Sophos. Προστατεύστε τα αντίγραφα ασφαλείας δεδομένων σας από επιθέσεις και κλοπές
Η δημιουργία αντιγράφων ασφαλείας για διακομιστές, σταθμούς εργασίας και άλλες συσκευές αποτελεί βέλτιστη πρακτική και επιτακτική ανάγκη για μία σημερινή επιχείρηση, αλλά τα αντίγραφα ασφαλείας από μόνα τους δεν αποτελούν εγγύηση για την προστασία των δεδομένων και την επιχειρησιακή συνέχεια.
Την ώρα που η δημιουργία ενός αντιγράφου ασφαλείας, είτε πρόκειται για στιγμιότυπα δίσκων (disk images) είτε για αντίγραφα αρχείων, αποτελεί ουσιαστικά την αρχή ενός σχεδίου αποκατάστασης από καταστροφή, παράλληλα δεν παρέχει εγγυήσεις ότι μία εταιρεία μπορεί να προχωρήσει σε οποιαδήποτε ανάκτηση στην περίπτωση που το αντίγραφο ασφαλείας καταστραφεί. Μάλιστα, αυτό που δημιουργεί πρόσθετη ανησυχία είναι η κλοπή των εμπιστευτικών πληροφοριών και απόρρητων δεδομένων ενός οργανισμού, στην περίπτωση για παράδειγμα που κλαπεί το ίδιο το αντίγραφο ασφαλείας ή παραβιαστεί κατά κάποιο τρόπο από έναν εισβολέα.
Οι σημερινοί κυβερνοεγκληματίες είναι πολύ πιο πονηροί και αποτελεσματικοί από εκείνους των προηγούμενων γενεών. Στις αρχές της δεκαετίας του 2000, το αποτέλεσμα μίας κυβερνοεπίθεσης συχνά ήταν η κλοπή ή η καταστροφή αρχείων. Σήμερα, οι εισβολείς μπορούν να κλέψουν δεδομένα χωρίς μάλιστα τα θύματα να γνωρίζουν ότι έπεσαν θύματα κλοπής.
Λογαριασμοί cloud-φαντάσματα
Με τόσα πολλά δεδομένα σήμερα να αποθηκεύονται στο cloud, οι επιτιθέμενοι, αξιοποιώντας προηγμένες τεχνικές είναι πλέον σε θέση να ανακατευθύνουν τα αντίγραφα ασφαλείας ή τα παραδοσιακά αποθηκευμένα δεδομένα από τους βασισμένους στο cloud λογαριασμούς του ίδιου του θύματος σε αυτούς των ίδιων των εισβολέων. Επί της ουσίας, έχουμε οργανισμούς σήμερα που αποθηκεύουν τα δεδομένα τους στους διαδικτυακούς λογαριασμούς των εισβολέων τους, την ώρα που φαινομενικά τα θύματα έχουν την πεποίθηση ότι τα δεδομένα του αποθηκεύονται ασφαλώς στο δικό τους περιβάλλον cloud.
Ειδικά για τους οργανισμούς που αποθηκεύουν τα αντίγραφα ασφαλείας τους στο cloud, είναι απαραίτητο να διασφαλίσουν ότι τα αντίγραφα ασφαλείας αποθηκεύονται πράγματι στους δικούς τους λογαριασμούς και όχι σε κάποιον ανακατευθυνόμενο λογαριασμό. Είναι λοιπόν απαραίτητο οι επαγγελματίες που είναι υπεύθυνοι για την ασφάλεια τους να ελέγχουν περιοδικά ότι γίνεται σωστά η αποθήκευση. Χρησιμοποιώντας διαπιστευτήρια διαχειριστή συστημάτων που έχουν παραβιαστεί ή κλαπεί και παρακάμπτοντας τον έλεγχο ταυτότητας δύο ή πολλαπλών παραγόντων με τρόπο παρόμοιο με αυτόν που ακολούθησαν Ρωσικοί κρατικοί παράγοντες όπως περιγράφεται στο άρθρο του Sophos Naked Security «CISO warning: “Russian actions bypassed 2FA” – what happened and how to avoid it» οι κυβερνοεγκληματίες μπορούν να προχωρήσουν στην κατάληψη (hijack) ενός ή περισσοτέρων λογαριασμών σε έναν διακομιστή cloud αποκτώντας πρόσβαση σε εταιρικά αρχεία, συμπεριλαμβανομένων και των αντιγράφων ασφαλείας.
