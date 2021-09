Podle zprávy z průzkumu věnovanému ransomwaru vydané společností Keeper Security zaplatilo 49 % společností zasažených ransomwarem výkupné a dalších 22 % odmítlo říci, zda zaplatily, nebo ne. Mezi důvody patří nedostatky v zálohování – konkrétně nedostatečně použitelné zálohy.

Zálohy musí být v bezpečí před malwarem a musí být možné je rychle a snadno použít k obnově, a to nejen pro důležité soubory a databáze, ale také pro klíčové aplikace, konfigurace a veškeré technologie potřebné pro podporu kompletních firemních procesů. A co je nejdůležitější, zálohování by mělo být dobře otestované.

Zde je osm kroků k zajištění úspěšného obnovení ze záloh po útoku ransomwaru.

1. Udržujte zálohy v izolaci

Podle průzkumu společnosti Veritas vydaného minulý podzim má jen 36 % firem tři nebo více kopií svých dat, včetně alespoň jedné mimo lokalitu. Udržování „vzduchové mezery“ mezi zálohami a produkčním prostředím je rozhodující pro jejich udržení v bezpečí před ransomwarem a dalšími katastrofami.

„Někteří naši klienti používají svépomocí provozované zálohování ve vlastní infrastruktuře a také cloudové zálohování,“ popisuje Jeff Palatt, viceprezident poradenských služeb ve společnosti MoxFive.

„Pokud někdo používá obojí, je ideální, když nedochází ke kaskádě. Pokud dojde k zapsání zašifrovaných souborů do lokální zálohy a následně dojde k replikaci do cloudu, tak je to opravdu špatné.“

Některé cloudové platformy zahrnují verzování jako součást produktu bez dalších nákladů. Například Office 365, Dokumenty Google a on-line zálohovací systémy jako iDrive udržují všechny předchozí verze souborů bez jejich přepsání.

I když udeří ransomware a dojde k zazálohování zašifrovaných souborů, přidá zálohovací proces jen nové poškozené verze souborů, ale nepřepíše starší zálohy, které již existují.

Technologie, která ukládá kontinuální přírůstkové zálohy souborů, také znamená, že nedojde v případě útoku ransomwaru k žádné ztrátě dat. Prostě se vrátíte k poslední dobré verzi souboru před útokem.

2. Použití technologií umožňujících jen jeden zápis

Dalším způsobem, jak chránit zálohy, je použít úložiště, které nelze přepsat. Použijte buďto fyzickou technologii WORM (write-once-read-many) nebo virtuální ekvivalenty, které umožňují zápis dat, ale ne jejich přepisování.

Zvyšuje to však náklady na zálohování, protože to vyžaduje podstatně více místa pro ukládání. Některé technologie zálohování pouze ukládají změněné a aktualizované soubory nebo používají jinou deduplikační technologii, aby nedocházelo k ukládání více kopií stejného obsahu do archivu.

3. Používejte více typů záloh

„V mnoha případech nemají podniky dostatek úložného prostoru nebo schopnost uchovávat zálohy po dlouhou dobu,“ popisuje Palatt. „V jednom případě měl náš klient jen tři denní zálohy. Dvě byly přepsané, ale třetí byla stále použitelná.“

Kdyby ransomware udeřil během prodlouženého víkendu, byly by všechny tři denní zálohy zničeny. „Najednou přijdete a všechny vaše iterace jsou přepsané, protože máte zálohu jen za tři, čtyři nebo pět dní.“

Palatt doporučuje, aby firmy používaly různé typy záloh, jako jsou např. plné zálohy podle rozvrhu v kombinaci s přírůstkovými zálohami s častější periodou.

4. Chraňte katalog záloh

Kromě udržování samotných souborů záloh v bezpečí před útočníky by měly společnosti také zajistit, aby byly v bezpečí jejich datové katalogy.

„Většina sofistikovaných útoků ransomwaru se zaměřuje na katalog zálohování a nikoliv na skutečná zálohovací média, zálohovací pásky nebo disky, jak si většina lidí si myslí,“ prohlašuje Amr Ahmed, lídr společnosti EY pro infrastrukturu a odolnost služeb.

Tento katalog obsahuje všechna metadata pro zálohy, index, čárové kódy pásek, úplné cesty k datovému obsahu na discích a tak dále. „Bez tohoto katalogu by byla vaše média nepoužitelná,“ uvádí Ahmed.

Obnova bez jejich dostupnosti by bylo extrémně náročné nebo nepraktické. Podniky musí zajistit, aby používaly takové řešení zálohování, které obsahuje ochranu pro katalog záloh, například v podobě vzduchové mezery.

