Sophos. Κατανοώντας τα αντίγραφα ασφαλείας δεδομένων
Υπάρχει ένα αξίωμα στην αγορά επιχειρησιακής συνέχειας σύμφωνα με το οποίο ένα αντίγραφο ασφαλείας από μόνο του δεν έχει καμία χρησιμότητα αλλά η επιτυχημένη ανάκτηση ενός αντιγράφου ασφαλείας είναι ανεκτίμητη. Είναι πάρα πολλοί οι οργανισμοί που έχουν υποφέρει από αντίγραφα ασφαλείας που είτε απέτυχαν να ανακτήσουν -ή να ανακτήσουν σωστά- είτε διαπίστωσαν ότι είχαν ήδη παραβιαστεί. Τα αποτυχημένα αντίγραφα ασφαλείας δεν έχουν καμία αξία από την άποψη της επιχειρησιακής συνέχειας.
Παρόλα αυτά, όταν τα αντίγραφα ασφαλείας ανακτώνται σωστά, είναι καθαρά από οποιοδήποτε κακόβουλο λογισμικό και είναι κρυπτογραφημένα, ούτως ώστε οι ομάδες ασφαλείας πληροφορικής (IT) να γνωρίζουν ότι δεν παραβιάστηκαν (μετά τη δημιουργία του backup) έχουμε να κάνουμε με το καλύτερο σενάριο για τους διαχειριστές IT.
Στην έκθεση «The State of Ransomware 2021» της Sophos, το 37% των ερωτηθέντων κατά μέσο όρο δήλωσε ότι ο οργανισμός τους δέχτηκε επίθεση από ransomware. Αν και το 96% των ερωτηθέντων δήλωσε ότι κατάφερε να λάβει πίσω τα δεδομένα του μετά την πληρωμή των λύτρων, μόνο το 65% των κρυπτογραφημένων δεδομένων που επηρεάστηκαν από την επίθεση κατέστη δυνατό να αποκατασταθούν. Τα παραπάνω στατιστικά στοιχεία υπογραμμίζουν πόσο σημαντικό είναι όχι μόνο να υπάρχουν ασφαλή αντίγραφα ασφαλείας, αλλά και πόσο σπουδαίο είναι τα αντίγραφα ασφαλείας να είναι προστατευμένα και αποθηκευμένα σε περισσότερες από μία φυσικές τοποθεσίες απευθείας συνδεδεμένες στο δίκτυο.
Τύποι αντιγράφων ασφαλείας
Υπάρχουν πέντε τύποι αντιγράφων ασφαλείας:
- Πλήρες file–based αντίγραφο ασφαλείας: Ένα πλήρες αντίγραφο ασφαλείας είναι η απλούστερη μορφή δημιουργίας αντιγράφων ασφαλείας καθώς εμπεριέχει όλους τους φακέλους και τα αρχεία που επιλέξατε να δημιουργηθούν αντίγραφα ασφαλείας. Ονομάζεται αντίγραφο ασφαλείας που βασίζεται στα αρχεία, επειδή δημιουργεί αντίγραφα ασφαλείας μόνο των ορατών αρχείων, κι όχι των κρυφών αρχείων ή των αρχείων συστήματος που συχνά παραμένουν αθέατα.
- Επαυξητικό ή Σταδιακό αντίγραφο ασφαλείας: Στο συγκεκριμένο αντίγραφο ασφαλείας περιλαμβάνονται μόνο αρχεία για τα οποία δεν δημιουργήθηκαν αντίγραφα ασφαλείας την τελευταία φορά. Κατά την επαναφορά των αντιγράφων ασφαλείας που δημιουργήθηκαν από επαυξητικά ή σταδιακά αντίγραφα ασφαλείας, πρέπει να επαναφέρετε κάθε σταδιακό αντίγραφο ασφαλείας με τη σειρά που δημιουργήθηκε, ξεκινώντας από το πλήρες αντίγραφο ασφαλείας.
- Διαφορικό αντίγραφο ασφαλείας: Τα διαφορικά αντίγραφα ασφαλείας περιλαμβάνουν μόνο δεδομένα που προστέθηκαν ή άλλαξαν από την πιο πρόσφατη πλήρη δημιουργία αντιγράφων ασφαλείας. Χρησιμοποιώντας αυτήν τη μέθοδο κατά την ανάκτηση, δεν χρειάζεται κάτι άλλο παρά μόνο να επαναφέρετε το αρχικό πλήρες αντίγραφο ασφαλείας και το πιο πρόσφατο επαυξητικό ή σταδιακό αντίγραφο ασφαλείας.
