Ransomware: пять вопросов, которые следует задать поставщику средств защиты данных

Традиционные методы защиты данных часто не обеспечивают эффективной киберустойчивости. Джим Макганн, вице-президент по стратегическому партнерству Index Engines, приводит на портале Network Computing пять вопросов, на которые необходимо получить ответы от поставщика средств защиты данных, чтобы смягчить последствия атак эволюционирующих разновидностей вымогательского ПО (ransomware).

Когда ирландская система здравоохранения (HSE) подверглась атаке с целью получения выкупа, 80% ее данных были повреждены и стали непригодными для использования. В июле город Колумбус подвергся атаке ransomware, которая нарушила работу различных муниципальных служб, и спустя несколько месяцев он все еще работает над восстановлением.

Атаки вымогательского ПО становятся все более частыми и приводят к беспрецедентному хаосу и финансовым трудностям. Немногие организации были настолько прозрачны после атак ransomware, но HSE и Columbus далеко не единственные жертвы.

После атак вымогательского ПО организации полагаются на свое решение по защите данных для скорейшего восстановления и возобновления работы бизнеса. Однако вместо того, чтобы обеспечить своевременное и уверенное восстановление, организациям приходится платить выкуп, и даже в этом случае только 4% получают все свои данные обратно (Sophos «States of Ransomware, 2022»).

Ограничения традиционных решений для защиты и хранения данных становятся очевидными. Они не в полной мере поддерживают киберустойчивость, несмотря на добавление «кибер-функций». Речь идет о таких часто легко интегрируемых функциях, как неизменяемость, изоляция, сканирование на вирусы и многофакторная аутентификация. Некоторые вендоры даже полагаются на маркетинговую шумиху, пытаясь позиционировать себя как поставщиков средств безопасности, но не предоставляют реальную ценность.

Ключевые вопросы о защите данных

Вот ключевые вопросы в отношении киберустойчивости, на которые должны дать ответы поставщики традиционных решений по защите данных:

1. Как выявляются атаки?

Поставщики решений для защиты данных часто полагаются на высокоуровневый анализ для обнаружения необычной активности в резервных копиях или моментальных снимках. Сюда входит пороговый анализ, выявление необычных изменений файлов или обнаружение изменений в степени сжатия, которые могут свидетельствовать о шифровании с помощью вируса-вымогателя.

Эти методы, по сути, представляют собой предположения, склонные к ложным срабатываниям. Для защиты от вымогателей важны детали. Использование передовых систем искусственного интеллекта для выявления закономерностей, свидетельствующих о кибератаках, обеспечивает бóльшую точность, снижает количество ложных срабатываний и предоставляет важные сведения о том, какие именно файлы и базы данных были затронуты, что способствует более интеллектуальному восстановлению.

2. Как сводится к минимуму потеря данных?

Организации регулярно делают снимки или резервные копии данных — от ежечасных до ежедневных. Восстановление моментального снимка или резервной копии после атаки приводит к перезаписи рабочих данных, часть которых могла быть повреждена вымогательским ПО, чистыми данными.

Если только 20% данных в резервной копии подверглись манипуляциям со стороны злоумышленников, восстановление полной резервной копии или моментального снимка приведет к перезаписи 80% данных, которые не нуждались в восстановлении. Среди них будет ценная бизнес-информация, которая может быть потеряна навсегда. Детальная криминалистическая оценка того, какие именно файлы были затронуты, очень важна для минимизации потери данных.

3. Нужно ли проверять базы данных на предмет повреждения вымогательским ПО?

Киберпреступники понимают, что базы данных являются основой многих предприятий, что делает их главной целью для вымогательства. Повредив эти базы данных, они могут заставить организации заплатить выкуп. Используя распространенные варианты, такие как программы-вымогатели, которые периодически шифруют данные, злоумышленники могут нарушить работу как пользовательских файлов, так и критически важных баз данных.

Хотя некоторые поставщики утверждают, что нет необходимости проверять целостность баз данных, аргументируя это тем, что поврежденные базы данных просто перестанут функционировать, это вводит в заблуждение и приводит к значительным последствиям после атаки. Регулярная проверка производственных баз данных, включая их содержимое и структуру, необходима для обеспечения устойчивости кибербезопасности и снижения потенциального ущерба.

4. Достаточно ли «умна» применяемая ИИ-система?

Понимание того, как обучается механизм ИИ, имеет решающее значение для оценки его эффективности. При работе с вымогательским ПО важно, чтобы ИИ был обучен на реальных вариантах вымогательского ПО и их воздействии на данные.

Если ИИ обучен искать только изменения пороговых значений или колебания степени сжатия, злоумышленники могут скорректировать свою тактику, чтобы обойти обнаружение. Многие современные алгоритмы шифрования не влияют на степень сжатия, а некоторые разновидности вымогательского ПО не вызывают пороговых предупреждений на основе метаданных.

Системы ИИ должны быть обучены реальному поведению вымогателей и постоянно обновляться с учетом новых вариантов, чтобы обеспечить точность и релевантность для поддержки интеллектуального восстановления.

5. Успеваете ли вы отслеживать новые варианты ransomware?

Вымогательское ПО быстро эволюционирует: злоумышленники внедряют новые алгоритмы шифрования и меняют способы повреждения файлов. Сигнатурное сканирование и другие методы, основанные на специфических признаках компрометации, не успевают за этими быстрыми изменениями.

Необходим автоматизированный подход, который постоянно тестирует новейшие варианты ransomware и обеспечивает выполнение соглашения об уровне обслуживания (SLA), гарантируя надежность и точность обнаружения повреждений данных в результате атак.

Требуйте надежной устойчивости

Организациям необходимо требовать реализации ИИ-механизмов обеспечения целостности данных, способных точно обнаруживать повреждения, вызванные кибератаками, проводить подробную криминалистическую экспертизу для минимизации потерь данных, регулярно проверять данные в состоянии покоя для обеспечения надежности, а также постоянно обновляться для отслеживания эволюционирующих вариантов вымогательского ПО.

Традиционные методы часто не способны обеспечить эффективную киберустойчивость. Откажитесь от «достаточно хороших методов» и внедрите интегрированное решение для хранения и защиты данных, которому можно доверять.