postaci bitcoinów. Nawet po udanym usunięciu tego trojana pliki pozostają zaszyfrowane. Użytkownik, który nie ma strategii tworzenia kopii zapasowych uwzględniającej CryptoLockery, naraża się na ryzyko utraty wszystkich plików. Co gorsza, w niektórych doniesieniach można przeczytać o osobach, które nie otrzymały klucza deszyfrującego mimo zapłacenia okupu. Dodatkowo istnieją też odmiany tego trojana, które szyfrują również pliki kopii zapasowych, pozostawiając użytkownika bez jakichkolwiek środków ratunku.
Dropbox, Onedrive, Googledrive nie wystarczą
Czasem można przeczytać, że odpowiedzią na to zagrożenie może być korzystanie z usług przechowywania danych w chmurze, takich jak Dropbox, OneDrive czy GoogleDrive. Sęk w tym, że większość takich plików jest synchronizowana (w obu kierunkach) w chwili wprowadzenia zmian. Jeśli pliki zostaną zaszyfrowane, funkcja synchronizacji spowoduje ich przesłanie do chmury, a użytkownik utraci do nich dostęp.
Obecnie hakerzy mogą też skutecznie atakować chmurowe platformy przechowywania danych, takie jak wymienione Dropbox, OneDrive i GoogleDrive. Podczas takiego ataku szyfrowane są pliki przechowywane na tych platformach, które następnie nieświadomi użytkownicy pobierają na swoje komputery. Chociaż firmy specjalizujące się w zabezpieczeniach przewidywały takie ataki zaledwie kilka miesięcy temu, obecnie ich skala jest coraz większa. Stąd ostrzeżenie na przyszłość: w warunkach rosnącej popularności internetu przedmiotów (IoT), systemów Big Data i coraz powszechniejszej łączności sieciowej tego rodzaju ataki znacznie się nasilą.
Jak chronić pliki kopii zapasowych przez cryptolockerami?
Na pewno nikt nie chciałby pewnego dnia stwierdzić, że nie tylko jego wszystkie ważne pliki, ale również ich kopie zapasowe są zaszyfrowane. W firmowych środowiskach IT ten problem raczej nie występuje, ponieważ CryptoLockery są zazwyczaj uruchamiane przez użytkowników. Jeśli więc użytkownik nie ma prawa do zapisu w lokalizacji kopii zapasowych (np. udziale NAS lub repozytorium Veeam Backup & Replication), trojan działający w kontekście zabezpieczeń użytkownika nie będzie mógł zaszyfrować określonych kopii zapasowych. Co prawda foldery robocze użytkowników mogą zostać zaszyfrowane, ale w ciągu kilku minut będzie można je przywrócić z ostatniej kopii zapasowej. Oczywiście w ramach najlepszych praktyk warto zadbać o to, aby administratorzy nie korzystali na co dzień z konta o wysokich uprawnieniach.
Problem jest poważniejszy, jeśli spojrzymy na mniejsze działy IT i użytkowników indywidualnych. W obu tych przypadkach użytkownik ma pełne uprawnienia do wszystkich zasobów, a więc trojan może uzyskać dostęp do plików w systemie NAS, na urządzeniach USB, w udziałach plików, na serwerze domowym i w innych lokalizacjach. W tym miejscu mógłbym zacząć przekonywać, że nawet użytkownik indywidualny powinien korzystać z konta o mniejszych uprawnieniach, aby utrudnić zadanie CryptoLockerom, ale jest to mało prawdopodobne.
A zatem jaką strategię kopii zapasowych warto zastosować, aby uniemożliwić trojanom typu CryptoLocker szyfrowanie plików kopii zapasowych? Jednym z nich jest użycie rozwiązania Veeam Endpoint Backup FREE. Pozwala ono na:
1. Dostęp do udziału z kopiami zapasowymi przy użyciu osobnego konta
Jeśli jako miejsca zapisu kopii zapasowych używamy udziału sieciowego, powinniśmy łączyć się z nim nie przy użyciu nazwy użytkownika i hasła, ale konta komputera. Kolejnym sposobem na unikanie CryptoLockerów jest skonfigurowanie odrębnego konta na kopie zapasowe każdego urządzenia końcowego. Najlepiej osobne konto utworzyć dla każdego komputera, który ma być objęty operacjami backupu, oraz umożliwić temu komputerowi dostęp wyłącznie do własnej lokalizacji kopii zapasowych.