Προστατεύστε τα αντίγραφα ασφαλείας σας
Τα αντίγραφα ασφαλείας που δεν είναι κρυπτογραφημένα θα μπορούσαν να βρίσκονται σε κίνδυνο, καθώς οι επιτιθέμενοι ή οι εισβολείς θα μπορούσαν όχι μόνο να διαβάσουν τα δεδομένα στα αντίγραφα ασφαλείας αλλά ακόμα και να εισάγουν κακόβουλο λογισμικό στα αντίγραφα ασφαλείας ούτως ώστε όταν σε δεύτερη φάση παραβιαστούν οι διακομιστές του οργανισμού, το αντίγραφο ασφαλείας να επαναμολύνει τους διακομιστές κατά την διαδικασία αποκατάστασής τους.
Η ύπαρξη κρυπτογραφημένων αντιγράφων ασφαλείας δεν είναι μόνο μια βέλτιστη πρακτική για την κυβερνοασφάλεια αλλά ένας από τους δώδεκα (12) θεμελιώδεις ελέγχους ασφαλείας που η ασφαλιστική εταιρεία στον κυβερνοχώρο Marsh McLennan Agency αναφέρει ως τους πέντε κορυφαίους ελέγχους ασφαλείας που απαιτούνται ώστε ο οργανισμός να πληροί τις προϋποθέσεις για την ασφάλιση του. Τα κρυπτογραφημένα αντίγραφα ασφαλείας κατατάσσονται στην κορυφή της λίστας των προαπαιτούμενων και βασικών στοιχείων ελέγχου μαζί με τον έλεγχο ταυτότητας πολλαπλών παραγόντων, το endpoint detection & response, τη διαχείριση της προνομιακής πρόσβασης, το φιλτράρισμα μηνυμάτων ηλεκτρονικού ταχυδρομείου και την Διαδικτυακή ασφάλεια.
Τα προϊόντα αντιγράφων ασφαλείας που παρακολουθούν για ανωμαλίες στην πρόσβαση και μοτίβα δεδομένων, μπορούν να χρησιμοποιηθούν και για τον εντοπισμό πιθανού κακόβουλου λογισμικού στο σύστημα, συμπεριλαμβανομένων και των επιθέσεων με ransomware. Ενσωματώνοντας τα αντίγραφα ασφαλείας διακομιστή με το υπάρχον λογισμικό ασφάλειας πληροφοριών και διαχείρισης συμβάντων (SIEM) ή με τις εφαρμογές ενορχήστρωσης, αυτοματισμού και απόκρισης (SOAR) ασφαλείας θα μπορούσε να βοηθήσει την ομάδα ασφάλειας πληροφορικής σας να εντοπίσει ανωμαλίες στο σύστημα που θα μπορούσαν να λειτουργήσουν ως προειδοποίηση για κάποια ενδεχόμενη παραβίαση.
Οργανωθείτε για να αποτρέψετε μία επίθεση
Η δημιουργία μιας στρατηγικής δημιουργίας αντιγράφων ασφαλείας που ουσιαστικά προσδοκά ή προβλέπει την επίθεση, μπορεί να δώσει στον οργανισμό που δημιουργεί αντίγραφα ασφαλείας των δεδομένων του ένα πλεονέκτημα. Ας υποθέσουμε ότι οι διακομιστές για τους οποίους δημιουργούνται αντίγραφα ασφαλείας «τρέχουν» μία έκδοση των Windows, είτε πρόκειται για τα Windows Server, είτε πρόκειται για τα Windows 10 ή 11 στην περίπτωση των σταθμών εργασίας. Αν ο οργανισμός σας αποτελεί κατά πρώτο λόγο μία επιχείρηση με βασίζει τη λειτουργία της στα Windows, τότε ένα κατάλληλο σύστημα δημιουργίας αντιγράφων ασφαλείας καλό είναι να «τρέχει» Linux και το αντίγραφο ασφαλείας να αποθηκεύεται σε ένα σύστημα Linux που δεν συνδέεται με το εταιρικό δίκτυο.
Αν και αυτή η προσέγγιση δεν είναι πανάκεια, τουλάχιστον θα εξαλείψει ένα σημαντικό ποσοστό επιθέσεων που έχουν σχεδιαστεί για δίκτυα που βασίζονται στο λειτουργικό σύστημα Windows.
Η επιλογή του κατάλληλου περιβάλλοντος αποθήκευσης εκτός τοποθεσίας (off-site) μπορεί να έχει σημαντικό αντίκτυπο στον χρόνο που απαιτείται για την επαναφορά εντός αντιγράφου ασφαλείας. Αν επιλέξετε τελικώς να έχετε ένα backup σε «hot site» -μία τοποθεσία που αντικατοπτρίζει πλήρως και ακριβώς το υπάρχον εταιρικό δίκτυο ούτως ώστε στη περίπτωση που το κύριο δίκτυο αστοχήσει να υπάρχει ένα αντίγραφο ασφαλείας έτοιμο προς αποκατάσταση- τότε καλό είναι να βρίσκεται σε μεγάλη απόσταση (μεταξύ των δύο τοποθεσιών).
