Никогда такого не было, и вот опять… Я даже не буду называть никаких имен, и в каждый момент времени у читателя будет всплывать свой свежий пример перед глазами. Атака шифровальщика, дефейсинг сайта, таргетированная атака на АСУ ТП… Сегодняшняя ситуация осложняется еще и тем, что большое количество атак носит не коммерческий, а политический характер, лишая жертву возможности заплатить выкуп.
Оставляя за кадром технологии информационной безопасности, призванные противостоять атакующим вне зависимости от их целей, всегда есть вероятность того, что враг окажется сильнее. И в этот момент хорошо бы иметь дополнительный эшелон обороны, который позволит в приемлемые сроки восстановить ИТ инфраструктуру компании. Как правило, мы называем это резервными копиями :). Казалось бы, о чем тут можно говорить, все всё знают, но на практике приходится встречаться как минимум с двумя проблемами. По-прежнему в природе есть люди, которые пребывают в уверенности, что:
- Бэкап — это уже средство защиты, и в дополнительной защите не нуждается
- Наличие репликации данных (не важно, баз данных, или дисковых массивов) избавляет от необходимости резервного копирования.
Начну со второго пункта. Кажется, это более простое заблуждение, которое будем доказывать от противного. Первый контр-кейс- защита от логической ошибки. Удаленный файл, дропнутая таблица в базе данных любыми механизмами репликации с безукоризненным совершенством реплицируется на второй (третий и т.д.) инстанс, и вы остаетесь без данных. И если у вас нет резервной копии на некоторый момент в прошлом, то суудьба ваша выглядит довольно незавидно. Второй контр-кейс — защита от злоумышленника, причем неважно, внешнего или внутреннего. Получив доступ к master-системе, он может либо просто удалить (зашифровать, испортить) данные и дождаться репликации, либо легко получить доступ к slave-системам и сделать там то же самое.
Теперь первое заблуждение, победить которое, по моему собственному опыту, бывает не так просто.
Если посмотреть на отчет Veeam 2023 Global Report. Ransomware Trends, 93% хакерских атак включали в себя попытку добраться до резервных копий, и в трех случаях из четырех эта попытка была успешной.
Казалось бы, человечество придумало достаточно технологий для того, как защищать резервные копии (air-gapped, immutable, старые-добрые ленты, и т.д.), но нет…
Очевидно, эта проблема носит комплексный характер, в том числе из-за неочевидности того, в чьей зоне ответственности она находится. Но это точно не повод ей не заниматься.
Что делать — примерно понятно.
- Осознать наличие проблемы.
- Определить ответственность за ее решение.
- Начать ее решать, благо и методик и технологий на рынке уже достаточно. Для начала могу посоветовать посмотреть на сайт компании Continuity, где можно найти немало полезных документов на эту тему.
Главное — не делать вид, что проблемы нет. Всем мирного неба, в том числе и в вашей инфраструктуре.