Ataki ransomware stały się coraz bardziej wyrafinowane. Atakujący nie tylko szyfrują dane – grożą jednak ujawnieniem wrażliwych danych podwójne wymuszenie I potrójne wymuszenie ataki. I oprogramowanie ransomware celem ataków są coraz częściej kopie zapasowe i dane operacyjne.
Z punktu widzenia atakującego celowanie w kopie zapasowe ma sens. Organizacje, które potrafią przywracać dane z kopii zapasowych, rzadziej to robią zapłacić okup. Dlatego teraz napastnicy starają się zidentyfikować i wyłączyć lub usunąć woluminy kopii zapasowych.
Aby temu przeciwdziałać, dostawcy mają wbudowaną ochronę przed oprogramowaniem ransomware w kopie zapasowe i pamięć masową. Pracując w warstwie przechowywania, zespoły ds. bezpieczeństwa otrzymują wczesne ostrzeżenia o atakach systemu ransomware i mogą im zapobiegać. Ale ta funkcjonalność jest wciąż całkiem nowa. Czy zatem powinno to stanowić część korporacyjnej strategii zwalczania systemu ransomware?
Kopie zapasowe wirusów ransomware
Wczesne ataki ransomware infiltrowały sieci i zaszyfrowane dane, a następnie żądały okupu w zamian za klucze odszyfrowujące.
Jednak firmy wzmocniły swoje procedury tworzenia kopii zapasowych. Dostawcy kopii zapasowych i odzyskiwania danych dodali funkcje chroniące przed oprogramowaniem ransomware. Należą do nich wykrywanie anomaliiniezmienne migawki i zapewnienie kopii zapasowych oddzielone od systemów produkcyjnych.
W rezultacie napastnicy sięgają teraz także po kopie zapasowe. Obejmuje to usuwanie plików kopii zapasowych, ich szyfrowanie lub atakowanie interfejsów programowania aplikacji (API) systemu do tworzenia kopii zapasowych.
Kopie zapasowe działają według harmonogramu, kopiując dane na przykład co kilka godzin lub w nocy. Daje to atakującym możliwość zainfekowania systemów lub masowego zainicjowania szyfrowania przed uruchomieniem kopii zapasowej
Grupy ransomware wykorzystują również funkcje działania narzędzi do tworzenia kopii zapasowych.
Kopie zapasowe działają według harmonogramu, kopiując dane na przykład co kilka godzin lub w nocy. Daje to atakującym możliwość zainfekowania systemów lub masowego zainicjowania szyfrowania przed uruchomieniem kopii zapasowej.
W rezultacie przedsiębiorstwo tworzy kopię zapasową danych, które zostały już zaszyfrowane lub zawierają złośliwy kod. Grupy hakerskie mogą następnie aktywować te „bomby zegarowe” złośliwego systemu później – lub co gorsza, gdy firma spróbuje przywrócić dane z zainfekowanej kopii zapasowej.
Aby wypełnić tę lukę, coraz większa liczba dostawców oferuje w tej chwili wykrywanie systemu ransomware w warstwie pamięci masowej. jeżeli system wykryje oznaki ataku, takie jak zdarzenie masowego szyfrowania, uruchamia nową niemodyfikowaną migawkę danych i ostrzega zespoły IT lub zespoły ds. bezpieczeństwa, zanim złośliwe oprogramowanie przejmie kontrolę.
„Jeśli uda Ci się zbliżyć do środowiska produkcyjnego w celu wykrycia i rozpocząć proces tworzenia niezmiennych migawek, uzyskasz szybszą reakcję i bardziej ograniczony „promień eksplozji”” – mówi Brent Ellis, starszy analityk w firmie Forrester, który kieruje ds. odporności technologii, badania dotyczące tworzenia kopii zapasowych i przechowywania danych.
Podejścia dostawców do ochrony przed oprogramowaniem ransomware
W przypadku dostawców pamięci masowej główna ochrona przed oprogramowaniem ransomware jest już zapewniona niezmienne kopie zapasowe, zwykle migawki. Macierze pamięci masowej można skonfigurować tak, aby przechowywać migawki lokalnie, w lokalizacji zewnętrznej – np. w drugim centrum danych – lub w chmurze publicznej.
Jak migawki są zwykle niezmiennefirmy mogą stworzyć dość wyrafinowane procedury ich kopiowania. Obejmują one korzystanie z wielu stref dostępności chmury lub wielu dostawców usług w chmurze, jeżeli wymagają tego wymagania budżetowe i bezpieczeństwa.
Problem polega na tym, iż migawki zajmują więcej miejsca niż konwencjonalne kopie zapasowe zawierające wyłącznie dane. I nie przydadzą się, jeżeli dane zostały już zainfekowane przed wykonaniem migawki.
Aby temu przeciwdziałać, dostawcy zaczęli dodawać do swoich systemów funkcję wykrywania. Systemy mają na celu wykrycie zdarzenia masowego szyfrowania, innego podejrzanego zachowania, takiego jak duża liczba zmian w plikach w systemie lub zwiększony poziom losowości nazw plików i treści. Są to wczesne oznaki, iż złośliwe oprogramowanie zaczęło szyfrować dane.
