Независимый аналитик Кристофер Тоцци рассказывает на портале Data Center Knowledge о мерах, которые вы можете предпринять помимо стандартных передовых практик, чтобы защитить свой дата-центр от атак ransomware.
Многие стратегии борьбы с ransomware, например регулярное резервное копирование, одинаковы независимо от того, где вы размещаете данные — в публичном облаке, в частном дата-центре или в локальном ЦОДе.
Однако компании, управляющие дата-центрами, могут применять некоторые специальные методы, которые позволяют снизить риск стать жертвой атак ransomware. Когда вы контролируете все аспекты своей инфраструктуры и хостинга, вы можете предпринять такие меры по снижению угроз ransomware, которые невозможны в иных случаях.
Основные стратегии снижения риска заражения ransomware
Прежде чем перейти к стратегиям защиты от вирусов-вымогателей, применимым в первую очередь к дата-центрам, давайте обсудим общие советы для сред любого типа. Стандартные лучшие практики включают:
- Резервное копирование данных. Если вы регулярно создаете резервные копии своих данных, то после атаки ransomware вы сможете восстановить их из резервной копии вместо того, чтобы платить выкуп.
- Мониторинг угроз. Постоянный мониторинг поможет вам обнаружить наличие вредоносных программ, которые злоумышленники используют для шифрования данных, что в некоторых случаях позволяет остановить атаку до того, как ваша информация будет заблокирована для получения выкупа.
- Обучение пользователей. Информирование сотрудников, клиентов, подрядчиков и других заинтересованных сторон о ransomware и связанных рисках снижает вероятность того, что кто-то попадется на удочку мошенников, которые развернут ransomware в вашей ИТ-среде.
- Минимизация области воздействия. Такие приемы, как закрытие ненужных сетевых портов, следование принципу наименьших привилегий и отключение излишних рабочих нагрузок, затрудняют проведение атак с использованием ransomware.
И опять же, все это можно делать где угодно, а не только в средах, размещенных в частных дата-центрах.
Противодействие ransomware в дата-центре
Однако если вы управляете собственным дата-центром (или используете колокейшн) для размещения рабочих нагрузок, вы можете принять дополнительные меры для защиты от ransomware — меры, которые было бы сложно или невозможно принять в большинстве других сред.
«Воздушный зазор». Во-первых, вы можете изолировать данные и рабочие нагрузки, создав «воздушный зазор» («air gap»). Под таким экранированием понимается полное отключение ресурсов от Интернета, что полностью предотвращает любые атаки, исходящие из внешней сети. Это особенно ценно в контексте защиты от вирусов-вымогателей, поскольку позволяет практически гарантировать, что резервные копии данных не будут доступны злоумышленникам, которые иногда пытаются их скомпрометировать, чтобы их жертвы не могли восстановить данные без уплаты выкупа.
В публичном облаке такая защита обычно невозможна, поскольку нет возможности отключить облачные ресурсы от Сети; лучшее, что можно сделать, — это разместить их в частных сетях, которые не имеют прямого доступа в Интернет, однако все равно могут быть подвержены атакам злоумышленников, которые уже присутствуют в вашей среде. Напротив, в частном дата-центре у вас есть полный контроль над инфраструктурой, и вы можете физически отключить данные от сети, если захотите.
Резервное копирование вне основной площадки. Частные дата-центры также упрощают поддержку резервного копирования за пределами предприятия, то есть создание резервных копий данных, которые хранятся в физическом месте, отдельном от того, где размещаются рабочие нагрузки. Такое резервное копирование обеспечивает еще одну линию защиты от вирусов-вымогателей, гарантируя, что у вас есть надежный набор информации, которую можно восстановить, даже если весь дата-центр подвергнется атаке.
Конечно, можно создавать резервные копии из публичного облака, загружая их в выбранное вами место, но вам придется полагаться на сеть для перемещения данных, что может занять много времени, если вам нужно переместить много данных. При наличии собственного дата-центра вы можете копировать данные непосредственно на носители, а затем физически перемещать их в нужное вам место.
Цифровой двойник. В контексте дата-центра цифровой двойник — это полная копия ИТ-среды. Цифровые двойники помогают защититься от рисков, связанных с вымогательством, предоставляя среду, на которую организации могут переключиться, чтобы сохранить непрерывность работы, если их основная среда будет скомпрометирована в результате атаки ransomware.
При желании цифровых двойников можно поддерживать в публичном облаке, но это, как правило, дороже и сложнее, поскольку в этом случае объем облачных ресурсов, за которые вы платите, по сути, удваивается. Кроме того, необходимо разработать план переключения с одной облачной среды на резервную, что может быть сложным из-за множества переменных (например, сетевых правил и политик IAM).
В дата-центре цифрового двойника можно поддерживать с меньшими затратами, например, используя старое оборудование для размещения среды двойника. Вам также не придется беспокоиться о корректировке таких конфигураций, как правила IAM, чтобы перенаправить запросы в резервную среду в случае атаки ransomware.
Физическая безопасность. Атаки ransomware, осуществляемые злоумышленниками-инсайдерами (например, сотрудниками), становятся все более опасными. Преимущество частных дата-центров заключается в том, что они дают организациям больший контроль над физической безопасностью, позволяя детально управлять тем, кто может получить доступ к инфраструктуре и данным внутри ЦОДа.
В публичном облаке тоже есть отличные средства контроля физической безопасности, но разница в том, что при его использовании вам приходится доверять физическую безопасность третьей стороне, которая не может гарантировать, что в ее помещениях нет инсайдеров-злоумышленников. В собственном дата-центре у вас есть все возможности для управления доступом к объекту, а также для мониторинга деятельности в качестве средства обнаружения рисков ransomware и других угроз.
Заключение
Было бы неправильно делать вывод о том, что дата-центры по своей природе менее подвержены атакам ransomware. Как и любые другие объекты, ЦОДы могут подвергаться атакам ransomware и часто подвергаются им. Однако операторы дата-центров могут принимать меры предосторожности против ransomware, которые не применимы в других типах сред. Благодаря этому компании, использующие дата-центры для размещения своих рабочих нагрузок, получают преимущество в борьбе с ransomware.