Zde

Milan LOUCKÝ
s p o l u p r a co v n í k r e d a kc e
Ransomware: řeší
cloudové zálohování
problém krádeží dat?
„Hitem“ posledních
měsíců v oblasti
škodlivého
softwaru je slůvko
ransomware. Jde o to,
že místo pracovní
obrazovky se
na monitoru zobrazí
informace o tom,
že obsah lokálních
disků a síťových
disků včetně NAS
je zakódován a pro
opětovné získání
dat je nutné zaplatit
částku – výpalné –
několika set až
desítek tisíc eur.
Pak mohou být data odkódována
a obsah paměťových médií uveden
do původního stavu. Pro zvýšení
dramatičnosti na obrazovce běží
časomíra, udávající, kolik času ještě
zbývá pro vyplacení výpalného. Od­
hady společnosti Trend Micro, jedné
z firem specializujících se na ochra­
nu dat, říkají, že denně dojde až
k 90 tisícům takových úspěšných
infiltrací. Navíc se dle informací
společnosti Trend Micro lze setkat
s požadavkem na vymáhání peněz
v bitcoinech, což ztěžuje dohleda­
54
Technologie
telnost útočníka. Času na řešení
problému není mnoho, řádově
hodiny. Cílem ataku vyděračů se
stávají výrobní podniky. Je nasnadě,
že výpadek výroby byť jen na něko­
lik minut stojí firmu neuvěřitelné
částky. Množí se ale i útoky na ne­
mocnice, a ač se to může zdát jakkoli
neetické, pro útočníky je tu vyšší
pravděpodobnost zájmu o vyplacení
výpalného. Skoro ve 100 procentech
případů je však chyba na straně
obsluhy, jde o selhání lidského
faktoru, i když podle Trend Micro až
90 procent útoků má dopředu jasný
cíl, konkrétní subjekt.
Přesto Trend Micro doporučuje
nic neplatit a obrátit se na specia­
lizovanou firmu, která poradí, co
dál. Sama tato společnost na svých
stránkách má k dispozici software,
který dokáže řešit některé druhy
kryptovacích útoků.
Vyplacením výpalného většinou
celá věc nekončí. Neexistuje totiž
žádná jistota, že:
■■ pachatel útoku skutečně „ode­
mkne“ pro firmu důležitá data,
■■ se celá věc nebude opakovat,
■■ jednou zašifrovaná data (která
se už dostala mimo firmu) nebudou
poskytnuta (za úplatu) jiné konku­
renční firmě.
sítě, které nedovolí číst obsah flash
disků, zamezí přístupu na webové
stránky, které s činnosti firmy ne­
mají nic společného. Velké nebezpe­
čí zavlečení viru představují řešení
typu BYOD (Bring Your Own Device,
tedy používání vlastních prostředků
uživatele v podnikových sítích).
Ochrana před ransomwarem stojí
především na předcházení stavům,
kdy (obecně jakémukoli) viru
znemožníte dostat se do vašeho
počítače, intranetu, firemní sítě. Na­
víc vás může zachránit zálohování,
kdy obnovení dat vás vrátí do doby,
kdy byla poslední záloha spuštěna.
Pokud je však zálohování provádě­
no na síťové disky, znamená to, že
vlastně prováděno není, protože
i takové zálohy mohou být virem
zašifrovány a tím pádem nejsou
k dispozici pro obnovu chodu firmy.
Proti ransomwaru není dostupná
žádná spolehlivá ochrana. Na ne­
dávno konané tiskové konferenci
společnosti Trend Micro bylo sděle­
no, že existuje spousta podvodných
webových stránek nesoucích zárod­
ky infiltrací. Střední doba životnosti
60 procent takových stránek je
maximálně jedna hodina a za tu
dobu jsou schopny útočníkům do­
dat dostatečné množství obětí.
Lze se chránit?
Ukázkový příběh
Prvním krokem k nezavlečení viru
je proto přesné dodržování firemní
politiky ochrany dat, spočívající
mimo jiné v nespouštění žádných
aplikací z neznámých webů, instala­
ci neznámých programů a ignoraci
e‑mailů od neznámých odesilatelů.
