1. rész

A zsarolóprogramokkal támadó kiberbűnözők a biztonsági mentéseket is támadják. Megpróbálják megkeresni a rendszereink biztonsági másolatait, mentéseit, megszerzik, majd törlik ezeket. Ha az ilyen zsarolóvírus támadásokat is meg tudja akadályozni, akkor egy zsarolóvírus támadásból menekülve anélkül tudja visszaállítani a rendszereit, hogy bármilyen formában egyezkednie kellene a zsarolókkal. A megoldás kulcsa a visszaszámlálás: 3 – 2 -1! Hogy mit jelent a visszaszámlálás? Megtudja, ha elolvassa el a folytatást…

A zsarolóvírusok egy ideje nagyon komoly problémát jelentenek. A közélet szinte bármely jelentősebb aktuális eseményéhez kapcsolódik egy-egy zsarolóvírus támadás, így a ransomware-eket alkalmazó és terjesztő kiberbűnözők a COVID-19 világjárványhoz kapcsolódva is állítottak csapdákat a csalásaikhoz. Ez ad különleges aktualitást egy figyelemfelhívásnak, amely a vállalkozások és szervezetek meglévő kibervédelmi eljárásainak felülvizsgálatáról szól. A kérdés az, hogy azok megfelelőek, elégségesek-e egy zsarolóvírus támadás megelőzésére vagy a vélhető károk enyhítésére?

Az adatok rendszeres biztonsági mentése kulcsfontosságú része a ransomware és más rosszindulatú programok elleni védelemnek. Ugyanakkor, ha egy zsarolóvírus a biztonsági mentésekhez is hozzáfér, és azokat is törli, azt mondhatjuk, hogy az alkalmazott védelemi rendszer egy ilyen támadással szemben mit sem ér, használhatatlan. Ha eddig valaki véletlenül nem tudta volna, most felhívjuk a figyelmét: a zsarolóvírussal támadók a biztonsági mentéseket is megkísérelhetik megkeresni, majd törlik vagy titkosítják azokat. Ne nagyon legyenek kétségeink ‒ a mentések közül is sok hozzáférhetővé válik, ha a szervezet informatikai rendszere kompromittálódott adminisztrációs felhasználói fiókjain keresztül. A biztonsági mentések elvesztése ‒ különösen a legutóbbi, aktuális mentéseké ‒ sokkal költségesebbé teheti a támadást, és korlátozhatja a szervezet támadókkal szembeni ellenállási képességét. Milyen gyakorlati módszerekkel biztosítható, hogy ez ne történhessen meg?

A válasz elkeserítő: a legtöbb kiberbiztonsági óvintézkedéshez hasonlóan nincs 100% -osan garantált bevált gyakorlat a biztonsági mentések védelmére. A bevált gyakorlatok azonban azt mutatják, hogy biztonsági másolatok készítésével jelentősen megnövelhető az esélye, hogy egy támadás helyreállítása minimális idő- és üzleti veszteséggel járjon. A biztonsági mentések rendelkezésre állásával nem szűnik meg az egyes esetleges eseményekkel foglalkozó szakemberek által a támadásra adott válasz szükségessége, de a jól megtervezett mentési rendszer gyorsabbá és könnyebbé teszi a helyreállítási folyamatot.

A bevált mentési gyakorlatok tartalmazzák az informatikai személyzet (egyébként nem magától értetődő) költségeit és problémáit is. Az alkalmazott módszer, amely elsősorban a 3-2-1 szabályon alapul, megfelelő mód a szervezet védelmére ‒ nem csupán a zsarolóvírus támadások, hanem számtalan más probléma megoldására is, amelyek az évek során a vállalatokat terhelik és a fejlődését akadályozzák. De ha egy szervezet anyagilag nem is engedheti meg magának azt a kiadást, amellyel egy ilyen biztonsági másolat készítése együtt jár, a 3-2-1 szabályrendszer tartalmaz olyan lépéseket, amelyeket mindenképpen meg lehet tenni ahhoz, hogy egy támadás esetén a biztonsági mentések sebezhetőségét csökkentsék.

Kövesse a biztonsági mentés 3-2-1 szabályát

A biztonsági mentések 3-2-1 szabálya:

‒   Az adatokról három példányban kell biztonsági mentést készíteni.
‒  Két különféle adathordozót használjunk a biztonsági mentésekhez.
‒  A mentések egy példányát más (külső) helyszínen tárolják (pl. mentési széf szolgáltató).

A 3-2-1 szabálynak az a célja, hogy növelje a lehetőségét annak, hogy minden esetben álljon rendelkezésre biztonsági másolat. Ha egy másolatot a többitől eltérő helyen (házon kívül) tárol, akkor még tűz vagy valamilyen természeti katasztrófa esetén is biztosíthatja az üzletmenet folytonosságát. A biztonsági mentési stratégiák rendszerint egyszerűen számokat rendelnek a szabályok bevezetéséhez. Például, ha érdekli, hogy a 3-2-1-1-0 szabály mit jelent, olvassa el ezt a Vembu blogot.

A vállalati biztonsági mentési szoftvereket általában úgy tervezik meg, hogy megkönnyítsék az adott környezetnek megfelelő bevált gyakorlat megközelítését. Egy mentési példányt általában egy helyszíni tárolóeszközön tárolnak (mint például egy deduplikáló mentőeszköz vagy egy nagy sűrűségű lemezes tárolórendszer). A többi mentési példány közül legalább egyet egy másik helyszínen elhelyezett deduplikáló mentőeszközre vagy szalagra írnak. Egy, a szervezet által igénybe vett felhőalapú tárolási szolgáltatás is szóba jöhet, mint a másolatok egyikének a tárolóhelye.

