Backup zapewnia wielowymiarowe bezpieczeństwo
- Producenci oprogramowania do backupu coraz częściej wyposażają je w mechanizmy zabezpieczające przed złośliwym kodem. Na ile klienci są zainteresowani takimi dodatkowymi funkcjami?
Zainteresowanie jest bardzo duże, gdyż problem jest istotny. W poważnych firmach backup traktowany jest jako ostatnia deska ratunku – ma wyprowadzić z kłopotów, gdy wszystko inne zawiedzie. W powszechnym przekonaniu kopia backupowa jest przydatna szczególnie do odzyskania danych, gdy te zostaną zaszyfrowane w wyniku ataku ransomware, ale rzeczywistość okazuje się bardziej skomplikowana. Zainstalowany w środowisku ofiary kod ransomware działa z pewnym opóźnieniem, czasami czeka na rozkazy z centrum C&C, szyfruje powoli, aby nie wzbudzać podejrzeń lub stara się zreplikować na inne komputery podłączone do tej samej sieci. Może okazać się, że przez ten czas backupowane będą już zaszyfrowane dane lub zainfekowane maszyny wirtualne. Dlatego rozwiązanie backupujące musi być „świadome” kontekstu związanego z atakami ransomware, mechanizmami ich prowadzenia, a dzięki temu wprowadzać skuteczniejszą ochronę.
- Jak od strony praktycznej odbywa się to w oprogramowaniu Veeam?
Mamy zaimplementowanych kilka mechanizmów, które skrupulatnie weryfikują odzyskiwane dane. Można zapytać, dlaczego w trakcie odzyskiwania, a nie backupowania? Gdybyśmy to robili podczas backupowania, w bardzo znacznym stopniu spowolniłoby to proces zabezpieczania danych, a w dużych środowiskach nie można sobie na to pozwolić. Dlatego założyliśmy, że skupienie się na odzyskiwanych danych będzie rozsądnym kompromisem. Ochrona jest dwustopniowa – po pierwsze, odpowiednimi mechanizmami dbamy o to, aby złośliwy kod ransomware nie miał możliwości zaszyfrowania danych w kopii backupowej, a po drugie, odtwarzane dane lub maszyny wirtualne są uruchamiane w środowisku testowym i weryfikowane oprogramowaniem antywirusowym, gdzie istnieje możliwość skorzystania z praktycznie dowolnego rozwiązania antymalware, także wbudowanego w Windows. Gdy zaobserwujemy infekcję, podejmowana jest próba neutralizacji złośliwego kodu, chociaż z reguły bezpieczniejsze jest sprawdzenie kopii backupowych sprzed kilku wcześniejszych dni i znalezienie czystej wersji, jeszcze sprzed infekcji.
- To jednak oznacza konieczność robienia wielu kopii, także historycznych, a więc zapewnienia możliwości spojrzenia daleko wstecz…
Tak, poprawnie stworzona polityka bezpieczeństwa powinna zakładać długoterminową retencję backupowanych danych. Aby zapewnić ich maksymalne bezpieczeństwo, zaleca się przechowywanie ich na wymiennych nośnikach, np. na taśmach, aby zmaksymalizować szansę odzyskania czystej kopii. Warto też korzystać z rozwiązania do monitorowania backupowanego środowiska, jakim jest np. oprogramowanie Veeam One. Jest ono w stanie zaobserwować różnego typu anomalie np. znaczący wzrost wykorzystania cykli procesora w urządzeniach końcowych, serwerach aplikacyjnych lub serwerach backupu, co mogłoby wskazywać na trwający proces szyfrowania przez ransomware lub działanie innego złośliwego kodu. Jest to działanie prewencyjne, niemniej równie ważne jak backup, który – jak wspomniałem – powinien stanowić ostatnią deskę ratunku.
Tomasz Krajewski – Senior Technical Sales Director w Veeam
#HowToBackup