Edwin Weijdema, Global Technologist, Veeam
Peste 236 de milioane de atacuri ransomware au fost înregistrate în prima jumătate a anului 2022, iar acestea cresc în volum și intensitate, afectând acum aproape toate domeniile de activitate. Fenomenul este determinat un număr în creștere de infractori ransomware și de eforturile lor din ce în ce mai îndrăznețe de a obține plăți mai mari pentru răscumpărarea datelor din partea organizațiilor vizate.
Deși multe organizații se grăbesc să plătească răscumpărarea atunci când sunt atacate, acest lucru nu oferă nicio garanție că își vor recupera datele. Potrivit raportului Veeam Ransomware Trends 2022, 52% dintre organizațiile ale căror date au fost criptate au plătit răscumpărarea și au reușit să își recupereze datele, însă una din patru organizații care au plătit nu le-a putut recupera. Prin urmare, răspunsul la dilema „a plăti sau nu” continuă să fie unul controversat. Dacă unii plătesc pentru a încerca să își reia activitatea rapid, alții, care au planificat luând în calcul acest scenariu inevitabil, își pot recupera datele fără să plătească.
Cu toate acestea, este necesar ca toate organizațiile să ajungă la un stadiu de siguranță denumit „no fear”, care presupune ca acestea să poată refuza plata în siguranță, știind că sistemul lor de backup al datelor este suficient de riguros pentru a se asigura că timpul de recuperare este redus, iar pierderea de date este zero.
Riscul de a spune „da”
Înainte ca organizațiile să ajungă la punctul „no fear” sau „fără teamă”, trebuie să parcurgă mai mulți pași, dar mai întâi trebuie să se gândească la motivele pentru care acceptă să plătească și să înțeleagă pericolul de a spune „da”.
Fără îndoială că organizațiile se tem și încearcă să evite o serie de consecințe negative. Riscul unei reputații afectate este important, la fel și îngrijorarea departamentelor de securitate legate de efectele negative asupra locurilor lor de muncă. Acest lucru motivează organizațiile să facă plăți, în speranța că incidentul nu va apărea în presă și că dezastrul va fi aplanat în privat.
În plus, metodele folosite de infractorii ransomware determină adesea organizațiile să creadă că nu au de ales. Atacatorii vizează backup-urile, lăsând organizațiile într-o poziție dificilă: chiar dacă și-au salvat datele, inclusiv backup-urile au fost vizate de atac. Dacă ne uităm în mintea unui infractor de ransomware, putem înțelege de ce ar viza copiile de rezervă – la urma urmei, datele cele mai valoroase, sensibile și critice pentru afaceri sunt cele care sunt prioritizate în procesul de backup, astfel încât atacatorii știu că ceea ce obțin este crucial pentru funcționarea afacerii, spre deosebire de datele de care organizațiile se pot lipsi.
Din nefericire, după cum știm deja, plata răscumpărării nu înseamnă că datele vor fi recuperate cu succes și cazul va fi închis. De fapt, în multe cazuri, aceasta declanșează o reacție în lanț. Dacă este efectuată plata răscumpărării, atacatorii înțeleg că organizațiile vor face tot ceea ce li se cere, iar acest lucru îi determină să le exploateze și mai mult. Doar 25% dintre organizații au suferit doar un singur atac. Infractorii cibernetici au revenit, lansând noi atacuri și cerând tot mai multe de la victimele lor. În această situație, companiile se confruntă cu un șantaj dublu sau triplu.
Șantajul dublu este cunoscut uneori sub numele de „name and shame extortion”, ceea ce demonstrează clar de ce un astfel de incident este o amenințare reală pentru organizații și de ce acestea plătesc în speranța de a o evita. Acest tip de atac ransomware presupune nu numai furtul și criptarea datelor, ci și diseminarea acestora. Atacatorii își vor șantaja țintele amenințându-le că vor dezvălui competiției, spre exemplu, datele furate.
Șantajul triplu adaugă și mai multă presiune la tactica celui dublu, amenințând, de asemenea, cu un atac DDoS (Distributed Denial-of-Service) dacă plata nu este efectuată la timp. Atunci când se întâmplă acest lucru, organizațiile se pot simți cu adevărat disperate: nu numai că le-au fost extrase și criptate datele, dar se confruntă și cu publicarea acestora, precum și cu întreruperea completă a activității lor, în cazul în care un atac DDoS se concretizează.
Din nefericire, de cele mai multe ori, acest lucru se întâmplă atunci când sunt acceptate cererile de răscumpărare, iar cea mai bună modalitate prin care organizațiile pot evita acest lucru este să se asigure că strategia de backup este suficient de puternică pentru a putea spune nu.
Construirea unui sistem de backup impenetrabil
Backup-ul reprezintă ultima linie de apărare împotriva atacurilor ransomware, dar nu acesta nu este de un singur tip sau de cea mai bună calitate. Nu este suficient ca o companie să aibă pur și simplu un backup. După cum am stabilit, acesta poate fi vizat de atacatori. Arhivele de backup au fost vizate în 94% dintre atacuri, iar aproape în 70% dintre incidentele cibernetice au fost afectate cel puțin câteva astfel de arhive.
