Pravidlo 3-2-1 na ochranu firmy před ransomwarem
Válka s ransomwarem je realitou. Během posledních let se tato forma útoku stala pro podniky skutečnou hrozbou.
Zaznamenali jsme rozsáhlé útoky, které způsobily, že se nadnárodní, a dokonce i státní organizace dostaly do situace, kdy byly zranitelné a neschopné pokračovat ve svém kriticky důležitém provozu. V roce 2017 ransomware WannaCry zastavil IT oddělení v nemocnicích po celé Evropě, když napadl více než 200 000 počítačů a demonstroval tak destruktivní potenciál ransomwaru.
WannaCry a Petya jsou zatím nejvýraznějšími ransomwarovými útoky a podle studie Europolu je tato forma kyberútoků stále na vzestupu. Organizace si musí tuto hrozbu uvědomit, podniknout kroky k obraně a být připraveni na nápravu. Jde o zásadní krok k zabránění neplánované a pravděpodobně neúčinné reakce později během ransomwarového incidentu. Silná, vícevrstvá obrana a strategie na ochranu před ransomwarem se skládá ze tří klíčových prvků: vzdělání, implementace a náprava. Kromě toho je pro ochranu kontinuity provozu v případě incidentu zásadní mimořádně odolný přístup k zálohování, záchraně a obnově dat.
Vzdělávání ve firmách
Z pohledu vzdělávání je nutné se zaměřit na dvě hlavní cílové skupiny, a to zaměstnance IT oddělení a ostatní uživatele v rámci organizace. Je důležité mít v hledáčku obě tyto skupiny, protože hrozby mohou začínat u obou těchto rolí.
Ransomware vstupuje do firmy zejména prostřednictvím protokolu RDP (Remote Desktop Protocol) nebo jiných mechanismů vzdáleného přístupu, phishingu a aktualizací softwaru. Jednoduše řečeno, ve většině případů se kybernetičtí útočníci nemusí ani příliš snažit, aby si přišli na velkou odměnu. Když si uvědomíme, že se jedná o tři hlavní mechanismy, velmi to pomůže při zaměření rozsahu, kam investovat největší úsilí pro získání odolnosti proti vektoru útoku.
Většina IT administrátorů používá RDP při své každodenní práci a mnoho RDP serverů je připojeno přímo k internetu. Skutečností je, že k internetu připojené RDP je nutné zastavit. Správci IT mohou být kreativní při vytváření speciálních IP adres, přesměrovávání RDP portů, ve složitosti hesel atd., ale data jasně hovoří o tom, že více než polovina ransomwaru přichází prostřednictvím RDP. To nám říká, že vystavení RDP serverů do internetu je v rozporu se strategií odolnosti proti ransomwaru, která myslí na budoucnost.
Dalším častým způsobem průniku jsou phishingové e-maily. Všichni už jsme viděli e-mail, který vypadal podezřele. Správné je takovou zprávu rovnou smazat. Nicméně ne každý uživatel řeší takovou situaci stejným způsobem. Existují ale populární nástroje na posouzení rizika úspěšného phishingového útoku na organizaci, jako jsou Gophish a KnowBe4, které společně s tréninkem, který zaměstnancům pomůže identifikovat phishingové e-maily nebo odkazy, mohou být účinným způsobem obrany první linie.
Třetí oblastí, která vstupuje do hry, je riziko zneužití zranitelností. Udržovat systémy v aktuálním stavu je prastarou odpovědností IT oddělení, která je dnes důležitější než kdy dříve. I když to není okouzlující úkol, může se rychle ukázat dobrou investicí, pokud by ransomwarový incident zneužil známou a opravenou chybu v zabezpečení. Nezapomeňte na nutnost aktualizovat kriticky důležité kategorie IT majetku jako jsou operační systémy, aplikace, databáze a firmwary zařízení. Řada kmenů ransomwaru, včetně WannaCry a Petya, byla založena na dříve odhalených chybách v zabezpečení, které byly od té doby opraveny.