5. Zálohujte vše, co je potřeba zálohovat

Větší organizace mají také problém zajistit, aby se zálohovalo vše, co je potřeba zálohovat. Podle průzkumu společnosti Veritas odhadují IT profesionálové, že v případě úplné ztráty všeho nebudou moci obnovit v průměru 20 % svých dat. Problémem také je, že má mnoho společností stínové IT.

„Lidé se snaží dělat svou práci nejpohodlnějším a nejefektivnějším možným způsobem,“ popisuje Randy Watkins, technologický ředitel společnosti Critical Start. „Často to znamená fungování mimo dohled IT a tedy zajištění věcí svépomocí.“

Firmy prostě nemohou zabránit ztrátě, když kritická data leží na serveru schovaném ve skříni kdovíkde, zejména pokud se tato data používají jen pro interní procesy. „Pokud jde o produkční prostředí, obvykle se to ukáže na nějakém firemním radaru,“ uvádí Watkins. „Existuje nová aplikace nebo nová služba generující příjmy.“

Ne všechny systémy může personál IT snadno nalézt, aby je bylo možné zálohovat. Udeří ransomware a najednou něco nefunguje. Watkins doporučuje, aby společnosti dělaly důkladný průzkum všech svých systémů a aktiv. To obvykle musí zahrnovat vedoucí každé části firmy, kteří musí požádat svůj personál o seznam všech kritických systémů a dat, která je nutné chránit.

6. Zálohujte celé firemní procesy

Ransomware neovlivní jen datové soubory. Útočníci vědí, že čím více firemních funkcí dokáží vyřadit, tím pravděpodobněji jim společnost zaplatí výkupné. Přírodní katastrofy, selhání hardwaru a výpadky sítí také neberou ohledy.

Aby mohl firemní proces fungovat, musí docházet k zálohování nejen dat, ale také veškerého softwaru, komponent, závislostí, konfigurací, síťového nastavení, nástrojů pro monitorování a zabezpečení a všeho dalšího, což způsobuje vysokou náročnost procesu obnovy. Společnosti tuto výzvu příliš často podceňují.

Největší výzvy při obnově infrastruktury po útoku ransomwaru obvykle zahrnují přeinstalování služby Active Directory či databáze správy konfigurací.

Když v minulosti chtěla firma plnou zálohu svých systémů, nejen dat, znamenalo to vytvořit funkční duplikát celé její infrastruktury v lokalitě určené pro obnovu po havárii. To samozřejmě zdvojnásobilo náklady na infrastrukturu a pro mnoho firem bylo takové řešení cenově nedostupné.

V současné době lze využít cloudovou infrastrukturu k vytvoření virtuálních záložních datových center – takových, za které se platí jen v okamžiku jejich využití. A pokud je společnost již v cloudu, vytvoření zálohy v jiné zóně dostupnosti – nebo v jiném cloudu – je ještě jednodušší proces.

7. Horké kopie infrastruktury pro obnovení po havárii a automatizace pro urychlení

Podle společnosti Veritas jen třetina ředitelů IT věří, že by zvládli obnovu z útoku ransomwaru do pěti dnů. Problém s časem obnovení může vyřešit horká kopie infrastruktury (hot site) dostupná během okamžiku. V současné době, když je infrastruktura založená na cloudu, není žádný důvod takovou možnost nemít.

„Je to zcela jasné,“ prohlašuje Watkins. „Můžete použít skript, který kopíruje vaši infrastrukturu a vytvoří ji v jiné zóně dostupnosti nebo u zcela jiného poskytovatele. Potom použijete automatizaci a můžete jen stisknout tlačítko. Neexistuje žádný čas obnovy – zapnutí trvá pouhých 10 nebo 15 minut. Možná celý den, pokud budete chtít podstoupit testování.“

Proč to nedělá více společností? Za prvé existují významné náklady pro počáteční nastavení, vysvětluje Watkins. „Dále k tomu potřebujete vlastní odborný personál, znalosti automatizace a obecné znalosti cloudu,“ popisuje. „Potom zde jsou záležitosti jako bezpečnostní opatření, která musíte nakonfigurovat dopředu.“

8. Testujte, testujte a znovu testujte

Podle společnosti Veritas 39 % firem naposledy testovalo svůj plán obnovení po havárii před více než třemi měsíci, nebo dokonce vůbec nikdy.

„Zálohování chápe hodně lidí z perspektivy backupu, ale ne z perspektivy obnovy,“ prohlašuje Mike Golden, hlavní manažer dodávek služeb cloudové infrastruktury ve společnosti Capgemini. „Zálohovat můžete celý den, ale pokud neotestujete obnovu a, přivoláváte problémy.“

Toto je místo, kde hodně společností selhává, varuje Golden. „Udělají zálohy a odejdou, neotestují je.“ Nemají například představu, jak dlouho by trvalo stažení záloh, protože to netestovali. „Neznáte žádné podrobnosti, co všechno se může pokazit, dokud se to nestane,“ vysvětluje.