Same systemy pamięci masowej nie są w stanie zapewnić pełnej ochrony przed oprogramowaniem ransomware. Firmy potrzebują również silnej ochrony punktów końcowych, narzędzi antyphishingowych, solidnych narzędzi do tworzenia kopii zapasowych oraz skutecznej i przećwiczonej strategii tworzenia kopii zapasowych i odzyskiwania danych
Dostawcy kopii zapasowych mają już funkcję wykrywania systemu ransomware, która skanuje pliki podczas ich kopiowania lub przyjmowania do systemu kopii zapasowych. Umieszczenie tego w warstwie przechowywania ma na celu przyspieszenie tego procesu.
„Problem polega na tym, iż być może kopie zapasowe są tworzone co pół godziny, co godzinę, co cztery godziny” – mówi Ellis z firmy Forrester. „Występuje opóźnienie w wykrywaniu, przez co zakres problemu może się zwiększyć. Dlatego wykrywanie przeniosło się do podstawowych środowisk pamięci masowej, w których trwa ciągły proces wykrywania złośliwych typów plików, jeżeli jest to pamięć masowa oparta na plikach, lub wykrywa anomalie lub błędy entropii w pamięci masowej opartej na blokach”.
Zdarzenie masowego szyfrowania rejestruje duże tempo zmian w woluminie pamięci masowej – mówi. Dzięki temu macierze pamięci masowej mogą wykrywać nielegalne działania. Kluczową kwestią jest jednak to, iż wykrywanie powinno uruchamiać „szczegółowe” migawki, aby zmaksymalizować szanse na odzyskanie danych, i generować alerty, aby zespoły ds. bezpieczeństwa mogły podjąć działania mające na celu powstrzymanie problemu.
Wielu dostawców pamięci masowych oferuje w tej chwili te narzędzia, często z nich korzystając sztuczna inteligencja (AI) w celu wykrycia anomalii.
Dostawcy oferujący funkcje chroniące przed oprogramowaniem ransomware to NetApp, Pure Storage, Dell EMC (w ofercie PowerStore) i IBM.
Na przykład Dell EMC wykorzystuje szyfrowanie danych PowerStore w stanie spoczynku, a także migawki w celu ochrony przed oprogramowaniem ransomware. IBM Storage FlashSystem, część IBM Storage Virtualize, tworzy migawki, które są automatycznie oddzielane od środowisk produkcyjnych.
Migawki trybu awaryjnego Pure są wbudowane we wszystkie produkty dostawcy i zarządzane za pośrednictwem Pure1. Dostawca wspiera uwierzytelnianie wieloczynnikowe oraz kontrolę dostępu „czterema oczami” (do autoryzacji usunięcia kopii zapasowej potrzebne są dwie osoby). Tymczasem NetApp twierdzi, iż jest pierwszym dostawcą oferującym technologię wykrywania złośliwego systemu w warstwie pamięci masowej opartą na sztucznej inteligencji oraz oferującą niezmienne i nieusuwalne kopie zapasowe.
Narzędzia te mogą być używane wraz ze środkami zapobiegania oprogramowaniu ransomware w narzędziach do tworzenia kopii zapasowych i odzyskiwania danych od dostawców takich jak Veeam, Rubrik, Cohesity i Commvault. Warto zauważyć, iż niektórzy dostawcy oprogramowania, np. MongoDB, oferują również niezmienne migawki. Zapewnia to dodatkową ochronę ich warstwy stosu.
Pamięć masowa jako strategia chroniąca przed oprogramowaniem ransomware
Same systemy pamięci masowej nie są jednak w stanie zapewnić pełnej ochrony przed oprogramowaniem ransomware. Firmy też potrzebują silnych ochrona punktów końcowych oraz narzędzia antyphishingowe, aby zmniejszyć ryzyko zainfekowania organizacji przez oprogramowanie ransomware. Potrzebują także niezawodnych narzędzi do tworzenia kopii zapasowych oraz skutecznej i przećwiczonej strategii tworzenia kopii zapasowych i odzyskiwania danych.
Ochrona przed oprogramowaniem ransomware na poziomie pamięci masowej zapewnia szybkość, a ponieważ skanowanie danych produkcyjnych odbywa się w sposób ciągły, zmniejsza ryzyko wynikające z przerwy między kopiami zapasowymi.
Istnieją jednak również ograniczenia, między innymi ze względu na ograniczoną moc obliczeniową dostępną w macierzach pamięci masowej. Narzędzia do tworzenia kopii zapasowych mogą korzystać z bardziej zaawansowanych analiz, ponieważ mają dostęp do jednostek przetwarzających serwer i mogą przeglądać dane w czasie. Pozwala im to uzyskać obraz normalnego zachowania tych danych i zablokować przyszłe ataki.
Idealnie byłoby, gdyby CIO korzystali z narzędzi chroniących przed oprogramowaniem ransomware do przechowywania danych i tworzenia kopii zapasowych. „Jedno narzędzie nie wystarczy” – ostrzega Ellis. „Następna linia obrony znajduje się w środowisku produkcyjnym, czyli w systemie pamięci masowej”.
