Zde
Transkript
Zde
Milan LOUCKÝ s p o l u p r a co v n í k r e d a kc e Ransomware: řeší cloudové zálohování problém krádeží dat? „Hitem“ posledních měsíců v oblasti škodlivého softwaru je slůvko ransomware. Jde o to, že místo pracovní obrazovky se na monitoru zobrazí informace o tom, že obsah lokálních disků a síťových disků včetně NAS je zakódován a pro opětovné získání dat je nutné zaplatit částku – výpalné – několika set až desítek tisíc eur. Pak mohou být data odkódována a obsah paměťových médií uveden do původního stavu. Pro zvýšení dramatičnosti na obrazovce běží časomíra, udávající, kolik času ještě zbývá pro vyplacení výpalného. Od hady společnosti Trend Micro, jedné z firem specializujících se na ochra nu dat, říkají, že denně dojde až k 90 tisícům takových úspěšných infiltrací. Navíc se dle informací společnosti Trend Micro lze setkat s požadavkem na vymáhání peněz v bitcoinech, což ztěžuje dohleda 54 Technologie telnost útočníka. Času na řešení problému není mnoho, řádově hodiny. Cílem ataku vyděračů se stávají výrobní podniky. Je nasnadě, že výpadek výroby byť jen na něko lik minut stojí firmu neuvěřitelné částky. Množí se ale i útoky na ne mocnice, a ač se to může zdát jakkoli neetické, pro útočníky je tu vyšší pravděpodobnost zájmu o vyplacení výpalného. Skoro ve 100 procentech případů je však chyba na straně obsluhy, jde o selhání lidského faktoru, i když podle Trend Micro až 90 procent útoků má dopředu jasný cíl, konkrétní subjekt. Přesto Trend Micro doporučuje nic neplatit a obrátit se na specia lizovanou firmu, která poradí, co dál. Sama tato společnost na svých stránkách má k dispozici software, který dokáže řešit některé druhy kryptovacích útoků. Vyplacením výpalného většinou celá věc nekončí. Neexistuje totiž žádná jistota, že: ■■ pachatel útoku skutečně „ode mkne“ pro firmu důležitá data, ■■ se celá věc nebude opakovat, ■■ jednou zašifrovaná data (která se už dostala mimo firmu) nebudou poskytnuta (za úplatu) jiné konku renční firmě. sítě, které nedovolí číst obsah flash disků, zamezí přístupu na webové stránky, které s činnosti firmy ne mají nic společného. Velké nebezpe čí zavlečení viru představují řešení typu BYOD (Bring Your Own Device, tedy používání vlastních prostředků uživatele v podnikových sítích). Ochrana před ransomwarem stojí především na předcházení stavům, kdy (obecně jakémukoli) viru znemožníte dostat se do vašeho počítače, intranetu, firemní sítě. Na víc vás může zachránit zálohování, kdy obnovení dat vás vrátí do doby, kdy byla poslední záloha spuštěna. Pokud je však zálohování provádě no na síťové disky, znamená to, že vlastně prováděno není, protože i takové zálohy mohou být virem zašifrovány a tím pádem nejsou k dispozici pro obnovu chodu firmy. Proti ransomwaru není dostupná žádná spolehlivá ochrana. Na ne dávno konané tiskové konferenci společnosti Trend Micro bylo sděle no, že existuje spousta podvodných webových stránek nesoucích zárod ky infiltrací. Střední doba životnosti 60 procent takových stránek je maximálně jedna hodina a za tu dobu jsou schopny útočníkům do dat dostatečné množství obětí. Lze se chránit? Ukázkový příběh Prvním krokem k nezavlečení viru je proto přesné dodržování firemní politiky ochrany dat, spočívající mimo jiné v nespouštění žádných aplikací z neznámých webů, instala ci neznámých programů a ignoraci e‑mailů od neznámých odesilatelů. Většině takových akcí dokážou za bránit systémy pro ochranu firemní Příklady napadení vyděračským softwarem se množí i v České republice. Například Armaturka Krnov čelila napadení Cryptoloc kerem, jedním z nejznámějších vyděračských virů. Armaturka gene ruje a uchovává velká množství dat v oblasti výrobních informací. Má vlastní podnikový informační sys tém řídící všechny klíčové procesy spolu s rozsáhlou databází projek tové dokumentace. Využívá na 30 počítačů v doménové síti. Důležitá data uživatelé ukládají do síťových složek, které se každou hodinu zálohují. K zálohování a obnově dat společnost využívá cloudové řešení Acronis Backup Cloud. Jedna z obnov proběhla za drama tických okolností, kdy se prostřed nictvím počítače jednoho z uživatelů dostal na všechny dostupné disky, tedy i síťové složky, virus Cryptoloc ker. Ten zašifroval veškeré soubory a tím firmě zničil životně důležitá podniková data. Situace by mohla mít pro firmu až likvidační násled ky, díky cloudovému zálohovacímu systému však měla tato hrozivě vypadající událost snadné řešení. Administrátor záloh a správce sítě vybrali z uložených duplicitních záloh (data byla uložena současně v lokálním úložišti a v cloudu) tu, která měla být pro obnovení použi ta, a spustili proces obnovy. Za 3,5 hodiny byl celý server (cca 0,5 TB dat) obnoven a provoz Armaturky Krnov mohl pokračovat. Model 3‑2‑1 Bojovat s ransomwarem není prak ticky možné, ale je možné předchá zet