Как настроить инфраструктуру, чтобы защититься от вирусов-шифровальщиков

Таким образом, если вирус прошел защиту периметра и антивирус не смог его заблокировать, данные оказываются под угрозой. Можно ли защититься от этого сценария, построив архитектуру таким образом, чтобы последствия атаки были минимальными? Многие вендоры стали работать в этом направлении, а мы постарались собрать лучший опыт и делимся им с вами.

Какую архитектуру мы рекомендуем как оптимальную?

Во-первых, у вас должна быть установлена СРК корпоративного уровня, которая переносит копии данных с продуктивных серверов и систем хранения на резервные, причем копий может быть несколько. Ведь понятно, что если СУБД складывает свои копии рядом с продуктивными данными на одном сервере, то риск потери обеих копий очень велик, особенно если сервер находится под управлением MS Windows и система работает через скрипты без централизованного оповещения и мониторинга состояния копий. Правильно настроенная логика резервного копирования также очень важный компонент этой линии защиты. При наличии двух и более площадок должна быть предусмотрена защита от различных сценариев потери или порчи данных на каждой из них.

Во-вторых, сама СРК должна быть защищена от влияния шифровальщиков. Какие именно подходы используют вендоры, мы расскажем чуть ниже.

Ну и в-третьих, архитектура должна быть готова к максимально быстрому восстановлению больших объемов данных. Ведь если у вас было несколько сотен терабайт или пара петабайт, даже при наличии защищенного ПО, которое сохранило ваши данные в другом месте, при использовании архитектуры «старого типа» потребуется несколько дней, чтоб их восстановить. Недавние кейсы американских нефтяных компаний этому прекрасное подтверждение. 

Как организовать защиту 

Построение защиты через организацию правильной архитектуры должно дополняться применением классических ИБ-средств.

Комплексный подход строится на 3 ключевых принципах: 

• предотвращение;
• обнаружение;
• восстановление.

К предотвращению заражения относятся мероприятия по своевременному обновлению всего ПО и отслеживанию новых угроз. Например, для своего ПО компания Veritas выпускает оповещения по найденным уязвимостям и выкладывает эти дайджесты на своем сайте. Помимо этого, рекомендуется использовать многофакторную аутентификацию, управление паролями с учетом рисков, разграничение доступа к системам на основе ролей и другие методы защиты оборудования и ПО. Часть этих средств может применяться и в СРК, поэтому мы в своих проектах привлекаем к этим работам и специалистов ИБ, и экспертов по резервному копированию. Без совместной работы защита может оказаться недостаточно эффективной.

Сейчас все чаще происходят кибератаки, цель которых — исключительно СРК. Например, для хищения резервной копии важной базы или целенаправленной порчи резервных копий, чтобы исключить возможность восстановления и нанести финансовый урон. Чтобы защититься от таких действий, мы рекомендуем использовать контроль доступа пользователей и ролевой контроль. Так скомпрометированный аккаунт не сможет удалить бэкапы или повредить систему резервного копирования. Но даже не заходя в СРК, вирус может начать шифровать данные на уровне файловой системы. Для этого в СРК некоторых производителей (например, Veritas) добавлены дополнительные средства защиты: изменения в файловой системе могут быть реализованы только процессами самого ПО резервного копирования. 

Как мы упоминали выше, правильно настроенная логика создания и хранения резервных копий — один из важнейших компонентов комплексной защиты. Лучшие практики резервного копирования рекомендуют следовать принципу «3-2-1»: как минимум три копии данных в двух разных местах, при этом одна из них за пределами офиса и без доступа к интернету. Копии, которые находятся в офлайне, принято обозначать «воздушным зазором» (AirGap). При обнаружении программы-вымогателя важно проверить резервные данные и убедиться в том, что они не содержат вредоносных программ, прежде чем приступать к полномасштабному восстановлению.

Построение архитектуры для защиты информации с использованием Veritas NetBackup и NetBackup Appliances

Описанную выше стратегию защиты (предотвращение / обнаружение / восстановление) можно рассмотреть на примере продуктов Veritas, в которых она последовательно реализована с использованием нескольких технологий.

Предотвращение

Первое: необходимо построить опорную инфраструктуру СРК и восстановления данных, устойчивую к воздействию шифровальщиков. Это последний бастион — только она сможет восстановить информацию в случае атаки. 

Для продуктов Veritas предпочтительнее серверная инфраструктура на базе ОС Linux, так как она менее подвержена воздействию вирусов, а в NetBackup Appliances используется ее специально подготовленная, более защищенная версия. По статистике, Linux менее подвержен заражениям: более 80% атак направлены на Windows, поскольку эта система распространена на endpoint. Строя систему на Linux, вы фактически отсекаете 80% угроз. 

Другие технологии для этапа предотвращения — это набор механизмов Identity and Access Management: многофакторная аутентификация, шифрование, модель доступа RBAC (группировка пользователей с учетом их специфики). Эти инструменты позволят более гибко управлять сохраненными данными и не потерять их в случае атаки.

Обнаружение

Найти шифровальщиков можно, в том числе во время резервного копирования. Например, если у вас на 100% вырастает количество файлов между бэкапами, меняется объем бэкапа или резко падает уровень оптимизации резервных копий, вполне возможно, система заражена. 

Подобные аномальные активности могут быть зафиксированы с помощью Veritas NetBackup и Veritas Enterprise Data Services Platform (например, Aptare & DataInsight). Заказчик может счесть эти признаки ложноположительными, но у него будет дополнительный шанс обнаружить проникновение вируса раньше, чем он успеет распространиться более широко.

Восстановление

Когда не сработали меры по предотвращению атаки и не удалось вовремя обнаружить вирус, остается последний рубеж — восстановление данных. Если ваша СРК не может восстановить работоспособность ИТ-систем, значит, она построена неправильно. 

Технологии, позволяющие осуществить быстрое восстановление данных, — Instant Rollback, Continuous Data Protection, Instant Access (мгновенный доступ к ВМ из бэкап-копий), мгновенные снимки, Bare Metal Restore и Immutability. Например, Continuous Data Protection позволяет сократить допустимое время восстановления, а технологии Immutability гарантированно защищают СРК. Эти решения помогут быстрее восстановить данные после атаки, причем сделают это с минимальной потерей информации. При этом архитектуру для быстрого восстановления лучше готовить заранее, на этапе планирования правильной СРК. Расчеты должны включать в себя предполагаемый объем данных, пропускную способность интерфейсов, количество массивов (или использование гиперконвергенции в качестве приемника данных), а также учитывать степень критичности данных. Все это должно быть документировано, а в идеале — являться частью стратегии непрерывности бизнеса или плана по восстановлению (DRP, Disaster Recovery Plan).

Учитывая постоянно растущие объемы данных, нехватку скорости при использовании классических решений, а также не стоящие на месте технологии, мы начали предлагать заказчикам для данных уровня Business Critical и Mission Critical использовать резервирование на массивы с дисками SSD. Это позволяет как увеличить скорость резервирования и восстановления, так и обеспечить возможность запуска и комфортной работы резервных копий напрямую с таких массивов. Современное ПО резервного копирования умеет запускать без восстановления как виртуальные машины, так и СУБД. Широкое использование аппаратных снимков СХД также даст преимущество при атаке шифровальщиков. ПО резервного копирования позволит централизованно и практически моментально откатиться на незашифрованный снимок СХД, не тратя время на физическое копирование данных с одного массива на другой.