7 корисних рад по захисту резервних копій від вірусів-шифрувальників

Сьогодні поговоримо про проблеми вірусів-шифрувальників (ransomware). Ці програми призначені для витягування грошей з власників заражених комп'ютерів, тому їх ще називають «програми-викрадачі».

Проблема вірусів-шифрувальників зачіпає вже не тільки окремо взяті персональні комп'ютери, але доходить до рівня дата-центрів. Для атак на інфраструктуру компаній застосовуються, наприклад, Locky, TeslaCrypt і CryptoLocker. Найчастіше віруси використовують уразливості веб-браузерів або їх плагінів, а також непередбачливо відкриті вкладення повідомлень електронної пошти. Проникнувши в інфраструктуру, програма-вимагач починає швидке поширення і шифрування даних.

Важливою складовою стратегії захисту даних завжди була наявність резервних копій, з яких можна виконати відновлення. Розглянемо кілька рекомендацій від мого колеги Rick Vanover щодо того, як вберегти СГД резервних копій від шифрувальників (незалежно від того, використовуєте ви рішення Veeam або інших виробників). Отже, ласкаво просимо під кат.



1. Використовуйте окремий обліковий запис для доступу до сховища резервних копій
Ця загальнолюдська рекомендація особливо актуальна в епоху троянів-шифрувальників.

  • Резонно використовувати для доступу до сховища бекапів спеціально виділені для цього облікові записи.
  • Слід уникати призначення прав доступу до сховища всіляких користувачам, за винятком тих, кому вони необхідні для виконання резервного копіювання.
  • І, звичайно, не варто повсюдно використовувати учетку доменного адміна.
Зустрічаються варіанти, коли інфраструктура Veeam не включена в домен (як правило, в невеликих організаціях) або входить у домен, організований спеціально для роботи інструментів резервного копіювання та захисту даних (у більш великих середовищах). У будь-якому випадку важливо приділити увагу аутентифікації і ретельного розмежування робочого середовища та інфраструктури резервного копіювання.

2. Майте резервні копії, що зберігаються offline (без підключення до інфраструктури)
Дуже дієвий спосіб убезпечити себе від проникнення трояна-шифровальщика – зберігати резервні копії offline (тобто поза працюючої інфраструктури). Наприклад, якщо ви використовуєте рішення Veeam, то можна розглянути наступні опції:
Де зберігати дані Пояснення
Магнітна стрічка Завжди offline (якщо тільки не в процесі читання-запису).
Репліка ВМ Зазвичай вимкнена; в більшості випадків буде задіяна в середовищі з аутентифікацією, окремої від продакшену (наприклад, хости vSphere і Hyper-V в різних доменах).
Апаратні знімки виробничих СГД Можна використовувати для відновлення; зазвичай задіюються в середовищі з аутентифікацією, окремої від продакшену.
Бекапи в Cloud Connect Не підключаються безпосередньо до інфраструктури резервного копіювання; задіють інший механізм аутентифікації.
Змінні носії (наприклад, зовнішній жорсткий диск) Завжди offline (якщо тільки не в процесі читання-запису).
Якщо ви використовуєте виділений СГД тільки для зберігання резервних копій, то зазвичай таке сховище використовується тільки під час вікна резервного копіювання (скажімо, лише вночі). У цьому випадку окремим простим способом перекладу резервної копії в оффлайн буде налаштування розкладу автоматичного виключення/включення СГД на період часу, коли воно не потрібне.

3. Використовуйте для зберігання бекапів СГД з різними файловими системами
Попередити поширення шифрувальників можна, використовуючи різні файлові протоколи. Наприклад, якщо тримати репозиторій на Linux, то в цьому випадку при резервне копіювання і відновлення з допомогою Veeam буде використовуватися аутентифікація Linux, а файлова система може бути як ext3, так і ext4 (або інша). Таким чином можна додатково захистити свої резервні копії. Ось кілька прикладів систем зберігання резервних копій з таким підходом:

  • СГД Data Domain з вбудованою дедупликацией і використанням DDBoost (рекомендований метод) або з монтуванням NFS в разі, якщо DDBoost не використовується
  • СГД Hewlett Packard Enterprise (HPE) StoreOnce з вбудованою дедупликацией і використанням Catalyst
  • ExaGrid з вбудованою дедупликацией і використанням Veeam agent
При зазначених варіантах доступ до СГД з боку процесів Veeam буде відбуватися в рамках специфічного контексту безпеки (security context).



4. По можливості створюйте апаратні знімки СГД резервних копій
Апаратні знімки є, так би мовити, «напів-оффлайновим» способом збереження даних у разі роботи з основною СГД. Якщо ж є можливість створення апаратних знімків і для СГД резервного копіювання, то цілком резонно задіяти її для запобігання атак шифрувальників.

5. Застосовуйте правило «3-2-1-1»
Як ви пам'ятаєте, є правило «3-2-1», яке наказує зберігати 3 резервні копії як мінімум на носіях двох типів, і одну з цих копій тримати на резервному майданчику (а не у місці розташування виробничої інфраструктури).



Це просте правило допоможе вам практично в будь-якої аварійної ситуації, при якій потрібно буде відновити дані, і при цьому воно не вимагає застосування якої-небудь специфічної технології. В епоху шифрувальників буде розумним додати ще одну одиничку до цього правилу, маючи на увазі, що один з носіїв повинен зберігатися offline. Наведені вище опції (див. пункт 2) допоможуть вам з вибором носія і способу зберігання, що, в свою чергу, зміцнить вашу інфраструктуру в протистоянні шифровальщикам.

6. Контролюйте роботу обладнання та ПЗ
Одна з загроз, які несуть з собою шифрувальники — це потенційна можливість поширення на інші системи. Тому важливо контролювати роботу устаткування, процесів і програм з метою виявлення підозрілої активності. Так, Veeam ONE 9.5 пропонує вашій увазі нове вбудоване оповіщення Possible ransomware activity (ймовірна активність шифровальщика). Воно спрацьовує, якщо помічена підвищена активність у використанні ЦПУ і зростання кількості операцій запису на диск.



7. Задійте завдання перенесення резервних копій Backup Copy Job
Для того, щоб отримати точку відновлення, що зберігається на віддаленому СГД і має свою політику зберігання (відмінну від тієї, що задана у налаштуваннях бекапа), зручно використовувати завдання перенесення резервних копій Backup Copy Job. Це завдання бере дані з репозиторію резервних копій і на їх основі створює точки відновлення на віддаленій СГД. Так, наприклад, якщо ви додали ще одну СГД до інфраструктури резервного копіювання (наприклад, Linux), то можна створити відповідний репозиторій і потім налаштувати завдання перенесення для роботи з ним.

На закінчення можна сказати, що існує чимало методів боротьби з троянами-«шифрувальниками», що дозволяють зберегти ваші бекапи в цілості, і в цьому пості була перерахована лише їх частину. Якщо ж у вас є особистий досвід або конструктивні ідеї на цей рахунок, милості пробачимо в коментарі.

Що ще почитати і подивитися
Стаття на Хабре про правилі 3-2-1 для резервного копіювання:

Частина 1
Частина 2
Вебінар про інтеграцію Veeam і HPE StoreOnce (російською мовою)
Стаття бази знань Veeam про інтеграцію з EMC Data Domain (на англ. мовою)
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.