- Αντίγραφα ασφαλείας εικόνας συστήματος: Ένα αντίγραφο ασφαλείας εικόνας συστήματος περιλαμβάνει τα πάντα στη μονάδα αποθήκευσης, συμπεριλαμβανομένων τυχόν κρυφών αρχείων ή των αρχείων συστήματος. Μπορείτε να χρησιμοποιήσετε επαυξητικές ή διαφορικές εικόνες συστήματος για να συμπληρώσετε το πλήρες «image backup».
- Εργασίες αντιγραφής: Περιλαμβάνει μεμονωμένα αρχεία ή φακέλους που αντιγράφονται από τη μια τοποθεσία στην άλλη.
Συμβουλές για αποτελεσματικές επαναφορές αντιγράφων ασφαλείας
Δεδομένου ότι ο πραγματικός απώτερος σκοπός είναι η ανάκτηση του αντιγράφου ασφαλείας, είναι σημαντικό να εστιάσουμε σε αυτό που οδηγεί στις επιτυχημένες πολιτικές και διαδικασίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης ή επαναφοράς. Ακολουθούν ορισμένες συστάσεις ή συμβουλές που ενδέχεται να σας φανούν χρήσιμες.
- Σαρώστε και επικυρώστε: Η σάρωση μίας μονάδας δίσκου για κακόβουλο λογισμικό και άλλες πιθανές μολύνσεις ή παραβιάσεις προτού δημιουργηθεί το αντίγραφο ασφαλείας συμβάλλει στη μείωση της πιθανότητας να ανακτηθεί ή να επανέλθει μαζί και ένα πρόβλημα ή μία μόλυνση σε περίπτωση που η εν λόγω μονάδα έχει ήδη παραβιαστεί ή είναι ήδη μολυσμένη. Μόλις δημιουργηθεί το αντίγραφο ασφαλείας, τότε θα πρέπει να σαρωθεί για ακόμη μία φορά άμεσα ώστε να επικυρωθεί ότι είναι επιτυχές και ότι μπορείτε να προχωρήσετε με την ανάκτηση του. Το παραπάνω μειώνει σημαντικά τη πιθανότητα ύπαρξης μελλοντικά ενός μη έγκυρου ή κατεστραμμένου αντιγράφου ασφαλείας. Και αυτό πρέπει να γίνεται με τα κύρια (master backups) αντίγραφα ασφαλείας (πλήρη file-based back ups ή image backups) ή οποιαδήποτε επαυξητικά ή διαφορικά αντίγραφα ασφαλείας.
- Πολλαπλά αντίγραφα: Η καλύτερη πρακτική είναι να έχετε πολλαπλά αντίγραφα για κάθε αντίγραφο ασφαλείας – ένα άμεσα προσβάσιμο και ένα εκτός τοποθεσίας στο cloud. Για εξαιρετικά ευαίσθητα δεδομένα ή κρίσιμης σημασίας δεδομένα πνευματικής ιδιοκτησίας, μπορείτε να εξετάσετε το ενδεχόμενο να έχετε ένα φυσικό αντίγραφο αποθηκευμένο ξεχωριστά, όπως σε ένα vault. Τα πολλαπλά αντίγραφα παρέχουν πρόσθετη ασφάλεια σε περίπτωση που η κύρια τοποθεσία δημιουργίας αντιγράφων ασφαλείας σας καταστραφεί ή παραβιαστεί. Αν αποθηκεύετε φυσικά αντίγραφα εκτός τοποθεσίας, βεβαιωθείτε ότι για κάθε φυσικό δίσκο που διαθέτετε έχετε καταγράψει την ημερομηνία δημιουργίας του backup και ότι περιγράφετε με σαφήνεια τι βρίσκετε εντός του δίσκου.
- Κρυπτογραφημένα αντίγραφα ασφαλείας: Μια καλύτερη πρακτική είναι η κρυπτογράφηση όλων των αντιγράφων ασφαλείας.
- Αντίγραφα ασφαλείας με προστασία εγγραφής: Ορισμένοι επαγγελματίες ασφαλείας χρησιμοποιούν μία εφαρμογή που όχι μόνο κρυπτογραφεί τα δεδομένα, αλλά επιπλέον κλειδώνει το αντίγραφο ασφαλείας, ώστε να μην μπορεί να αποκρυπτογραφηθεί, να γίνει mount και στη συνέχεια να τροποποιηθεί. Αν και ορισμένοι επαγγελματίες του τομέα ασφάλειας IT προτιμούν να είναι σε θέση να σαρώνουν ένα αντίγραφο ασφαλείας περιοδικά ή να εγκαθιστούν ενημερώσεις κώδικα ασφαλείας σε ένα αντίγραφο ασφαλείας, κάποιοι άλλοι προτιμούν να διατηρούν τα αντίγραφα ασφαλείας άθικτα και να εφαρμόζουν ενημερώσεις κώδικα μόνο στην περίπτωση που το αντίγραφο ασφαλείας πρέπει να ανακτηθεί.
