WORM, ultima linie de apărare împotriva atacurilor ransomware
Se spune că fulgerul nu lovește de două ori în același loc. Amenințările de tip ransomware o fac însă și vă pot lăsa fără date. Uneori definitiv și irevocabil, alteori doar până când plătiți recompensa cerută. Însă, chiar și după ce o achitați, tot sunteți expuși riscurilor, pentru că nimeni nu vă dă garanția că vulnerabilitățile exploatate odată nu vor fi folosite din nou. Sau că nu a fost compromisă confidențialitatea datelor, caz în care sunteți pasibili și de o amendă GDPR, dacă evenimentul de securitate este descoperit.
Nici ransomware-ul nu mai e ce-a fost!
Pentru a înțelege cum puteți ajunge într-o astfel de situație critică, sunt necesare câteva actualizări.
Prima ar fi că hackerii și-au dat seama încă de acum câțiva ani că efectele atacurilor ransomware pot fi anulate rapid cu ajutorul backup-urilor. Orice companie care utilizează politica de backup 3-2-1 poate restaura o copie necompromisă a datelor și scapă astfel de amenințare. Politica prevede realizarea a trei copii ale datelor, pe două suporturi de stocare diferite și o copie a datelor offline, care este de preferat să fie păstrată în afara locatiei unde se afla sursa originală de date.
Ransomware-ul a fost și rămâne cel mai rentabil malware din istoria amenințărilor informatice iar hackerii nu pot renunța la o astfel de mină de aur. Așa că și-au rafinat atacurile țintind prioritar backup-urile!
Logica reorientării e clară – sunt compromise mai întâi datele salvate și după aceea este declanșat atacul propriu-zis care vizează datele de producție. Abia atunci sunt sunt criptate și/sau copiate datele de producție și emisă cererea de răscumpărare. Care este, mai nou, însoțită de amenințarea că, dacă nu este plătită recompensa solicitată, datele vor fi publicate pe site-uri de "public shaming".
Hackerii utilizează însă și metode mai subtile, vizând compromiterea datelor pe termen lung prin plasarea de fișiere malițioase pe mediile de stocare ale datelor de producție. Și, pentru că majoritatea soluțiilor de backup nu realizează o analiză detaliată a datelor pe care le copiază, toate copiile de siguranță făcute ulterior penetrării pot fi compromise. Astfel, atunci când este declanșat atacul și se încearcă restaurarea datelor din backup-urile existente, fișierul malițios se activează din nou și compromite iar datele.
O companie prinsă într-o astfel de capcană nu are șanse de scăpare fără să plătească recompensa. Doar dacă nu folosește...
WORM, o tehnologie străveche, dar de actualitate
Tehnologia WORM – Write Once Read Many – ține de epoca antică a industriei IT, primele ei forme de manifestare datând din era cartelelor perforate. Ulterior, în anii ’70, cartelele au fost înlocuite cu librăriile de benzi magnetice, care sunt încă la modă în rândul companiilor ce operează cu volume mari de date care trebuie arhivate pe termen lung.
În epoca modernă, când prețurile au scăzut, a venit rândul sistemelor de backup cu HDD-uri, iar în prezent se pregătesc de decolare soluțiile cloud-based. Ca, de exemplu, serviciile de stocare AWS S3 Object Lock.
Toate metodele menționate mai sus repectă două condiții de bază: sunt "air-gapped" – ceea ce însemna că suporturile de stocare sunt izolate, într-o formă sau alta, de mediile de producție (respectă ultima condiție din politica 3-2-1) – și sunt imutabile, adică datele odată scrise nu pot fi modificate, pe o perioadă determinată. De nimeni – nici chiar de administratorii IT cu drepturi privilegiate, categorie profesională vizată cu predilecție de hackeri.
Respectarea condiției "air-gapped" – fie că vorbim de benzi magnetice sau de servicii cloud de stocare – este necesară, dar nu și suficientă. Pe de o parte, pentru că așa cum am arătat, un atacator care a reușit să treacă de sistemele de securitate poate avea răbdare până când fișierul malițios infiltrat compromite toate backup-urile. Pe de alta, pentru că malware-ul are capacitatea de a se propaga poate afecta întreaga companie. De aceea, condiția de imutabilitate este esențială – ea garantează protecția datelor stocate împotriva oricărei modificări posibile, împiedicând ransomware-ul să le poată cripta prin suprascriere.
Pentru a asigura protecția, este necesar însă și ca soluția de backup WORM să folosească un sistem de versionare – pentru fiecare backup făcut soluția creează o nouă versiune, și nu adaugă incremental modificările survenite peste ceea ce există deja, copia fiind păstrată pe o anumită perioadă. Astfel, în cazul în care hackerii adoptă metoda de compromitere pe termen lung, vă puteți întoarce în timp până la versiunea care nu a fost afectată.
Implementarea unei soluții de tip WORM necesită competențe și experiență pe zona de backup. Trebuie să stabiliți ce categorii și volume de date critice trebuie copiate periodic, cu ce frecvență, ce parametri de restaurare trebuie respectați. În plus, ca să țineți costurile sub control, trebuie să identificați suportul de stocare al backup-urilor (benzi, HDD-uri sau medii cloud) adecvat nevoilor de business și perioada optimă de păstrare a versiunilor, pentru ca să economisiți spațiul de stocare. Trebuie să aveți și capacitatea să depistați momentul în care atacul ransomware a reușit să vă penetreze sistemele de securitate pentru ca să identificați rapid copia necompromisă care poate fi restaurată fără niciun risc. Nu în ultimul rând, trebuie să știți cum să armonizați soluția cu cerințele reglementărilor în vigoare, cum este cazul regulamentului GDPR.
Alegerile făcute trebuie sa țină cont de toate aceste condiții, astfel încât soluția să asigure nivelul de protecție dorit, dar să se și încadreze în bugetul disponibil.