На пике интереса к WannaCry многие вспомнили про бекапы, как действенный механизм защиты от шифровальщиков, точнее от последствий их активности. А ведь еще год назад Gartner выпустил очень неплохой документ «Use These Five Backup and Recovery Best Practices to Protect Against Ransomware». Полный текст документа легко нагуглить, а для тех, кто не хочет читать 9 страниц английского текста, я приведу краткую выжимку со своими комментариями.
Текущая ситуация достаточно очевидна: количество вымогателей-шифровальщиков (ransomware) растет, иногда решения информационной безопасности позволяют предотвратить атаку, иногда – нет. Бекап не поможет предотвратить атаку, но поможет восстановить зашифрованные данные.
Шаг 1. Создайте единую команду кризисного управления.
По опыту тех компаний, которые подвергались успешным кибератакам – это действительно ключевой фактор успеха. Это должна быть единая команда, включающая в себя представителей от ИТ эксплуатации, информационной безопасности и т.п., обладающая достаточным уровнем полномочий, и способная оперативно принимать решения [АЧ].
Шаг 2. Обеспечьте резервное копирование рабочих станций.
Несмотря на кажущую очевидность этой рекомендации, количество компаний, которые этого не делают, поражает. Аргументы могут быть самые разные, от «наша политика запрещает локальное хранение критичной информации», до «у нас это в роадмапе на следующий год» [АЧ].
Шаг 3. Определите сетевые ресурсы, подверженные атакам шифровальщиков.
В эту категорию попадают как очевидные сетевые ресурсы, подключаемые по умолчанию пользователям при загрузке, так и менее очевидные, используемые в своей работе привилегированными пользователями.
Шаг 4. Уточните целевую точку восстановления (RPO) и частоту резервного копирования для ваших ресурсов.
«Стандартное» резервное копирование (например, каждой ночью) может не соответствовать ожиданиям бизнеса. Возможно, необходимо использовать новые технологии для увеличения частоты резервного копирования. Кроме того, крайне желательно, чтобы хотя бы одна резервная копия находилась за пределами основного ЦОД в состоянии offline.
Шаг 5. Настройте автоматические оповещения об аномалиях при резервном копировании.
Своевременное выявление таких аномалий, как резкое увеличение количества изменившихся файлов, или снижение эффективности дедупликации, поможет обнаружить деятельность шифровальщика на ранних этапах.
Итого, мы имеем лаконичный, но полезный чеклист. Если защита данных или непрерывность бизнеса находится в зоне вашей ответственности, уделите немного внимания вышеперечисленным вопросам.