Όσον αφορά στη διαθεσιμότητα της υποδομής, να αναφέρουμε τη διαφορά ενός «cold site» (shell) και ενός hot site. Στην πρώτη περίπτωση έχουμε να κάνουμε με μία εγκατάσταση με παροχή ηλεκτρικής ενέργειας και κλιματισμό. Στην εγκατάσταση μπορεί να υπάρχει ένα υπολογιστικό σύστημα, ακριβώς όμοιο ακριβώς με αυτό στο κύριο κτίριο της επιχείρησης, το οποίο μπορεί και τίθεται άμεσα σε λειτουργία εφόσον κριθεί απαραίτητο. Ένα «hot site» από την άλλη είναι μία εγκατάσταση που υπάρχει ήδη προεγκατεστημένο το υπολογιστικό σύστημα και το οποίο είναι και ανά πάσα στιγμή έτοιμο να χρησιμοποιηθεί. Το συγκεκριμένο σύστημα διαθέτει τα πάντα, ενδεχομένως ακόμα και προσωπικό, και είναι έτοιμο να λειτουργήσει άμεσα σε περίπτωση έκτακτης ανάγκης. Για την ενεργοποίηση ενός hot site, αρκεί να φορτωθούν τα δεδομένα και τα αντίγραφα ασφάλειας του γενικού λογισμικού και των εφαρμογών, αντίγραφα που φυλάσσονται αποθηκευμένα, κατά κανόνα, σε διαφορετική τοποθεσία από εκείνη των συστημάτων για την κανονική λειτουργία του οργανισμού.
Μετά από έναν μεγάλο τυφώνα που έπληξε τη Φλόριντα στις αρχές της δεκαετίας του 2000, μία εταιρεία αναγκάστηκε να παραμείνει εκτός λειτουργίας για αρκετές εβδομάδες επειδή το «hot site» βρισκόταν λίγα μόλις μίλια μακριά. Οι πλημμύρες που προκλήθηκαν από τον τυφώνα όχι μόνο κατέστρεψαν το κύριο κέντρο δεδομένων της αλλά και τα αντίγραφα ασφαλείας που βρίσκονταν κοντά. Παρόμοια περιστατικά αναφέρθηκαν και μετά την επίθεση στους δίδυμους πύργους του Παγκόσμιου Κέντρου Εμπορίου. Ένα μεγάλο κέντρο δεδομένων βρισκόταν κάτω από τον έναν από τους δύο πύργους. Οι εταιρείες στους δίδυμους πύργους που χρησιμοποιούσαν το κέντρο δεδομένων ως «hot backup» όχι μόνο έχασαν τα πάντα στα γραφεία τους αλλά έχασαν και όλα τα αντίγραφα ασφαλείας τους όταν το κέντρο δεδομένων θάφτηκε κάτω από τόνους συντριμμιών.
Η καλύτερη επιλογή είναι να επιλέξετε μία τοποθεσία που βρίσκεται 150 χλμ. ή περισσότερα μακριά από την τοποθεσία των κυρίων συστημάτων του οργανισμού σας. Αν και υπάρχει χρόνος καθυστέρησης μεταξύ της εγγραφής δεδομένων σε έναν τοπικό δίσκο και της εγγραφής των ίδιων δεδομένων στο «hot backup», ο φυσικός διαχωρισμός και η απόσταση εξαλείφει την περίπτωση να υποστούν τα αντίγραφα ασφαλείας την ίδια καταστροφή που υπέστησαν τα κύρια συστήματα σας, όπως από μία πλημμύρα, από πυρκαγιά κ.ά. Σπάνια μια φυσική καταστροφή επηρεάζει εγκαταστάσεις που βρίσκονται σε απόσταση 150 χλμ. ή περισσότερων μεταξύ τους.
Η προστασία των αντιγράφων ασφαλείας από παραβιάσεις, υποκλοπές ή καταστροφές, φυσικές ή ανθρωπογενείς αποτελεί βασικό καθήκον της ομάδας κυβερνοασφάλειας ενός οργανισμού. Οι ομάδες ασφαλείας θα πρέπει να αυξήσουν τις προσπάθειές τους για να διασφαλίσουν ότι κάθε αντίγραφο ασφαλείας είναι προστατευμένο, ασφαλές, κρυπτογραφημένο και αποθηκευμένο σε πολλές τοποθεσίες, συμπεριλαμβανομένης τουλάχιστον μίας τοποθεσίας που είναι μακριά από τους κύριους διακομιστές.
Πηγή: Sophos