Recuperação pós-ransomware: 8 dicas para restauração com backups

De acordo com um relatório de pesquisa de ransomware divulgado em junho pela Keeper Security, 49% das empresas atingidas por ransomware pagaram o resgate - e outros 22% se recusaram a dizer se pagaram ou não. Parte do motivo é a falta de backups - especificamente, a falta de backups utilizáveis.

De acordo com um relatório de pesquisa de ransomware divulgado em junho pela Keeper Security, 49% das empresas atingidas por ransomware pagaram o resgate – e outros 22% se recusaram a dizer se pagaram ou não. Parte do motivo é a falta de backup – especificamente, a falta de backups utilizáveis.

Os backups devem estar protegidos contra malware, ser rápidos e fáceis de recuperar e incluir não apenas arquivos e bancos de dados importantes, mas também os principais aplicativos, configurações e toda a tecnologia necessária para dar suporte a todo um processo de negócios. Mais importante ainda, os backups devem ser bem testados.

Aqui estão oito etapas para garantir uma recuperação bem-sucedida do backup após um ataque de ransomware.

1 – Mantenha os backups isolados

De acordo com uma pesquisa da Veritas divulgada no outono passado, apenas 36% das empresas têm três ou mais cópias de seus dados, incluindo pelo menos uma fora do local de trabalho (off-site). Manter essa separação, chamada de “air gap” entre os backups e o ambiente de produção é fundamental para mantê-lo protegido contra ransomware – e outros desastres.

“Vemos alguns de nossos clientes que têm backups no local de trabalho ou na própria rede em que eles próprios executam, bem como os baseados em nuvem”, disse Jeff Palatt, vice-presidente de serviços de consultoria técnica da MoxFive, uma empresa de serviços de consultoria técnica. “Mas, idealmente, se alguém tiver os dois, eles não podem estar em cascateamento. Pois, se os arquivos criptografados forem gravados na solução de backup local e depois replicados para a nuvem, isso não fará nenhum bem.”

Algumas plataformas baseadas em nuvem incluem controle de versão como parte do produto sem custo adicional. Por exemplo, Office 365, Google Docs e sistemas de backup online como o iDrive mantêm todas as versões anteriores dos arquivos sem substituí-los. Mesmo se o ransomware atacar e os arquivos criptografados forem copiados, o processo de backup apenas adiciona uma nova versão corrompida do arquivo – não sobrescreve os backups mais antigos que já estão lá.

A tecnologia que salva backups incrementais contínuos de arquivos também significa que não há perda de dados quando ocorre o ransomware. Basta voltar para a última versão boa do arquivo antes do ataque.

2 – Use técnicas de armazenamento de gravação única

Outra maneira de proteger os backups é usar armazenamento que não pode ser sobrescrito. Use a tecnologia física de gravação única de várias leituras (write once read many – WORM) ou equivalentes virtuais que permitem que os dados sejam gravados, mas não alterados. Isso aumenta o custo dos backups, pois requer muito mais armazenamento. Algumas tecnologias de backup apenas salvam as alterações e atualizações dos arquivos ou usam outra tecnologia de desduplicação para evitar que haja várias cópias da mesma coisa no arquivo.

3 – Mantenha vários tipos de backups

De acordo com um relatório de pesquisa de ransomware divulgado em junho pela Keeper Security, 49% das empresas atingidas por ransomware pagaram o resgate - e outros 22% se recusaram a dizer se pagaram ou não. Parte do motivo é a falta de backups - especificamente, a falta de backups utilizáveis.

“Em muitos casos, as empresas não têm espaço de armazenamento ou recursos para manter backups por um longo período de tempo”, diz Palatt. “Em um caso, nosso cliente teve três dias de backups. Dois foram sobrescritos, mas o terceiro dia ainda estava disponível.” Se o ransomware tivesse atingido, digamos, um longo fim de semana de feriado, todos os três dias de backups poderiam ter sido destruídos. “De repente, você chega e todas as suas iterações foram sobrescritas porque tinham apenas três, ou quatro ou cinco dias.”

Palatt sugere que as empresas mantenham diferentes tipos de backups, como backups completos em uma programação de datas específicas combinada com backups incrementais em uma programação mais frequente.

4 – Proteja o catálogo de backup

Além de manter os próprios arquivos de backup protegidos contra invasores, as empresas também devem garantir a segurança de seus catálogos de dados (backup catalog). “A maioria dos ataques sofisticados de ransomware tem como alvo o catálogo de backup e não a mídia de backup real, as fitas ou discos de backup, como a maioria das pessoas pensa”, disse Amr Ahmed, líder de resiliência de serviço e infraestrutura da EY America.

