Масштабы ущерба, который программы-вымогатели могут нанести предприятиям, поражают. При этом, компании, которые считают, что у них нет выбора и придется платить киберпреступникам, ставят под угрозу не только свои деньги, но и свою репутацию. Как говорится в докладе Cybersecurity Ventures, общий размер ущерба от действий программ-вымогателей в 2021 году превысит 20 млрд. долл.
Лучшая защита от программ-вымогателей — это инструменты для предотвращения ущерба, однако, принимая во внимание существующий на сегодняшний день широчайший спектр угроз, это не всегда возможно. В том же исследовании Cybersecurity Ventures содержится прогноз, что в 2021 году каждые 11 секунд какая-либо компания будет становиться жертвой атаки программ-вымогателей. В конечном счете, под удар может попасть практически любая компьютерная система. Поэтому бизнес должен быть готов к работе в условиях непрерывных кибератак и иметь план на случай чрезвычайных ситуаций — если произойдет худшее.
Помочь компаниям восстановить зашифрованные злоумышленниками данные сможет наличие развитых средств аварийного восстановления и отдельно хранящихся резервных копий, к которым нет доступа через сеть. Однако с программами-вымогателями могут быть связаны самые разнообразные риски и потенциальные опасности, поэтому компаниям необходимо иметь план действий и мер, которые не допустят возможности использования резервных копий данных против них.
Спектр угроз постоянно расширяется
Сегодня атаки с использованием программ-вымогателей несут в себе все более широкий спектр угроз. Руководители служб безопасности обычно считают, что программы-вымогатели только шифруют данные. То есть вредоносное ПО получает доступ к конфиденциальным или критически важным данным и зашифровывает их. Цель этого сценария в том, чтобы компания заплатила выкуп в обмен на расшифровку файлов, т. е. за возможность снова их использовать. Как правило, это единственная угроза, которую рассматривают руководители служб безопасности. Однако возможны ситуации, когда злоумышленники не шифруют файлы, а загружают их куда-либо. В этом случае, компания-жертва готова заплатить выкуп, чтобы предотвратить публичную утечку предположительно конфиденциальной информации.
Маскировки одних атак под другие и разнообразие моделей поведения делают системную защиту от непрерывно расширяющегося многообразия угроз чрезвычайно сложной задачей. Золотое правило для организаций: необходимо четко понимать, какое поведение в рамках собственной ИТ-инфраструктуры считается нормальным и ожидаемым. Достичь этого можно либо путем постоянного мониторинга облачного хранилища и данных, либо через аналитику работы сетей, операционных систем и приложений. Более четкое понимание рамок нормального функционирования облегчает обнаружение вредоносной или подозрительной активности, что позволяет радикально уменьшить время реагирования.
Еще один важнейший компонент — правильное использование шифрования. Если вредоносные угрозы не «видят» ваши данные, им сложнее использовать их против вас. Согласно докладу «Privacy in the Internet Trends» от Duo, сейчас шифруется более 87% интернет-трафика, и этот показатель постоянно растет. Вместе с тем, нет аналогичных данных в отношении доли зашифрованных корпоративных данных. Специалисты Zscaler в своем исследовании «IoT in the Enterprise» пришли к выводу, что 91,5% трафика в корпоративных сетях IoT не шифруется с помощью SSL. Столь полярные результаты исследований позволяют предположить, что существует большой разрыв между использованием шифрования предприятиями и крупнейшими поставщиками веб-платформ и сервисов.
Являются ли резервные копии приоритетной целью для киберпреступников?
Радикально улучшить защиту предприятия от программ-вымогателей и внутренних угроз позволяет реализация близкого к реальному времени режима шифрования для резервных копий данных. В исследовании Veeam Cloud Data Management Report 2019 приводится информация, что более двух третей предприятий создают резервные копии своих данных. Это, разумеется, хорошо, но представьте на минуту, какие возможности для шантажа появятся у киберпреступника, получившего доступ к резервным копиям всей цифровой инфраструктуры организации.
Киберпреступники, использующие программы-вымогатели для шантажа предприятий, охотятся за информацией. Поэтому они теоретически могут найти все, что им нужно, в резервных копиях. Собственно носитель здесь не важен — это могут быть системные или сменные жесткие диски, ленточные устройства без подключения к сети или облачные резервные копии. Вне зависимости от того, какой из вариантов выбрала конкретная компания, хранилище резервных копий должно быть защищено с помощью использования сверхустойчивых носителей. В противном случае, есть вероятность, что пытаясь обеспечить устойчивость функционирования, предприятие само создаст для злоумышленника клад в виде плохо защищенных данных.
От некоторых угроз можно защититься, шифруя резервные копии на всех уровнях — начиная с дисковых ресурсов непосредственно на предприятии. Шифрование резервных копий всегда полезно, если данные покидают помещения предприятия, будь то физически на материальном носителе или путем передачи через интернет. Однако учитывая современную ситуацию с киберугрозами, шифрование следует производить как можно ближе к началу процесса резервного копирования. При этом самый эффективный путь — это обеспечение устойчивости собственно данных резервных копий.
Защита резервных копий
И это приводит нас к обсуждению понятия сверхустойчивого хранилища резервных данных — наиболее эффективного варианта хранилища, устойчивого к атакам программ-вымогателей. У предприятий есть несколько способов обеспечить уровень защиты, позволяющий гарантировать, что резервные копии не станут бэкдором для киберпреступников.
Первый — использовать не подключенные к сети ленточные устройства. Этот вид носителей очень хорошо защищен от похищения данных. Хотя магнитную ленту часто считают устаревшей и несовершенной технологией, она незаменима для обеспечения недорогого и при этом портативного, безопасного и надежного резервного копирования. Съемные жесткие диски обладают тем же преимуществом, что и ленточные носители: они подключаются к сети, только непосредственно в процессе записи или считывания информации. Поэтому их стоит использовать, если требуется максимально затруднить доступ к резервным данным для злоумышленников.
Опция неизменяемых бэкапов в облаке (то есть, режим блокирования объектов в S3-совместимом хранилище) означает, что резервные копии данных в облаке не смогут быть изменены (уничтожены) ни программами-вымогателями, ни вредоносными действиями администраторов, ни случайно по ошибке. Эта технологию предлагают сервис-провайдеры, а также ряд S3-совместимых хранилищ. Другой подход в защите данных подразумевает хранение резервных копий данных полностью за пределами инфраструктуры компании. Такой метод защиты данных может выполняться сервис-провайдером и защищает организации от программ-вымогателей, внутренних угроз и удаления в результате случайной ошибки.
Руководители служб безопасности вынуждены постоянно балансировать между защищенностью данных и удобством их использования. И хотя в рамках цифровой трансформации у предприятий есть множество направлений для инвестирования, защита от программ-вымогателей играет важнейшую роль в обеспечении непрерывности бизнеса. Отдельное хранение резервных копий без доступа к ним через сеть снижает риски от действий программ-вымогателей. А в сочетании с надлежащими решениями по обеспечению безопасности и обучением персонала, сверхустойчивые хранилища резервных копий дадут предприятиям уверенность, что у них есть уровень защиты, максимально доступный в условиях существующих киберугроз.