Acest lucru înseamnă că organizațiile pot spune „nu” cererilor de ransomware doar dacă protejează datele care trebuie, în mod corect. Pentru a putea face acest lucru, este nevoie de rigurozitate atunci când vine vorba de secretizarea datelor. În zilele noastre, organizațiile dețin și continuă să producă o mulțime de date. Pare simplu, dar acest lucru provoacă provocări considerabile. În mod natural, atunci când companiile dețin o cantitate uriașă de date, este dificil ca ele să identifice care sunt seturile de date importante și unde se află acestea. Când vine vorba de consolidarea strategiei de protecție a datelor astfel încât să poată refuza cererile de plată a răscumpărărilor, organizațiile trebuie să se asigure că știu ce date dețin și care sunt acelea pentru care e important să facă backup.
Datele neclasificate sunt cele neetichetate sau neidentificabile, ceea ce îngreunează, de asemenea, atribuirea unui nivel de risc seturilor de date. Pentru a proteja datele critice, mai întâi trebuie identificate. În plus, etichetarea datelor cu prioritate ridicată este, de asemenea, o parte importantă a recuperării datelor. Adesea, organizațiile nu pot fi sigure care dintre seturile lor de date au fost accesate în cadrul unui atac, iar acesta este un alt motiv care le determină să plătească răscumpărarea, deoarece nu pot exclude posibilitatea ca datele critice să fi fost compromise, precum și faptul că nu pot localiza seturi specifice pentru a le recupera.
Pe lângă confirmarea faptului că datele sunt clasificate, este esențial ca organizațiile să urmeze regula de aur a backup-ului „3-2-1”, dar într-o manieră inedită.
Veeam a construit pe această regulă veche, care implică existența a trei copii ale fiecărui set de date, salvate pe cel puțin două tipuri de suporturi și cu una dintre copii stocată în afara companiei. Astfel, această regulă este acum „3-2-1-1-0”. În plus față de pașii obișnuiți, considerăm că alte câteva lucruri sunt obligatorii.
În primul rând, o copie a datelor de backup trebuie să fie găzduită offline, una trebuie să fie air-gapped sau imuabilă și, în general, trebuie să existe zero erori în etapa de testare. Poate să pară un aspect simplu, dar este adesea trecut cu vederea: copia de rezervă este utilă (în cazul unui atac sau în general) doar dacă este verificată pentru a confirma că nu există niciun fel de erori. În caz contrar, activitatea companiei nu va putea fi reluată conform planului. Acest lucru se realizează prin monitorizarea zilnică – copiile de backup nu trebuie păstrate în eventualitatea unei urgențe, ci trebuie văzute ca fiind organisme vii și având nevoie de o atenție constantă.
Acest lucru reflectă schimbări mai ample în atitudinea organizațiilor față de protecția datelor, precum și schimbarea cerințelor acestora. Raportul Veeam Data Protection Trends 2022 a analizat ce priorități au companiile în prezent și a constatat că eterogenitatea este crucială. Prin „eterogenitate” se înțelege o strategie de protecție a datelor optimizată pentru a proteja volumul de lucru modern, care este răspândit pe serverele din sediu și în cloud. Întrucât companiile adoptă din ce în ce mai des această strategie, ar trebui să se asigure, de asemenea, că aplică principiile acestei abordări pentru strategia lor de protecție a datelor.
Accentul pe capacitatea de recuperare
În zilele noastre, atacurile ransomware sau loc în mod inevitabil. Nu mai este o posibilitate, ci o chestiune de timp. Acest lucru înseamnă că, fie și în cazul unei strategii solide de backup, aceasta reprezintă doar jumătate din efort.
Cealaltă jumătate e legată de cât de pregătite sunt organizațiile să-și optimizeze obiectivul de restaurare a datelor, cât și viteza de recuperare (RTO). Acesta este un proces care necesită mult timp. Companiile au nevoie în medie de 18 zile pentru a finaliza remedierea datelor, dar, pentru 15% dintre organizații, acest proces poate dura chiar și câteva luni (1 – 4 luni). Pe lângă faptul că necesită multă muncă, activitatea de afaceri este întreruptă în timpul acestei perioade. Pentru a evita acest lucru, este important ca organizațiile să se asigure din timp că dispun de infrastructura potrivită pentru o recuperare rapidă.
Din nou, recuperarea poate fi susținută de o abordare modernă a backup-ului datelor – existența unei copii la sediu și una în cloud oferă capacitatea de a recupera datele de pe ambele servere în același timp. Importantă este existența unei linii de apărare suplimentare, deoarece 40% dintre servere au suferit întreruperi neașteptate. Ținând cont de acest lucru și stabilind o strategie în consecință, organizațiile au mai multă putere de a refuza cererile de răscumpărare, știind cu siguranță că au la îndemână mai multe copii de rezervă.
Companiile tind să se bazeze pe recuperarea graduală a datelor, deoarece este considerată o opțiune mai economică. Însă, pe măsură ce costul atacurilor de tip ransomware crește, este indicată o abordare care vizează recuperarea la scară largă. Acest lucru presupune reproiectarea infrastructurii astfel încât să permită organizațiilor să recupereze rapid datele, pentru a putea reveni la activitatea obișnuită într-un interval de timp mult mai scurt de 18 zile.