Este catálogo contém todos os metadados para os backups, o índice, os códigos de barras das fitas, os caminhos completos para o conteúdo de dados em discos e assim por diante. “Sua mídia de backup ficará inutilizável sem o catálogo”, diz Ahmed. Restaurar sem um (backup catalog) seria extremamente difícil ou impraticável. As empresas precisam garantir que tenham uma solução de backup que inclua proteções para o catálogo de backup, mantendo-o também com a proteção de um “air-gap”, ou seja, fora da conexão de rede.

5 – Faça backup de tudo que precisa ser feito

Quando o Kodiak Island Borough, no Alasca, foi atingido por ransomware em 2016, o município tinha cerca de três dezenas de servidores e 45 PCs para funcionários. Todos tinahm backup, diz o supervisor de TI Paul VanDyke, que executou o esforço de recuperação. Todos os servidores foram restaurdados, ou seja, exceto um. “Perdi um servidor que tinha as avaliações dos valores das propriedades”, diz ele.

A demanda de resgate era pequena para os padrões de hoje, apenas meio Bitcoin, que na época valia $259. Ele pagou o resgate, mas só usou a chave de descriptografia naquele servidor, já que não confiava na integridade dos sistemas restaurados com a ajuda dos invasores. “Presumi que tudo estava sujo”, diz ele. Hoje, tudo é coberto pela tecnologia de backup.

Organizações maiores também têm problemas para garantir que tudo que precisa ser feito o backup seja realmente feito. De acordo com a pesquisa da Veritas, os profissionais de TI estimam que, em média, não conseguiriam recuperar 20% de seus dados em caso de perda total dos dados. Não ajuda o fato de muitas empresas, senão todas as empresas, terem problemas com a shadow IT.

“As pessoas estão tentando fazer seu trabalho da maneira mais conveniente e eficiente possível”, disse Randy Watkins, CTO da Critical Start. “Muitas vezes, isso significa passar despercebido, fora das regras de segurança e fazendo as coisas por conta própria.”

Há muito o que as empresas podem fazer para evitar perdas de informações críticas quando os dados estão armazenados e rodando em um servidor em um armário em qualquer lugar, especialmente se os dados forem usados ​​para processos internos. “Quando se trata de produção, geralmente o ataque de ransomware atinge o trabalho da empresa em algum lugar”, diz Watkins. “Sempre há um novo aplicativo ou um novo serviço de geração de receita.”

Nem todos os sistemas podem ser facilmente encontrados pela TI para que seja possível fazer o backup deles. Quando o ransomware é executado, de repente, as coisas não estão mais funcionando. Watkins recomenda que as empresas façam uma pesquisa completa de todos os seus sistemas e ativos. Isso geralmente envolve líderes de todas as funções, para que eles possam pedir a seu pessoal listas de todos os sistemas e dados críticos que precisam ser protegidos.

Frequentemente, as empresas descobrirão que há coisas estão armazenadas onde não deveriam, como dados de pagamento armazenados em laptops de funcionários. Como resultado, o projeto de backup frequentemente será executado simultaneamente com um projeto de prevenção de perda de dados, diz Watkins.

6 – Faça backup de todos os processos de negócios

O ransomware não afeta apenas os arquivos de dados. Os invasores sabem que quanto mais funções de negócios puderem encerrar, maior será a probabilidade de a empresa pagar um resgate. Desastres naturais, falhas de hardware e interrupções de rede também não discriminam.

Depois de serem atingidos por ransomware, o VanDyke do Kodiak Island teve que reconstruir todos os servidores e PCs, o que às vezes incluía baixar e reinstalar software e refazer todas as configurações. Como resultado, demorou uma semana para restaurar os servidores e outra semana para restaurar os PCs. Além disso, ele tinha apenas três servidores sobressalentes para fazer a recuperação, então havia muitas idas e vindas de um lado para outro, diz ele. Com mais servidores, o processo poderia ter sido mais rápido.

Um processo de negócios funciona como uma orquestra, diz Dave Burg, líder de segurança cibernética da EY Americas. “Você tem diferentes partes da orquestra fazendo sons diferentes e, se eles não estão em sequência, o que você ouve é ruído.”

Fazer backup apenas dos dados sem fazer backup de todo o sistema, incluindo os softwares, componentes, dependências, configurações, configurações de rede, ferramentas de monitoramento e segurança e tudo o mais que é necessário para um processo de negócios funcionar pode tornar a recuperação extremamente desafiadora. Muitas vezes, as empresas subestimam esse desafio.

“Há uma falta de compreensão da infraestrutura de tecnologia e das interconexões”, diz Burg. “Uma compreensão insuficiente de como a tecnologia realmente funciona para viabilizar os negócios.”