Implementace a náprava
Ohroženy jsou dokonce i organizace, které dodržují osvědčené postupy, aby zabránily vystavení se riziku napadení ransomwarem. I když je vzdělávání kriticky důležitým krokem, organizace se musí připravit na nejhorší scénář. Pokud by měli IT oddělení a manažeři udělat jen jediný krok, mělo by jít o nějakou formu extrémně odolného úložiště záloh.
Ve společnosti Veeam prosazujeme jako obecnou strategii správy dat pravidlo 3-2-1, které doporučuje, aby existovaly alespoň tři kopie důležitých dat na alespoň dvou různých typech médií, přičemž alespoň jedna z těchto kopií by se měla nacházet mimo podnikovou síť. Nejlepší na tom je, že toto pravidlo nevyžaduje žádný konkrétní typ hardwaru a je dostatečně univerzální pro řešení téměř jakéhokoli scénáře selhání.
Ta poslední z kopií v rámci strategie 3-2-1 musí být mimořádně odolná. Tím máme na mysli dokonale zabezpečená, uložená off-line a neměnná. Existují různé typy médií, na kterých lze tuto kopii dat uložit extrémně odolným způsobem. Patří mezi ně pásková média, neměnné zálohy v S3 nebo S3 kompatibilním úložišti objektů, zabezpečená off-line média nebo řešení typu Software as a Service pro zálohování a obnovu po havárii (Disaster Recovery, DR).
I přes tyto školicí a implementační techniky musí být organizace stále připraveny napravit hrozbu, pokud by k nějaké došlo. Ve společnosti Veeam jednoduše doporučujeme neplatit výkupné. Jedinou možností je obnova dat. Organizace si navíc na moment, kdy bude hrozba zjištěna, musí naplánovat svoji reakci. V prvním kroku je třeba kontaktovat podporu. Zákazníci společnosti Veeam mají přístup ke speciálnímu týmu, který se řídí specifickými postupy a který je provede procesem obnovení dat v případě ransomwarového incidentu. Firmy by neměly vystavovat své zálohy riziku, protože jsou zásadní pro jejich schopnost obnovy.
Při katastrofách jakéhokoli typu se komunikace stává jedním z prvních problémů, které je třeba překonat. Organizace by si měla připravit plán, jak komunikovat se správnými osobami, které budou mimo dosah. Plán může zahrnovat skupinové textové seznamy, telefonní čísla nebo jiné mechanismy, které se běžně používají ke sladění komunikace napříč širším týmem. V tomto adresáři kontaktů by neměli chybět odborníci na bezpečnost, reakci na incidenty a správu identit – ať už interní, nebo externí.
Rovněž je potřeba se domluvit na rozhodovacích pravomocech. Ještě než dojde k incidentu, je nutné ve firmě rozhodnout, kdo v případě incidentu rozhodne o obnovení, nebo přechodu na zálohu. Jakmile bude učiněno rozhodnutí o obnovení, musí organizace před opětovným uvedením systémů do provozu provést další bezpečnostní kontroly. Rovněž je třeba učinit rozhodnutí, zdali je nejlepším postupem obnovení celého virtuálního počítače (Virtual Machine, VM), nebo zda má větší smysl obnova na úrovni souborů. A konečně, i samotný proces obnovy musí být bezpečný. Musí proběhnout kompletní antivirové a antimalwarové kontroly napříč všemi systémy a rovněž je třeba donutit uživatele, aby si po obnovení zadali nová hesla.
Hrozba ransomwaru je skutečná, ale se správnou přípravou mohou organizace zvýšit svoji odolnost proti incidentům pro minimalizaci rizika ztráty dat, finančních ztrát a poškození pověsti. Klíčem je vícevrstvý přístup. Vzdělávejte svoje IT týmy a zaměstnance, abyste minimalizovali riziko a maximalizovali prevenci. Implementujte však řešení, která zajistí, že budou data v bezpečí a zálohovaná. A konečně, buďte připraveni na nápravu datových systémů prostřednictvím úplného zálohování a funkcí na obnovu po havárii, pokud by vaše předchozí linie obrany selhaly.
Autor článku: Rick Vanover, Senior Director pro oblast produktové strategie, Veeam Software