2. Rotację miejsc zapisu kopii zapasowych
Zamiast zapisywać kopie zapasowe na jednym urządzeniu wymiennym (np. dysku twardym USB), lepiej kupić dodatkowe urządzenie i używać go w ramach schematu rotacji. Dzięki temu, jeśli nasze pliki kopii zapasowych zostaną zaszyfrowane – gdy jedno urządzenie będzie podłączone do urządzenia końcowego – wciąż będziemy mieć zestaw starszych kopii zapasowych na drugim urządzeniu. W każdej strategii backupu niezbędne jest fizyczne odseparowanie plików kopii zapasowych od źródła danych, a także posiadanie co najmniej jednego egzemplarza kopii zapasowych tylko do odczytu. Rotacja dysków to najłatwiejszy sposób spełniania tych wymagań, a rozwiązanie Veeam Endpoint Backup FREE umożliwia bardzo łatwe korzystanie z dysków w schemacie rotacji.
3. Zabezpieczanie kopii zapasowych – odłączanie urządzenia wymiennego
Aby CryptoLocker nie mógł wniknąć do urządzenia, na którym przechowywane są kopie zapasowe, urządzenie to nie powinno być stale podłączone do komputera. Jeśli korzystamy z rozwiązania Veeam Endpoint Backup FREE, możemy łatwo utworzyć harmonogram backupu oparty na zdarzeniu, jakim jest podłączenie pamięci masowej. Wystarczy wybrać opcję When backup target is connected, a po podłączeniu urządzenia docelowego automatycznie rozpocznie się tworzenie kopii zapasowej. To naprawdę proste. Opcja ta jest bardzo wygodna w przypadku tworzenia kopii zapasowych tabletów i netbooków. Przecież nikt nie chciałby ich nosić z podpiętym napędem USB!
Reguła 3-2-1
Kopie zapasowe zawsze warto tworzyć zgodnie z regułą 3-2-1. Szczególnie ważna jest tutaj cyfra 1, czyli przechowywanie jednego egzemplarza kopii zapasowej w innym miejscu. Chociaż w przypadku użytkowników indywidualnych ta zasada może być trudna do spełnienia, gorąco ją polecam. Dane są po prostu znacznie bezpieczniejsze, jeśli jedna ich kopia przeznaczona tylko do odczytu jest przechowywana w miejscu innym niż dane źródłowe, np. na nośniku wymiennym.
Nasilają się ataki metodą ransomware
W wielu przypadkach usuwanie skutków działania CryptoLockera nie jest łatwe, a często okazuje się po prostu niemożliwe. W ubiegłym roku mój kolega brał udział w sympozjum dla dyrektorów IT. Opowiadał, że pracownik działu FBI ds. cyberprzestępczości wymienił trzy możliwe reakcje na atak ransomware:
1. Zadzwonić do odpowiednich służb z prośbą o pomoc.
2. Przywrócić dane z dobrej, czystej i zweryfikowanej kopii zapasowej.
3. Zapłacić okup!
Kolega dodał, że liczba i wielkość przedsiębiorstw, których przedstawiciele uznali opcję okupu za właściwą, była naprawdę zdumiewająca. Tak więc, chociaż posiadanie dobrego rozwiązania do backupu zapewnia istotną warstwę ochrony, trzeba również podjąć przedstawione w tym wpisie niezbędne środki ostrożności, aby CryptoLocker nie zaszyfrował plików kopii zapasowych. Przypominam też o konieczności testowania kopii!
Mike Resseler, Strategia Produktowa w Veeam Software
