Os backups serão, provavelmente, as próximas vítimas do ransomware. Eran Brown,da Infinidat, explica que cuidados se devem ter para evitar os ataques proativamente e reativamente.
Eran Brown, technology officer na Infinidat
Nos últimos anos, o ransomware tornou-se num negócio muito lucrativo, com a participação, inclusive, de alguns actores governamentais, que acabaram por militarizar esta técnica, ou que a utilizam como uma nova fonte de receitas.
Qualquer artigo que se leia sobre “como nos podemos preparar para o ransomware” mostrará que há dois aspectos centrais incontornáveis: prevenir, investindo na formação de funcionários e nos serviços avançados de segurança; e reagir o mais rápido possível, quando o ransomware consegue penetrar no perímetro da rede e propagar-se através da organização.
Mas os cibercriminosos lêem esses mesmos artigos e também estão em constante evolução. Uma das suas armas é atacar o backup, encriptá-lo para que não possa ser usado, recorrendo a técnicas que corrompem estes ficheiros.
Como deveriam as empresas preparar-se para o dia do ataque
Sabemos bem o papel que os snapshots podem representar na identificação de ataques de ransomware activos, já que proporcionam uma recuperação excelente sem obrigar a mover dezenas de terabytes de dados do sistema de backup.
Mas, não nos podemos esquecer que, provavelmente, a eliminação dos snapshots também está na agenda dos hackers. Torna-se, assim, vital planificar de forma proactiva a estratégia para esse dia.
Mas, então, porque não recorrer às cópias offline? Porquê arriscar com as cópias online perante tal cenário? A resposta está no tempo de recuperação. Por exemplo, se a empresa necessitar de recuperar muitos dados dos sistemas de tape, o processo talvez demore demasiado tempo, o que afectará os clientes e, por conseguinte, o desempenho e as receitas da empresa.
Também é uma questão de capacidade de recuperação, já que os backups de tape nem sempre são recuperáveis. Neste sentido, alguns clientes declaram que só 94% das suas cópias de segurança são recuperáveis no dia em que são realizadas e, com o passar do tempo, observam uma clara diminuição na capacidade de recuperação.
Os sistemas de backup online podem ser protegidos contra o ransomware?
A resposta curta é: sim. Devem estabelecer-se os mecanismos de segurança adequados para permitir a transformação de um snapshot standard num snapshot WORM (Write Once Read Many), que não pode ser modificado nem eliminado até determinado ponto no tempo ou até que caduque o seu bloqueio.
Ao mesmo tempo, queremos que o snapshot continue a ser completamente funcional, e que mantenha todas as suas capacidades originais: gestão de cópias (que permite criar cópias editáveis a partir do snapshot para tarefas de desenvolvimento e testes); e acesso por parte dos utilizadores..
Outros casos de uso
Mas os snapshots WORM também podem servir para outros casos de uso. Por exemplo, para proteger contra erros humanos, que, não convém esquecer, são a causa principal da maioria das violações de dados. Os snapshots podem ser bloqueados para evitar eliminações acidentais antes do final da regra de retenção.
E também servem para a retenção legal. Em alguns cenários legais, os dados devem manter-se acessíveis durante muito tempo para proteger a evidência relevante, permitir o discovery adequado, etc. Bloquear uma cópia dos dados é a forma ideal de manter o acesso ao longo do tempo e, se for necessário, pode-se ampliar o bloqueio à medida das necessidades.
Gestão de tempos de retenção
Qualquer profissional que tenha trabalhado com soluções WORM saberá da história daquele administrador de armazenamento que, acidentalmente, bloqueou um conjunto de dados de grande tamanho durante demasiado tempo, o que causou um enorme prejuízo económico à empresa, que decidiu “recompensar” o funcionário com uma bonita caixa de cartão para colocar os seus pertences antes de sair das instalações.
Para evitar situações como esta, as soluções WORM devem proporcionar salvaguardas contra tempos de retenção não razoáveis. Aliás, deveriam poder ser configuradas, já que, por exemplo, um banco pode querer manter os dados dos seus clientes durante seis ou sete anos, enquanto um hospital pode precisar de manter os seus durante 80 anos.