Většině takových akcí dokážou za­
bránit systémy pro ochranu firemní
Příklady napadení vyděračským
softwarem se množí i v České
republice. Například Armaturka
Krnov čelila napadení Cryptoloc­
kerem, jedním z nejznámějších
vyděračských virů. Armaturka gene­
ruje a uchovává velká množství dat
v oblasti výrobních informací. Má
vlastní podnikový informační sys­
tém řídící všechny klíčové procesy
spolu s rozsáhlou databází projek­
tové dokumentace. Využívá na 30
počítačů v doménové síti. Důležitá
data uživatelé ukládají do síťových
složek, které se každou hodinu
zálohují. K zálohování a obnově dat
společnost využívá cloudové řešení
Acronis Backup Cloud.
Jedna z obnov proběhla za drama­
tických okolností, kdy se prostřed­
nictvím počítače jednoho z uživatelů
dostal na všechny dostupné disky,
tedy i síťové složky, virus Cryptoloc­
ker. Ten zašifroval veškeré soubory
a tím firmě zničil životně důležitá
podniková data. Situace by mohla
mít pro firmu až likvidační násled­
ky, díky cloudovému zálohovacímu
systému však měla tato hrozivě
vypadající událost snadné řešení.
Administrátor záloh a správce
sítě vybrali z uložených duplicitních
záloh (data byla uložena současně
v lokálním úložišti a v cloudu) tu,
která měla být pro obnovení použi­
ta, a spustili proces obnovy. Za 3,5
hodiny byl celý server (cca 0,5 TB
dat) obnoven a provoz Armaturky
Krnov mohl pokračovat.
Model 3‑2‑1
Bojovat s ransomwarem není prak­
ticky možné, ale je možné předchá­
zet důsledkům jeho řádění. Pokud
přijmeme cloud jako společníka
a uvěříme tomu, že data jsou roz­
místěna různě v několika lokalitách,
takže není prakticky možné sestavit
z nich obraz originálních dat –
což je největší problém odpůrců
cloudových řešení –, pak dojdeme
k nejúčinnější metodě ochrany dat
dneška: modelu 3‑2‑1. To znamená,
že máme tři kopie na dvou různých
zařízeních, z nichž jedno se nachází
v geograficky oddělené struktuře,
která není fyzicky připojená do pri­
mární síťové infrastruktury.
Pro cloudová řešení dnes hovoří
stále výhodnější cena za uložená
data v důsledku zvyšující se na­
bídky úložného prostoru v cloudu
(nejsou výjimkou zálohovací řešení
s nabídkou neomezeného prostoru).
Důležitým faktorem je i zvyšující se
počet přenosných zařízení a vyšší
rizika vyplývající z jejich ztráty.
Účinnost ochrany roste i s frek­
vencí záloh. Výhodou je využití
imagingového zálohování, jež do­
káže vytvářet inkrementální zálohy
třeba v hodinových intervalech,
což byl i případ Armaturky. Tak lze
eliminovat ztrátu zašifrovaných
souborů, ale minimalizovat množ­
ství souborů, které nebyly zahrnuty
do poslední využitelné zálohy.
Důležité je i určení archivačních
oken. Čím častější je tvorba záloh,
tím lepší možnost obnovy, ale i vyš­
ší nároky na přenos dat v podniko­
vé síti. Primární tedy je, jak často se
bude zálohovat, ale i forma archi­
vace. Pokud by se prováděla vždy
celková archivace včetně aplikač­
ních programů, které lze opakovaně
instalovat (jsou‑li zakoupeny, není
Ochrana proti
Ransomwaru
Ochrana
před ransomwarem stojí
především
na předcházení stavům, kdy
viru znemožníte dostat
se do vašeho
počítače, intranetu, firemní
sítě. Navíc vás
může zachránit zálohování,
kdy obnovení dat vás
vrátí do doby,
kdy byla poslední záloha
spuštěna.