Os maiores desafios de recuperação de infraestrutura após um ataque de ransomware geralmente envolvem a reconstrução do Active Directory e a reconstrução da capacidade do banco de dados de gerenciamento de configuração, diz Burg. Antes, se uma empresa quisesse um backup completo de seus sistemas, não apenas de dados, ela criaria uma cópia funcional de toda a infraestrutura, um local de recuperação de desastres. Obviamente, isso dobrou os custos de infraestrutura, tornando-o proibitivo para muitas empresas.

Hoje, a infraestrutura em nuvem pode ser usada para criar data centers de backup virtuais, um que custa dinheiro apenas enquanto está sendo usado. E se uma empresa já estiver na nuvem, configurar um backup em uma zona de disponibilidade diferente – ou uma nuvem diferente – é um processo ainda mais simples. “Essas arquiteturas hot swap baseadas em nuvem estão disponíveis, são econômicas, são seguras e prometem muito”, diz Burg.

7 – Use hot sites de recuperação de disastres e automação para acelerar a recuperação

De acordo com a Veritas, apenas 33% dos diretores de TI acham que podem se recuperar de um ataque de ransomware em cinco dias. “Conheço empresas que estão gastando muito dinheiro em fitas e as enviando para a Iron Mountain”, diz Watkins. “Eles não têm tempo para esperar uma hora para receber as fitas de volta e 17 dias para restaurá-las.”

Um hot site, que está disponível com a troca de uma chave, resolveria o problema do tempo de recuperação. Com a infraestrutura baseada em nuvem de hoje, não há razão para não ter uma.

“É um acéfalo”, diz Watkins. “Você pode ter um script que copia sua infraestrutura e a mantém em outra zona de disponibilidade ou outro provedor. Em seguida, tenha a automação pronta para funcionar para que você clique em reproduzir. Não há tempo de restauração, apenas 10 ou 15 minutos para ligá-la . Talvez um dia inteiro se você passar pelo teste.”

Por que não há mais empresas fazendo isso? Primeiro, há um custo substancial para a configuração inicial, diz Watkins. “Então, você precisa dessa experiência interna, dessa experiência em automação e em nuvem em geral”, diz ele. “Depois, há coisas importantes como controles de segurança que você precisa configurar com antecedência.”

Também existem sistemas legados que não podem ser transferidos para a nuvem. Watkins cita os controladores de óleo e gás como um exemplo de algo que não pode ser replicado na nuvem.

Para a maior parte, o custo inicial de configuração da infraestrutura de backup deve ser um ponto discutível, diz Watkins. “Seu custo para configurar a infraestrutura é muito menor do que pagar o ransomware e lidar com os danos à reputação.”

Para as empresas que lutam contra isso, uma abordagem poderia ser focar primeiro nos processos de negócios mais críticos, sugere Tanner Johnson, principal analista de segurança de dados da Omdia. “Você não quer comprar um bloqueio de um milhão de dólares para proteger um ativo de mil dólares”, diz ele. “Defina quais são suas jóias da coroa. Estabeleça uma hierarquia e prioridade para sua equipe de segurança.”

Existe uma barreira cultural para investir de forma proativa em segurança cibernética, admite Johnson. “Somos uma sociedade reacionária, mas a segurança cibernética finalmente está sendo vista pelo que é: um investimento. Um grama de prevenção vale um quilo de cura.”

8 – Teste, teste e teste novamente

De acordo com a Veritas, 39% das empresas testaram seu plano de recuperação de desastres pela última vez há mais de três meses – ou nunca o testaram. “Muitas pessoas estão abordando os backups do ponto de vista do backup, não do ponto de vista da recuperação”, disse Mike Golden, gerente sênior de entrega de serviços de infraestrutura em nuvem da Capgemini. “Você pode fazer backup o dia todo, mas se não testar sua restauração, você não testará sua recuperação de desastres, você está apenas se abrindo para problemas.”

É aqui que muitas empresas erram, diz Golden. “Eles recuam e vão embora e não estão testando.” Eles não sabem quanto tempo os backups levarão para baixar, por exemplo, porque não o testaram. “Você não sabe todas as pequenas coisas que podem dar errado até que aconteça”, diz ele.

Não é apenas a tecnologia que precisa ser testada, mas também o elemento humano. “As pessoas não sabem o que não sabem”, diz Golden. “Ou não há uma auditoria regular de seus processos para garantir que as pessoas estão aderindo às políticas.”

Quando se trata de pessoas que seguem os processos de backup exigidos e sabem o que precisam fazer em uma situação de recuperação de desastre, o mantra, diz Golden, deve ser “confie, mas verifique”.

Fonte: www.csoonline.com

Posts relacionados: Como age um ransomware e como evitá-lo / CISA – Nova ferramenta de auditoria de segurança de autoavaliação de ransomware e NIST – Draft do Framework de Segurança Cibernética para Gerenciamento de Riscos de Ransomware