Cum să îți protejezi backup-urile de atacurile ransomware sofisticate. Soluții care îți fac viața mai ușoară, dar și mai sigură

Atacurile ransomware au evoluat din simple tentative de blocare a accesului la date în campanii extrem de bine coordonate, ce vizează mai întâi și mai ales sistemele de backup, ultima ta linie de apărare.

Înainte de a cripta mediul de producție, atacatorii vizează backup-urile pentru a-ți bloca orice posibilitate de recuperare, crescând astfel șansele ca victimele să plătească răscumpărarea cerută.

Aceste atacuri sunt planificate meticulos pentru a anula orice apărare: atacatorii dezactivează agenții de backup, șterg snapshot-uri, modifică politicile de retenție, criptează volumele de backup (în special cele accesibile prin rețea) și exploatează vulnerabilități în platformele integrate de backup, scrie The Hacker News.

Prin urmare, un mediu de backup construit fără a ține cont de acest peisaj amenințător evolutiv este extrem de vulnerabil.

Greșeli comune care expun backup-urile

Lipsa unei separări clare între sistemele de producție și cele de backup este una dintre cele mai mari vulnerabilități.

Backup-urile locale sau snapshot-urile aflate în același mediu cu serverele de producție pot fi ușor descoperite, șterse sau criptate.

Lipsa izolării adecvate permite atacatorilor să se deplaseze lateral prin rețea, compromițând rapid întreaga infrastructură.

Metodele frecvente prin care atacatorii compromit backup-urile includ exploatarea Active Directory pentru escaladare de privilegii, preluarea gazdei virtuale prin vulnerabilități ale hypervisorului, atacuri asupra software-ului de backup pe Windows și exploatarea CVE-urilor cunoscute.

De asemenea, încrederea exclusivă într-un singur furnizor cloud pentru backup poate duce la pierderi totale, mai ales dacă infrastructura de backup și sistemele de producție sunt în același ecosistem. Astfel, cu credențiale furate, atacatorii pot compromite ambele simultan.

Strategia 3-2-1-1-0 pentru backup-uri rezistente

Regula clasică 3-2-1 (3 copii ale datelor, pe 2 medii diferite, cu 1 copie offsite) nu mai este suficientă. Noua strategie 3-2-1-1-0 recomandă:

3 copii ale datelor (1 producție + 2 backup-uri)

pe 2 medii diferite (ex: disc local și stocare cloud)

cu 1 copie offsite, izolată geografic

1 copie imuabilă (care nu poate fi modificată sau ștearsă)

0 erori – backup-urile trebuie testate și monitorizate constant

Pe lângă acestea, mediul de backup trebuie consolidat cu bune practici: rețele segmentate fără trafic inbound din internet, control strict al accesului cu roluri și autentificare multifactor (MFA), criptarea datelor la nivel de agent, sisteme păstrate actualizate și dispozitive protejate fizic.

Securizarea backup-urilor cloud

Pentru protecția în cloud este crucială segmentarea și izolarea completă față de mediul de producție. Backup-urile trebuie stocate într-un alt ecosistem cloud, cu autentificare separată, fără credențiale partajate. Astfel, un atac asupra mediului de producție nu afectează datele de backup.