Jak zablokować infrastrukturę kopii zapasowych

85

Oprogramowanie ransomware atakujące infrastrukturę kopii zapasowych może narazić na ryzyko krytyczne repozytoria kopii zapasowych, a także ujawnić skarbnicę danych firmowych.

Oprogramowanie ransomware przeszło długą drogę od czasów uproszczonych ataków typu „szyfruj i zapłać”. Choć bardzo chciałbym, abyśmy mogli wrócić do walki z prostymi przestępcami, oprogramowanie ransomware niestety dojrzało w ostatnich latach. Atakujący zdali sobie sprawę, że choć szyfrowanie może być uciążliwe, to na wymuszeniach zarabia się prawdziwe pieniądze.

Nowoczesne oprogramowanie ransomware łączy szyfrowanie danych z bezczelną kradzieżą danych i zagrożeniami, które mogą ujawnić klejnoty koronne Twojej organizacji. To „oprogramowanie wymuszające 2.0”, jak go nazwałem, to oprogramowanie ransomware z dużą ilością bezpośredniego wymuszenia. Samo przywrócenie zaszyfrowanych danych już nie wystarczy, gdy Twoje wrażliwe tajemnice handlowe lub dane rujnujące reputację są już w rękach cyberprzestępców.

Smutna prawda jest taka, że ​​dla wielu ofiar zapłacenie okupu jest mniej szkodliwą opcją w porównaniu z wypuszczeniem poufnych danych na światło dzienne. Ale nie dajcie się zwieść: uleganie wymuszeniom tylko nasila dalsze przestępstwa, nie dając przy tym żadnej gwarancji, że Wasze dane są bezpieczne. Wysyłanie pieniędzy zagranicznym przestępcom może również stanowić naruszenie prawa federalnego. Tak czy inaczej jest to gra przegrana. Przyjrzyjmy się jednemu z największych trendów związanych z oprogramowaniem ransomware, który wpływa na operacje tworzenia kopii zapasowych i odzyskiwania, oraz temu, co możesz zrobić, aby go zatrzymać.

Ransonware atakuje infrastrukturę kopii zapasowych
Gangi zajmujące się oprogramowaniem wymuszającym zrozumiały, że solidne kopie zapasowe odbierają im przewagę. Dlatego właśnie obserwujemy niepokojącą tendencję, że oprogramowanie ransomware bezpośrednio atakuje infrastrukturę kopii zapasowych, aby albo usuwać repozytoria kopii zapasowych, albo masowo kraść kopie danych.

To najgorszy koszmar dla tych z nas, którzy zalecają kopie zapasowe jako narzędzie do odzyskiwania oprogramowania ransomware. Jeśli z gry zostanie usunięta ostatnia linia obrony, podważy to cały powód, dla którego zbudowaliśmy system. Jeśli hakerom uda się usunąć lub zaszyfrować kopie zapasowe lub sam system operacyjny serwera kopii zapasowych, znajdziesz się w sytuacji nie do pozazdroszczenia.

Współcześni hakerzy rozumieją zwrot z inwestycji i zasadniczo zamieniają Twoją obronę w słabość.

Więcej od autora
1 z 169

Wyłudzanie wrażliwych danych przynosi znacznie większe korzyści niż losowe szyfrowanie komputerów stacjonarnych, a firma odkryła, że ​​serwer kopii zapasowych to kopalnia złota danych. Poufne plany biznesowe, własność intelektualna, akta osobowe, dane klientów i wiadomości e-mail Twojej organizacji stanowią ogromną wartość w niepowołanych rękach. Potencjalne szkody wynikające z narażenia mogą przewyższyć nawet wygórowane żądania okupu. Wszystkie te dane są (miejmy nadzieję) przechowywane w systemie kopii zapasowych. Jak mówiłem: kopalnia złota.

Właśnie dlatego jakakolwiek strategia bezpieczeństwa jest całkowicie nieodpowiednia, jeśli nie obejmuje dodatkowych środków ostrożności związanych z ochroną klejnotów koronnych przechowywanych w systemie kopii zapasowych, ponieważ próba znalezienia właściwej ścieżki po ataku za pomocą oprogramowania wymuszającego sprawia, że ​​wybór między zarazą a cholerą wydaje się przyjemny. Nie ma dobrych opcji, gdy Twoje dane zostaną skradzione. Dlatego tak istotny jest powrót do podstaw i przede wszystkim zapobieganie zagrożeniom.