- Δοκιμάστε τα αντίγραφα ασφαλείας σας: Ακόμα κι αν δεν απαιτείται να ανακτήσετε ένα αντίγραφο ασφαλείας εξαιτίας κάποιας αστοχίας ή επίθεσης, η σωστή πρακτική είναι να επαναφέρετε ανά τακτά χρονικά διαστήματα το αντίγραφο ασφαλείας σε ένα εφεδρικό ή δοκιμαστικό μηχάνημα. Με αυτή τη πρακτική η ομάδα ασφαλείας έχει τη δυνατότητα να δοκιμάζει σε τακτικά διαστήματα τις πολιτικές και τις διαδικασίες αποκατάστασης. Σε περίπτωση αλλαγής λογισμικού ή της πρόσληψης νέων υπαλλήλων ή στελεχών, τέτοιες επιτόπιες ασκήσεις βοηθούν στη διασφάλιση της τεχνογνωσίας του προσωπικού.
Ο καλύτερος προγραμματισμός δημιουργίας αντιγράφων ασφαλείας
Μία από τις πιο δημοφιλείς στρατηγικές δημιουργίας αντιγράφων ασφαλείας ονομάζεται Grandfather Father Son Backup. Πιο συγκεκριμένα, αποτελείται από ένα πλήρες αντίγραφο ασφαλείας που λαμβάνεται μία φορά το μήνα και που ονομάζεται «Grandfather», από ένα διαφορικό αντίγραφο ασφαλείας με την ονομασία «Father» το οποίο λαμβάνεται μία φορά την εβδομάδα και το αντίγραφο ασφαλείας «Son» που αποτελεί ένα επαυξητικό ή σταδιακό αντίγραφο ασφαλείας που λαμβάνεται ημερησίως. Υπάρχουν βεβαίως και παραλλαγές αυτής της προσέγγισης με το backup «father» για παράδειγμα να αποτελεί ένα εβδομαδιαίο διαφορικό αντίγραφο ασφαλείας. Θα μπορούσε επίσης να περιλαμβάνει ποικιλία από αντίγραφα ασφαλείας κατά τη διάρκεια της ημέρας, όπως μια ωριαία «ενημέρωση» ή ένα αντίγραφο ασφαλείας που λαμβάνεται κατά βούληση και ανά πάσα στιγμή στη περίπτωση που πληρούνται συγκεκριμένα κριτήρια, όπως για παράδειγμα πριν από την εγκατάσταση λογισμικού ή μια αναδιαμόρφωση του δικτύου ή μετά από μία σάρωση για κακόβουλο λογισμικό.
Ως μέρος αυτής της στρατηγικής δημιουργίας αντιγράφων ασφαλείας, το προσωπικό ασφαλείας μπορεί να επιλέξει να λάβει ένα αντίγραφο ασφαλείας μία δεδομένη στιγμή για μία τοπική τοποθεσία ή ένα cloud instance την επόμενη στιγμή για την αντίθετη τοπική τοποθεσία ή cloud instance. Το overhead θα εξαρτηθεί από ποικίλους παράγοντες, συμπεριλαμβανομένου του λογισμικού δημιουργίας αντιγράφων ασφαλείας που έχετε επιλέξει, από το αν επιλέγετε να λαμβάνετε αντίγραφα ασφαλείας στο cloud ή τοπικά, από τον όγκο των δεδομένων για τα οποία δημιουργείτε αντίγραφα ασφαλείας καθώς και διάφορα στοιχεία/ metrics που ενδέχεται να είναι μοναδικά για την περίπτωσή σας.
Μάθετε περισσότερα
Η Sophos προσφέρει δύο προϊόντα που βοηθούν στην προστασία των αντιγράφων ασφαλείας σας. Καταρχήν, προσφέρει το Sophos Workload Protection για την προστασία των αντιγράφων ασφαλείας σας στο cloud ή και τοπικά στις εγκαταστάσεις σας. Επιπλέον, προσφέρει το Sophos Cloud Optix, το οποίο παρακολουθεί τους λογαριασμούς Amazon Web Services (AWS), Microsoft Azure και Google Cloud Platform (GCP) για υπηρεσίες αποθήκευσης στο cloud χωρίς ενεργοποιημένα προγράμματα δημιουργίας αντιγράφων ασφαλείας παρέχοντας καθοδηγούμενη αποκατάσταση.
Πηγή: Sophos