důsledkům jeho řádění. Pokud přijmeme cloud jako společníka a uvěříme tomu, že data jsou roz místěna různě v několika lokalitách, takže není prakticky možné sestavit z nich obraz originálních dat – což je největší problém odpůrců cloudových řešení –, pak dojdeme k nejúčinnější metodě ochrany dat dneška: modelu 3‑2‑1. To znamená, že máme tři kopie na dvou různých zařízeních, z nichž jedno se nachází v geograficky oddělené struktuře, která není fyzicky připojená do pri mární síťové infrastruktury. Pro cloudová řešení dnes hovoří stále výhodnější cena za uložená data v důsledku zvyšující se na bídky úložného prostoru v cloudu (nejsou výjimkou zálohovací řešení s nabídkou neomezeného prostoru). Důležitým faktorem je i zvyšující se počet přenosných zařízení a vyšší rizika vyplývající z jejich ztráty. Účinnost ochrany roste i s frek vencí záloh. Výhodou je využití imagingového zálohování, jež do káže vytvářet inkrementální zálohy třeba v hodinových intervalech, což byl i případ Armaturky. Tak lze eliminovat ztrátu zašifrovaných souborů, ale minimalizovat množ ství souborů, které nebyly zahrnuty do poslední využitelné zálohy. Důležité je i určení archivačních oken. Čím častější je tvorba záloh, tím lepší možnost obnovy, ale i vyš ší nároky na přenos dat v podniko vé síti. Primární tedy je, jak často se bude zálohovat, ale i forma archi vace. Pokud by se prováděla vždy celková archivace včetně aplikač ních programů, které lze opakovaně instalovat (jsou‑li zakoupeny, není Ochrana proti Ransomwaru Ochrana před ransomwarem stojí především na předcházení stavům, kdy viru znemožníte dostat se do vašeho počítače, intranetu, firemní sítě. Navíc vás může zachránit zálohování, kdy obnovení dat vás vrátí do doby, kdy byla poslední záloha spuštěna. Černé můry našich firem Společnost Acronis představila výsledky lednového a únoro‑ vého průzkumu. Plyne z něho, že v souvislosti se ztrátou důležitých podnikových dat se 77 % českých společností nejvíce obává selhání techniky. Na 90 % českých společností spoléhá na svá on‑premise řešení (taková, nad kterými mají plnou kontrolu). S jejich pomocí zálohují firemní data typicky do lokálních úložišť. Mnohé podniky zkoušely úložiště typu Dropbox a Goo‑ gle Drive, aby zjistily, že slouží spíše jen pro ukládání a sdílení souborů než pro bezpečné zálohování a obnovu kritic‑ kých dat. Klíčová zjištění z lokálního průzkumu: ◾◾České firmy a organizace se v souvislosti se ztrátou dat obávají selhání či poškození svých PC, tabletů a chytrých telefonů (77 %), krádeže či ztráty zařízení (48 %), neúmyslného smazání dat (44 %) a napadení mal‑ warem (28 %). ◾◾Převládajícím impulzem k pořízení specializovaného moderní řízení červenec–srpen 2016 zálohovacího řešení je již prožitá zkušenost se ztrá‑ tou dat (84 %), až daleko za ní je vyhovění předpisům (8 %), zdlouhavé manuální zálohování (5 %) a nedosta‑ tek úložných kapacit (3 %). ◾◾ V současné době preferuje lokální zálohovací řešení 91 % firemních zákazníků, 6 % upřednostňuje cloudové a 3 % preferují obě stejně. ◾◾Za předpokladu srovnatelné ceny by přes 50 % zákaz‑ níků zvažovalo přechod na cloudové zálohování. Zdroj: Acronis ◾◾Zálohujte: Automaticky: 3 kopie, 2 formáty, 1 záloha odstřižená od sítě. ◾◾Záplaty: Minimalizujte možnost exploitu nových zranitelností. ◾◾Vzdělávání uživatelů: Školení, bezpečnostní politika, „simulace“ útoku… ◾◾Kontrola přístupu uživatelů, aplikací… ◾◾Neplaťte výpalné: Ransomware ze sítě zaplacením nezmizí, mnohdy naopak! ◾◾Celkové vylepšení bezpečnosti: Web/mail gateway, antimalware, sandboxing, IDS/IPS… Zdroj: Trend Micro to problém), roste balík dat i čas potřebný k archivaci. Jako nejvhodnější se jeví provádě ní inkrementální výběrové archiva ce. Zde se napoprvé vytvoří celkový obraz záloh a pak se zálohují už jen přírůstky: soubory, které se od mi nulé archivace změnily nebo byly vytvořeny. Zálohovací proces trvá jen chvíli a zatěžuje podnikovou síť jen minimálně. Je však třeba počítat s tím, že proces opětného obnovení dat vzniklých inkrementální metodou zálohování bude trvat déle, než pokud by se prováděla vždy plná záloha. Obnova se provádí z první celé zálohy a následných záloh pří růstkových. Výhodou imagingového zálohování je nezávislost na platfor mě a jde vlastně o ukládání bitové kopie dat, takže při obnovení se soubory bit po bitu sestaví tak, jak existovaly před kolapsem. Tak lze získat stoprocentní obraz dat, jaký byl na počátku posledně provedené ho inkrementálního zálohování. Pokud váš podnik tedy nechce riskovat nucenou odstávku a vymá hání peněz za odemčení dat, určitě nevynechejte v plánování rozpočtu na ICT u vašeho podniku položku zálohování. Příklad s dobrým kon cem je totiž ojedinělý. Mnohem více jsou známy případy, kdy se firma vyplatila. O těch se ale většinou nehovoří nebo – ještě lépe – ani hovořit nesmí. ◾ Technologie 55