Evite pagar aos atacantes de ransomware seguindo estas etapas para garantir que os backups possam restaurar os sistemas infectados.
A melhor maneira de evitar pagar o resgate a invasores que infectaram seus sistemas com ransomware é fazer um backup adequado desses sistemas para que você possa apagá-los e restaurá-los a partir de backups seguros. Aqui estão várias opções para garantir que esses backups estão à altura da tarefa.
Neste artigo, backup se refere a qualquer sistema que você usará para responder a um ataque de ransomware, incluindo sistemas de backup tradicionais, sistemas de replicação e sistemas híbridos modernos que oferecem suporte a backup e recuperação de desastres. Para simplificar, todos eles serão chamados de backup aqui.
Faça backup de tudo usando a regra 3-2-1
Antes de mais nada, uma ideia é fundamental: faça backup de todas as coisas. Investigue a capacidade do seu sistema de backup de incluir automaticamente todos os novos sistemas, sistemas de arquivos e bancos de dados . Isso é mais fácil no mundo da virtualização, onde você pode configurar seu sistema de backup para fazer backup automático de todas as VMs em um host sempre que elas aparecerem. Isso também pode ser feito com a inclusão baseada em tag, onde VMs de diferentes tipos são incluídas automaticamente com base em suas tags “incluídas”. Este é um dos melhores usos da automação em um sistema de backup – inclusão automática de todas as coisas.
Além disso, certifique-se de seguir a regra 3-2-1 em seu sistema de backup, não importa quem tente dizer que é antiquado. A regra diz que faça pelo menos três cópias ou versões dos dados armazenados em duas mídias diferentes, uma das quais fora do local. As grandes partes aqui são os backups de dois e um – armazenar em um sistema diferente e em um local diferente. Não armazene seus backups no mesmo lugar que seu sistema principal. Melhor ainda, armazene-os em um sistema operacional diferente e em um local físico diferente, mas no mundo real nem sempre isso é possível .
Deve haver algum tipo de relatório automático do seu sistema de backup para que você possa ter certeza de que os backups que você acha que estão acontecendo realmente estão funcionando. Isso deve incluir relatórios de sucesso e relatórios de falhas. Um sistema de monitoramento de terceiros é provavelmente o melhor para que possa olhar continuamente para tudo e apontar quando as coisas estão um pouco erradas. Um sistema de relatórios com aprendizado de máquina seria ideal, pois ele pode notar padrões que indicam problemas. Isso é mais fácil do que ler dezenas ou centenas de e-mails de seu sistema de backup todos os dias apenas para ter certeza de que tudo está funcionando.
A segurança de DR deve estar no topo da lista
Seu sistema de backup e DR deve ser um dos sistemas mais seguros em seu ambiente de computação. Deve ser difícil acessar e fazer login. Deve ser muito difícil fazer o login como administrador ou root. Felizmente, seu sistema de backup oferece suporte à administração baseada em funções para que você possa fazer o login como você mesmo e executar backups como você. Você não deve ter que executar seus backups como root ou Administrador. O login como essas contas é incrivelmente perigoso e deve ser restrito sempre que possível.
Seu sistema de backup e DR também deve ser o sistema mais atualizado que você tem. Os patches de segurança devem ser instalados primeiro e não por último, porque seu sistema de backup e DR é sua última linha de defesa. Certifique-se de que ele não esteja sujeito a uma falha de segurança que deveria ter sido corrigida semanas atrás.
Todas as alegações de integridade e imutabilidade de dados são jogadas fora se você tiver acesso físico a um servidor, portanto, o servidor de backup também deve ser muito difícil de acessar fisicamente. Talvez esteja em uma sala diferente, que requer acesso físico diferente, ou dentro de um rack de computador para o qual nem todos têm a chave. Outra ótima maneira de fazer isso é retirar o sistema de backup de seu data center . Coloque-o na nuvem.
Criptografar tudo
Todas as comunicações de backup devem ser criptografadas, portanto, certifique-se de que seu provedor de backup está criptografando o tráfego entre os sistemas. Isso significa que, se você receber uma ameaça persistente avançada e ela estiver farejando a rede, não identificará os servidores de backup ou o que eles estão fazendo. Isso pode evitar que seus sistemas de backup sejam atacados por ransomware.
Além de criptografar o tráfego de backup em trânsito, você também deve criptografar todo o tráfego de backup em repouso, especialmente se os dados estiverem armazenados em qualquer lugar fora de seu controle físico. Isso inclui fitas que você vai entregar a qualquer momento a qualquer pessoa, incluindo seus próprios funcionários. Isso também inclui os dados que você está armazenando em redes de provedores de nuvem, porque, embora sejam muito seguros, nada é perfeito. Certifique-se de que seus dados de backup não possam ser usados como uma forma de investigar sua rede e atacá-la.
Crie DR com base nas necessidades de negócios
Um sistema de DR bem testado é a melhor defesa contra um ataque de ransomware. Um sistema mal projetado é a melhor maneira de garantir que você acabará pagando um resgate.
Esse deve ser o caso em todas as áreas de TI, mas o sistema de DR deve ser construído com base nos requisitos que vêm do negócio. Deve haver muitas reuniões em que requisitos como objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO) são discutidos e acordados muito antes de você decidir como realmente atenderá a esses requisitos. Depois de concordar com um RTO e RPO, projete um sistema de backup e DR que atenda a esses requisitos.
Teste como se sua vida dependesse disso
Um artigo de notícias recente disse que o motivo pelo qual Austin, TX, perdeu sua água potável por tanto tempo durante uma falha de energia em todo o estado foi que ninguém na estação de tratamento de água sabia como ligar o gerador de backup. Não seja essa empresa. Não seja a empresa que tem um sistema de backup e DR perfeitamente bom e não sabe como usá-lo. Existem muitos riscos para seus dados hoje para que você não siga este conselho crucial: Teste seu sistema de DR com frequência.
A boa notícia é que a maioria dos sistemas de backup e DR modernos suportam testes frequentes de todo o sistema. Você pode colocar todo o seu data center em um sandbox com a freqüência necessária para que possa ver como ele realmente funciona. Faça isso pelo menos trimestralmente. Deve levar apenas algumas horas e deve ser entediante porque está provando que funciona. Se for enfadonho quando você testá-lo trimestralmente, será fácil quando você realmente precisar usá-lo para se recuperar de um ransomware.
Cada vez que você executa o teste, alterne o pessoal que o executa. Eles não devem ser as pessoas que projetaram o sistema nem as pessoas que usam o sistema todos os dias. Eles devem ter um bom conhecimento técnico e ser fornecidos com uma boa documentação a seguir. Essa é a melhor maneira de confirmar se o sistema e a documentação funcionam.
Um sistema de DR pronto preparado para o ransomware pode colocar todo o seu data center online após um ataque de ransomware é a única maneira de evitar o pagamento do resgate. Considere fazer isso agora, antes que sua empresa se transforme em outra estatística.