Zamuruj włazy
Środki bezpieczeństwa, które zamierzam zaproponować, mogą wymagać inwestycji w technologie, dodatkowego personelu i kosztów. Rozumiem. Ale pozwól, że cię zapytam – ile jest warta przyszła rentowność, przydatność i reputacja Twojej organizacji? Jak dużym niepowodzeniem jest wyciek projektu nowego produktu wartego miliardy dolarów do konkurencji? Zapewniam Cię, że żaden sąd nie uzna szyfrowania ani kradzieży danych za uzasadnioną wymówkę dla naruszenia przepisów dotyczących ujawniania informacji.

Blokuj ataki za pośrednictwem kont uprzywilejowanych
Pierwszą rzeczą do zrobienia jest ochrona uprzywilejowanych kont w systemie kopii zapasowych. Najpierw oddziel te konta od używanego scentralizowanego systemu logowania, takiego jak Active Directory, ponieważ czasami te systemy są zagrożone. Utwórz możliwie największą zaporę ogniową pomiędzy systemem produkcyjnym a systemem zapasowym. I oczywiście używaj bezpiecznego hasła i nie używaj żadnych haseł do kont, które są używane gdziekolwiek indziej. (Osobiście użyłbym menedżera haseł, aby wszędzie można było używać innego hasła). Na koniec upewnij się, że wszystkie takie loginy są chronione przez uwierzytelnianie wieloskładnikowe i użyj najlepszej dostępnej opcji. Unikaj korzystania z usługi MFA opartej na wiadomościach e-mail lub SMS-ach, ponieważ doświadczony haker może ją łatwo udaremnić. Spróbuj użyć jakiegoś systemu opartego na OTP, takiego jak Google Authenticator, Symantec VIP lub Yubikey.

Sprawdź także, czy Twój system tworzenia kopii zapasowych ma ulepszone uwierzytelnianie w przypadku niebezpiecznych działań, takich jak usuwanie kopii zapasowych przed planowanym wygaśnięciem lub przywracanie jakichkolwiek danych w innym miejscu niż to, w którym zostały pierwotnie utworzone. Pierwsza służy do łatwego usuwania kopii zapasowych z systemu kopii zapasowych bez wywoływania jakichkolwiek alarmów, a druga służy do wydobywania danych poprzez przywrócenie ich do systemu kontrolowanego przez hakera. Powszechną kontrolą jest tutaj użycie uwierzytelniania wieloosobowego, które wymaga uwierzytelnienia takich działań przez wiele osób. Chociaż może to spowolnić niektóre normalne operacje, jest to naprawdę dobra ochrona przed hakerami wykorzystującymi Twój system kopii zapasowych przeciwko Tobie. Podobnie jak w przypadku MFA, nie używaj SMS-ów ani e-maili jako narzędzia do takich działań, ponieważ haker mógł złamać zabezpieczenia obu systemów. (Właśnie to zrobił haker byłego klienta. Przejął kontrolę nad systemem poczty elektronicznej i wykorzystywał tę kontrolę do przechwytywania żądań MFA i uwierzytelniania się tyle razy, ile było to konieczne).

Blokuj ataki poprzez system plików
Mamy nadzieję, że wszyscy wiedzą, że mają co najmniej jedną kopię kopii zapasowych w niezmiennej pamięci masowej, a to dobry początek. Najlepsza jest kopia w chmurze znajdująca się poza siedzibą firmy, ponieważ haker nie ma możliwości usunięcia lub zaszyfrowania tych kopii zapasowych bez narażenia na szwank całej (dobrze sprawdzonej) infrastruktury dostawcy chmury. Dzięki temu będziesz mieć pewność, że będziesz mieć kopie zapasowe, gdy będziesz potrzebować ich przywrócenia po ataku ransomware.

Należy jednak również chronić te kopie zapasowe przed kradzieżą i wykorzystaniem do eksfiltracji. Czy włączyłeś szyfrowanie we wszystkich kopiach zapasowych? Jeśli nie, zrób to natychmiast. Zapobiegnie to ich bezpośredniemu wydobyciu i wykorzystaniu do eksfiltracji. Kolejną rzeczą, którą powinieneś zrobić, to zapytać dostawcę kopii zapasowych, czy istnieje sposób przechowywania kopii zapasowych w taki sposób, aby nie były widoczne dla systemu plików. Jeśli hakerzy nie będą w stanie przeszukać tych kopii zapasowych i ich skopiować, nie będą mogli wykorzystać ich do eksfiltracji.

Bądźcie tam bezpieczni, ludzie. Chroń swoje dane jak cenny towar. I proszę, zamknij te kopie zapasowe, zanim dotrą do nich złoczyńcy.

Komentarz