Oprogramowanie ransomware zostało Rozwój przemysłu w 2021 roku. Liczba ataków sięga dziesiątek tysięcy, z tysiącami ofiar i średnią wypłata 1,85 mln USD, według Sophos.
Moglibyśmy rozwodzić się nad danymi – które sektory są najbardziej zagrożone i w jakich krajach – ale głównym celem jest główny sposób, w jaki dostawcy pamięci masowych i kopii zapasowych radzą sobie z problemem, a mianowicie za pomocą migawek, które zwykle chętnie nazywają „niezmiennymi migawkami”.
Ale dlaczego niezmienne migawki? Gdzie pasują jako odpowiedź na mechanizm ataku ransomware? Którzy dostawcy zapewniają taką możliwość? A jakie są korzyści i potencjalne wady?
Fazy ataku ransomware i dlaczego migawki pasują
Istnieje kilka kluczowych faz ataku ransomware, a mianowicie początkowe wtargnięcie, okres rekonesansu w systemach ofiary, a następnie wykonanie szyfrowania i eksfiltracji danych. Potem przychodzą żądania okupu.
Migawki zapewniają klientom możliwość przywrócenia nieuszkodzonych kopii ich danych wykonanych przed wykonaniem kodu wprowadzonego przez atakującego. Teoretycznie od tego momentu mogą ignorować żądania okupu, oczyścić swoje systemy ze skutków włamań i kontynuować normalną działalność.
Migawki nie są kopiami zapasowymi, ponieważ nie są to tylko kopie danych. Są zapisem stanu i lokalizacji plików oraz bloków składających się na pliki w określonym czasie, do którego klient może się cofnąć. Ten zapis może zawierać więcej niż tylko zapis stanu, z metadane, usunięte dane, kopie nadrzędne itd., które muszą zostać zachowane.
Wszystkie migawki są niezmienne: co nowego?
Migawki i tak są niezmienne, ponieważ są zapis raz odczyt-wiele (robak). Dostawcy pamięci masowej i kopii zapasowych dodali takie funkcje, jak szyfrowanie, mechanizmy blokujące przenoszenie lub montowanie migawek z zewnątrz, z uwierzytelnianiem wieloskładnikowym (MFA) wymaganym do zarządzania nimi.
Ponieważ nikt – nawet administratorzy, ale z pewnością nie oprogramowanie ransomware – nie ma możliwości dostępu do migawek ani ich przenoszenia lub usuwania, klienci powinni zawsze mieć dostęp do czystych kopii swoich danych po naruszeniu.
To kluczowa korzyść, z dodatkową korzyścią w porównaniu z kopiami zapasowymi, które migawki są zwykle przyjmowane znacznie częściej niż raz dziennie.
Migawki jako źródło przywracania: zalety i wady
Ale są też potencjalne wady. W przeszłości migawki nie były zachowywane przez długi czas, ponieważ zajmują przestrzeń dyskową. Z tego powodu okresy przechowywania migawek były często krótkie – około 48 godzin.
W przypadku odzyskiwania oprogramowania ransomware zwiększa się okres, w którym klienci muszą zachować niezmienne migawki.
Czas spędzony przez atakujących w systemach – „czas przebywania” – średnie 11 dni według Sophos oraz 24 dni według Mandiant. W tym okresie będą prowadzić rozpoznanie, przemieszczając się na boki między różnymi częściami sieci, zbierając dane uwierzytelniające, identyfikując wrażliwe i lukratywne dane, wydobywając dane i tak dalej.
Oznacza to, że okresy przechowywania migawek, a tym samym pojemność wymagana do ich przechowywania, będą się zwiększać. Dostawcy wiedzą o tym iw niektórych przypadkach ukierunkowali podsystemy pamięci masowej o pojemności masowej w tych przypadkach użycia.
Migawki i RPO
Trzeba też zadać pytanie, jaki to ma wpływ na cel punktu odzyskiwania (RPO)?
W końcu, jeśli atakujący przebywali w systemach przez tydzień lub dwa, dane przechowywane w migawkach przez cały ten okres mogą zostać naruszone, ponieważ zostały zarejestrowane bez uszkodzenia. Możliwe, że uda się usunąć ślady intruza, ale ostatnie całkowicie czyste kopie mogą stanowić punkt wyjścia z przeszłości.
W każdym razie nie zapominaj, że wszystkie migawki są niezmienne. Nowością jest to, że dostawcy stosują metody warstwowe, aby upewnić się, że nie można ich eksportować ani usuwać, aby ostatnia linia obrony klientów – a raczej przywracanie – nie została naruszona. Poniżej znajduje się wybór tego, co robią dostawcy.
Migawki Cohesity SpanFS są zachowywane w niezmiennym stanie i nigdy nie są dostępne do zamontowania przez system zewnętrzny. Ransomware nie może wpływać na niezmienną migawkę. Spójność pozwala na powstanie luki powietrznej, w której klienci mogą replikować dane do zewnętrznej chmury (zobacz także jego najnowszy plan w Fort Knox), inna fizyczna lokalizacja lub taśma. Uwierzytelnianie wieloskładnikowe służy do kontroli dostępu do chronionych kopii.
Safeguarded Copy firmy IBM jest dostępny w macierzach pamięci masowej all-flash. Automatycznie tworzy niezmienne migawki, które są izolowane i nie mogą być dostępne ani modyfikowane przez nieautoryzowanych użytkowników. Kopia zabezpieczona przechowuje do 15 000 niezmiennych kopii w określonym czasie, których nie można zapisać ani odczytać w aplikacji ani zmapować do hosta. Funkcja Safeguarded Copy może zostać zintegrowana z IBM Security QRadar, który monitoruje działania i szuka oznak, że atak może być w toku.
Panzura jest trochę inna, będąc chmura hybrydowa lub brama w chmurze-skoncentrowana operacja, a CloudFS ma nieco inne podejście. Rozpoznaje zmienione dane pliku, a wszelkie wynikowe zaszyfrowane pliki są zapisywane w magazynie obiektów jako nowe dane. Tak więc, jeśli plik jest zaszyfrowany przez oprogramowanie ransomware, użytkownicy mogą odzyskać stan sprzed infekcji, odwołując się do czystych istniejących danych za pomocą migawek.
Pure Storage umieszcza niezmienne migawki w Tryb bezpieczeństwa, z Protection Groups, które zapewniają konfigurowalne zasady migawek obejmujące częstotliwość tworzenia migawek, zasady przechowywania i możliwość wysyłania migawek do innych miejsc docelowych w celu odzyskania. Intruzi nie mogą ustawiać okresów przechowywania na zero ani usuwać migawek. Retencja może zostać zwiększona, ale nie może zostać zmniejszona, chyba że dwie autoryzowane osoby kontaktowe z kodami PIN skontaktują się z Pure Support.
Migawki i kopie zapasowe Rubrik są również zbudowane jako niezmienne, więc nie można ich zaszyfrować ani usunąć przez atak ransomware. Analiza wpływu jest również możliwa za pośrednictwem Rubrik, aby zidentyfikować, które dane zostały zaszyfrowane i dane wrażliwe, które mogły zostać ujawnione, z dostępem do chronionych danych poprzez uwierzytelnianie wieloskładnikowe.