Egy jó adatvédelmi konfigurációban a biztonsági mentés gyakorisága, megőrzésének időtartama és az adatok értékességéhez viszonyított másolatok példányszáma is meghatározásra kerül ‒ Ezt azzal tudjuk megmagyarázni, hogy a vállalat/szervezet nem minden adata egyformán értékes, tehát van, amit gyakrabban és több példányban szükséges menteni. Emiatt tehát át kell gondolni a saját szervezete igényeinek és képességeinek figyelembevételével a mentési stratégiát (nem is beszélve a szabályozási követelményekről). Bizonyos adatok esetében megfelelő lehet egy 3-2-1 + 1 szabály (a szokásos 3-2-1, plusz egy példány offline állapotban), más esetben pedig elegendő „csak” a 2 + 1 (2 példány, egy offline) szabály is.

További, a bevált gyakorlatnak megfelelő szabályok a 3-2-1 szabály alapján hozhatók létre, figyelembe véve, hogy:

‒  egy helyszíni példánynak rendelkezésre kell állnia a gyors, működő helyreállításhoz;
‒  ennek a mentési példánynak külön hardver eszközön kell lennie, hogy azt ne tudja befolyásolni a biztonsági másolatot készítő eszköz problémája. A második példánynak nem kell ugyan azonnal hozzáférhetőnek lennie, de szükség esetén rendelkezésre kell állnia.

Régebben a házon kívül tárolt másolat az adatfeldolgozás helyszínén készült, majd egy másik helyre átszállított szalag(ok)ból állt, amely(ek) egy szalagtároló-szolgálatnál került(ek) elhelyezésre, (ilyen például az USA-ban az Iron Mountain). (Természetesen az ilyen szolgáltatások segítségével más tárolóeszközt, vagy akár papírt is lehet archiválni.) A több telephellyel rendelkező szervezeteknél más helyszínen lévő létesítményeket is használhatnak a házon kívüli tárolás célra.

A házon kívül tárolt szalagokkal kapcsolatban sok probléma merülhetett fel ‒ elveszhettek, vagy a nem megfelelő tárolás miatt tönkremehettek, vagy (szándékosan) meg is rongálhatták azokat ‒ és ezek a problémák sok társaságot arra késztettek, hogy lemezmegőrzési vagy a felhőalapú tárolási szolgáltatásra váltsanak a telephelyen kívüli tárolási lehetőségként.

A fenti 3-2-1 szabályban az egyik házon kívüli biztonsági mentés kritikus elvárt jellemzője, hogy offline állapotban kell lennie. Ez elérhetetlenné teszi a támadók számára. Az offline állapot ezen előnye azonban azt jelenti, hogy a felhőalapú tárolás nem feltétlenül felel meg a házon kívüli másolat tárolására. Ugyanis, ha a támadó az ellopott hitelesítő adatokkal elegendő jogosultságot szerez a felhőalapú tárolási rendszerben található mentés törlésére, akkor a helyszíni külső tárolás teljes mértékben elveszhet.

Az egyik lehetséges megoldás, amellyel a felhőalapú biztonsági mentés elérését a támadók számára meg lehet nehezíteni, az az egyedi hitelesítő adatok használata, ugyanis a felhő tárhely nem képezi a vállalati hálózat részét, és ezért egy egyedi (második) hitelesítési tényező lehet szükséges a biztonsági mentések eléréséhez és kezeléséhez. Még ha a támadó teljesen mélységében hozzáférne a vállalati hálózathoz, a felhőben tárolt biztonsági mentések továbbra is védettek maradhatnak. A biztonsági másolat-készítő szoftvereket gyártó Veeam egy, a biztonsági másolatok ransomware-kkel szembeni védelméről szóló blogbejegyzésében kifejezetten azt javasolja, hogy a biztonsági mentési adattárakhoz különféle hitelesítő adatokat használjanak.

Általában is megállapíthatjuk, hogy a biztonsági másolatoknak a felhőben történő elhelyezésekor különös óvatossággal kell eljárni, mivel a ransomware támadók az adatok ellopására használhatják azokat, mielőtt hozzáférhetetlenné tennék az adatokat és megzsarolnák a tulajdonosait.

A Veeam egy másik ajánlást is megfogalmazott, amely még egyszerűbbé teheti a zsarolóvírus támadás utáni helyreállítás folyamatát:

‒ készítsenek gyakrabban biztonsági másolatokat, és
‒ készítsenek biztonsági másolatot más olyan dolgokról is, mint például virtuális gépekről.

Általában a biztonsági mentések nagyrészt csak adatokra vonatkoznak. Ha mindig csak adatokat mentünk, akkor azokat elég biztosan helyre lehet állítani. Ha biztonsági másolat futtatható kódról is készül, amely elméletileg akár Microsoft Office makró is lehet, akkor a biztonsági mentések veszélybe kerülnek, ha a támadó megfertőzi egy kártékony kóddal a hálózatot, és elég sokáig vár, mielőtt a csapdát aktiválná. A válasz erre a problémára az, hogy az incidens utáni helyreállítás során együtt kell működni az IT személyzettel a biztonsági másolatokban a rosszindulatú programok keresésében, és egyéb, a visszaállítás előtti ellenőrzésekben.

Meg kell határozniuk, azt az időpontot amikor a támadó megszerezte az irányítást, és attól a ponttól kezdve kell helyreállítaniuk a hálózatban található adatokat.

A cikket folytatjuk...

(készült a hpe.com cikkei alapján)