facebook LinkedIN LinkedIN - follow
Cloud & Security , IT Security

Před ransomware je nutné chránit nejen vaše data, ale i zálohy

Rick Vanover


Ransomware zůstává významnou kyber­bez­peč­nost­ní hrozbou pro všechny typy organizací, protože ransom­wa­roví útočníci stále vyvíjejí nové metody. Jejich cílem už není pouze zašif­ro­vat data, aby donutili oběti zaplatit výkupné, ale zcela zlikvidovat schopnost organizace zotavit se z takového útoku.


K dosažení tohoto cíle nyní útočníci využívají nové přístupy – znesnadňují odhalení svých průniků a přidávají nové cíle, jako jsou zálohy dat, aby organizaci zcela ochromili. Organizace proto musí vyvinout robustní strategie zálohování dat, které umožňují rychlou a úplnou obnovu dat, a ověřené pohotovostní plány, které zajistí zmírnění potenciálních ransomwarových útoků.

Nové metody útočníků – šifrování menších částí

Jakmile ransomwarové skupiny najdou a využijí zranitelnost své oběti, musí získat a zašifrovat co největší množství dat, než spustí vydírání. Zašifrování dat ale trvá dlouho a čím déle je útočník v síti, tím větší je pravděpodobnost, že bude odhalen. Nová technika přerušovaného šifrování tento problém zmírňuje. I zašifrováním pouze části dat dostatečně malých na to, aby se vyhnuli odhalení, mohou útočníci způsobit, že bude soubor pro organizaci bez dešifrovacího klíče nepoužitelný. Dělají to tak, že zašifrují každých 12 nebo 18 bajtů dat a mění denní dobu své aktivity i množství zašifrovaných dat, takže se mohou vyhnout automatickým detekčním nástrojům a zůstat v síti déle.

Krádež zálohy

Jakmile útočníci zašifrují dostatek dat pro spuštění ransomwarového útoku, mohou zvýšit své šance na zaplacení tím, že zaútočí také na záložní úložiště organizace. Pravděpodobným cílem jsou zálohy uchovávané v otevřené síti nebo v síti se slabými přihlašovacími hesly a bez vícefaktorového ověřování. Pokud jsou například zálohy autorizovány primární doménou Active Directory, budou se útočníci snažit kompromitovat tuto doménu, aby získali přístup k zálohám i produkčním datům.

Zabezpečení dat v reakci na vývoj ransomwaru

I když taktiky ransomwaru se vyvíjejí, jak je vidět z výše uvedených příkladů, nejlepšími metodami kybernetické bezpečnosti zůstávají ty nejtradičnější - kvalitní správa záplat softwaru a vzdělávání v oblasti kybernetické hygieny. Obě strategie pomohou snížit riziko vystavení organizace ransomwaru, zejména v prostředí práce na dálku.

Silná strategie správy softwarových záplat omezuje zranitelnosti softwaru, které mohou útočníci využít k ransomwarovému útoku, a komplikuje útočníkům život ještě předtím, než se dostanou do systému. Rychle nasazené softwarové záplaty a aktualizace snižují pravděpodobnost, že útočníci budou schopni získat přístup k datům v síti. Ačkoli se tato taktika zdá být jednoduchá, často se jedná o oblast, kterou mohou organizace zlepšit.

Kromě toho je třeba zlepšit i kybernetické vzdělávání. Zaměstnanci jsou často nejslabším článkem, který umožní zahájení útoku. Každý v organizaci by měl být schopen rozpoznat běžné postupy infiltrace, jako jsou phishingové e-maily nebo taktiky sociálního inženýrství. Skutečností ale je, že i po zlepšení v těchto oblastech, bude k ransomwarovým útokům docházet i nadále.

S vývojem ransomwaru roste význam zejména strategie zálohování. Když se ale cílem stávají samotné zálohy, zkratkovitý přístup k zálohování už nestačí. Organizace musí důkladně vypracovat a naplánovat své strategie zálohování a ochrany dat. To znamená zavést strategii, která zohlední vyvíjející se taktiky a procvičí plánované kroky, které je třeba podniknout v případě ransomwarových nebo jiných kyberbezpečnostních incidentů. Jedině nácvik umožní identifikovat potenciální nedostatky v tomto plánu, seznámit zúčastněné strany s jejich rolemi a technologiemi, které mohou potřebovat používat, a zajistit, aby se pod stresem reakce na skutečný kyberútok tento scénář plán nečetl poprvé.

Silné strategie správy dat lze shrnout pomocí čísel 3-2-1-1-0, která znamenají: udržujte tři kopie důležitých dat; alespoň na dvou různých typech médií; přičemž alespoň jedna z těchto kopií musí být mimo pracoviště; včetně jedné zálohy dat, která je offline nebo neměnná, protože hackeři nemohou ohrozit to, k čemu se nemohou dostat. Při automatickém testování zálohování a ověření obnovitel­nos­ti dat by pak nemělo docházet k žádným chybám. Organizace by měly zavést plán pro více krizových situací, aby zajistily, že jejich data mohou být obnovena bez ohledu na ransomwarový útok.

Dokud budou útočníci nacházet způsoby, jak profitovat z ransomwaru a dalších útoků, není pochyb o tom, že se jejich taktiky budou nadále vyvíjet. A pokud jsou ransomwarové skupiny inovativní a přizpůsobivé, musí organizace dosáhnout toho samého. Kombinace důsledné základní kybernetické hygieny, vzdělávání zaměstnanců a promyšlené strategie správy a zálohování dat slouží jako nejsilnější obrana proti dynamickým kybernetickým útokům.

Rick Vanover Rick Vanover
Autor článku je Senior Director pro produk­to­vou strategii ve společnosti Veeam.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Ochrana dat a bezpečnost v éře DORA a NIS2

Klíčová role IBM Guardium a SIEM QRadar

Security AIS rostoucími nároky na ochranu citlivých dat a dodržování regulatorních požadavků se firmy stále více obrací k pokročilým nástrojům, které jim umožňují efektivně čelit výzvám moderního IT prostředí. Směrnice DORA a NIS2, které zdůrazňují operační odolnost a správu kybernetické bezpečnosti, stanovují jasné standardy pro ochranu dat a řízení přístupu. V tomto kontextu hrají zásadní roli řešení IBM Guardium a SIEM QRadar.