Černé můry našich firem
Společnost Acronis představila
výsledky lednového a únoro‑
vého průzkumu. Plyne z něho,
že v souvislosti se ztrátou
důležitých podnikových dat
se 77 % českých společností
nejvíce obává selhání techniky.
Na 90 % českých společností
spoléhá na svá on‑premise
řešení (taková, nad kterými
mají plnou kontrolu). S jejich
pomocí zálohují firemní data
typicky do lokálních úložišť.
Mnohé podniky zkoušely
úložiště typu Dropbox a Goo‑
gle Drive, aby zjistily, že slouží
spíše jen pro ukládání a sdílení
souborů než pro bezpečné
zálohování a obnovu kritic‑
kých dat.
Klíčová zjištění z lokálního
průzkumu:
◾◾České firmy a organizace se
v souvislosti se ztrátou dat
obávají selhání či poškození
svých PC, tabletů a chytrých
telefonů (77 %), krádeže
či ztráty zařízení (48 %),
neúmyslného smazání dat
(44 %) a napadení mal‑
warem (28 %).
◾◾Převládajícím impulzem
k pořízení specializovaného
moderní řízení červenec–srpen 2016
zálohovacího řešení je již
prožitá zkušenost se ztrá‑
tou dat (84 %), až daleko
za ní je vyhovění předpisům
(8 %), zdlouhavé manuální
zálohování (5 %) a nedosta‑
tek úložných kapacit (3 %).
◾◾ V současné době preferuje
lokální zálohovací řešení
91 % firemních zákazníků,
6 % upřednostňuje cloudové
a 3 % preferují obě stejně.
◾◾Za předpokladu srovnatelné
ceny by přes 50 % zákaz‑
níků zvažovalo přechod
na cloudové zálohování.
Zdroj: Acronis
◾◾Zálohujte: Automaticky: 3 kopie,
2 formáty, 1 záloha odstřižená
od sítě.
◾◾Záplaty: Minimalizujte možnost
exploitu nových zranitelností.
◾◾Vzdělávání uživatelů: Školení,
bezpečnostní politika, „simulace“
útoku…
◾◾Kontrola přístupu uživatelů,
aplikací…
◾◾Neplaťte výpalné: Ransomware
ze sítě zaplacením nezmizí,
mnohdy naopak!
◾◾Celkové vylepšení bezpečnosti:
Web/mail gateway, antimalware,
sandboxing, IDS/IPS…
Zdroj: Trend Micro
to problém), roste balík dat i čas
potřebný k archivaci.
Jako nejvhodnější se jeví provádě­
ní inkrementální výběrové archiva­
ce. Zde se napoprvé vytvoří celkový
obraz záloh a pak se zálohují už jen
přírůstky: soubory, které se od mi­
nulé archivace změnily nebo byly
vytvořeny. Zálohovací proces trvá
jen chvíli a zatěžuje podnikovou síť
jen minimálně.
Je však třeba počítat s tím, že
proces opětného obnovení dat
vzniklých inkrementální metodou
zálohování bude trvat déle, než
pokud by se prováděla vždy plná
záloha. Obnova se provádí z první
celé zálohy a následných záloh pří­
růstkových. Výhodou imagingového
zálohování je nezávislost na platfor­
mě a jde vlastně o ukládání bitové
kopie dat, takže při obnovení se
soubory bit po bitu sestaví tak, jak
existovaly před kolapsem. Tak lze
získat stoprocentní obraz dat, jaký
byl na počátku posledně provedené­
ho inkrementálního zálohování.
Pokud váš podnik tedy nechce
riskovat nucenou odstávku a vymá­
hání peněz za odemčení dat, určitě
nevynechejte v plánování rozpočtu
na ICT u vašeho podniku položku
zálohování. Příklad s dobrým kon­
cem je totiž ojedinělý. Mnohem více
jsou známy případy, kdy se firma
vyplatila. O těch se ale většinou
nehovoří nebo – ještě lépe – ani
hovořit nesmí. ◾
Technologie
55