Protezione del backup da ransomware con Bacula Enterprise
Contatti Bacula ora per scoprire perché Bacula Enterprise è davvero la soluzione di backup più forte e sicura sul mercato contro il Ransomeware.
Il ransomware ha colpito seriamente migliaia di organizzazioni in tutto il mondo, in oltre 150 paesi. La frequenza degli attacchi ransomware è aumentata di oltre il 900% nel 2020 e questa tendenza infelice sta dimostrando di continuare nel 2021 e 2022 – e con una crescente sofisticazione. Ad esempio, esistono già alcuni malware che cercano sistemi di backup deboli e criptano i dati del backup stesso.
Una strategia completa di cybersecurity può essere realizzata con fiducia solo utilizzando un sistema di backup e ripristino che abbia la capacità di essere adeguatamente protetto. Questo significa Bacula Enterprise.
Affinché un’azienda protegga sufficientemente i suoi backup dal ransomware, è necessaria una preparazione e una riflessione anticipata. La tecnologia di protezione dei dati, le best practice di backup e la formazione del personale sono fondamentali per mitigare le interruzioni di attività che gli attacchi ransomware possono infliggere ai server di backup e ai computer di un’organizzazione.
Una delle migliori protezioni contro tali attacchi consiste nel disporre di una soluzione di backup di livello aziendale con un’architettura corretta e nell’utilizzare strategie di backup basate sulle migliori pratiche, nonché nell’assicurarsi che i backup nel cloud siano adeguatamente protetti e disponibili. Ciò significa avere copie aggiornate di quei dati disponibili altrove. Una corretta pratica di backup, archiviazione e conformità dei dati può fare la differenza tra la sopravvivenza e il fallimento di un’azienda. Di seguito sono riportate le Top 7 Strategie di protezione dal ransomware per i server di backup di Bacula System:
Le 7 principali strategie di protezione contro il ransomware per i server di backup
Importante: I componenti principali di Bacula girano su Linux. La preghiamo di non sottovalutare l’importanza di questo aspetto quando si tratta di sicurezza. Inoltre, ecco alcune altre considerazioni tecniche specifiche per il suo ambiente IT aziendale, per proteggere il suo server di backup da futuri attacchi ransomware:
1. Utilizzi credenziali diverse, in modo univoco per l’archiviazione di backup.
Si tratta di una best practice di base e con la crescente quantità di attacchi ransomware ai server di backup, è più che mai necessaria. Il contesto utente utilizzato per accedere all’archivio di backup deve essere completamente riservato e utilizzato solo a tale scopo. Inoltre, altri contesti di sicurezza non dovrebbero essere in grado di accedere all’archivio di backup, ad eccezione dell’account o degli account necessari per le operazioni di backup effettive.
Eviti di lavorare come root o amministratore. Utilizzi account di servizio il più possibile limitati, quando possibile. Per impostazione predefinita, Bacula integra l’autenticazione nel progetto e consente all’utente di implementare la massima separazione possibile dai carichi di lavoro di produzione. Ad esempio, l’installazione predefinita assicura che i demoni vengano eseguiti con account di servizio dedicati.
2. Rendere l’archiviazione offline parte della strategia di backup
L’archiviazione offline è una delle migliori difese contro la propagazione della crittografia ransomware all’archiviazione di backup. Esistono diverse opzioni di archiviazione offline (e semi-offline) che possono essere utilizzate:
Tipo di media | Cosa è importante |
Backup di destinazione su cloud | Questi utilizzano un meccanismo di autenticazione diverso. Non sono direttamente collegati al sistema di backup. |
Immagini di archiviazione primaria | Meglio che abbiano un quadro di autenticazione diverso. Queste istantanee possono essere utilizzate per il recupero. |
Macchine virtuali replicate | Meglio se controllate da un quadro di autenticazione diverso, come l’utilizzo di domini diversi per, ad esempio, gli host vSphere e Hyper-V, e Powered off. |
Dischi rigidi/SSD | Distaccati, non montati o offline, a meno che non siano in lettura o in scrittura. |
Nastro | Non c’è niente di più offline che i nastri scaricati da una nastroteca. Questi sono anche comodi per l’archiviazione fuori sede. I nastri dovrebbero essere crittografati. |
Apparecchi | Gli elettrodomestici, essendo scatole nere, devono essere adeguatamente protetti da accessi non autorizzati. È consigliabile una sicurezza di rete più rigorosa rispetto ai normali file server, in quanto le appliance possono presentare vulnerabilità più impreviste rispetto ai normali sistemi operativi. |
3. Utilizzare i lavori di copia di backup per contribuire a ridurre il rischio
Il lavoro di copia di backup è un ottimo meccanismo per avere punti di ripristino creati su uno spazio di archiviazione diverso e con regole di conservazione diverse rispetto al normale lavoro di backup. Quando si incorporano i punti precedenti, il lavoro di copia di backup può essere un meccanismo prezioso in una situazione di ransomware, perché con il lavoro di copia di backup vengono utilizzati punti di ripristino diversi.
4. Non faccia affidamento su sistemi di file diversi per proteggere l’archiviazione di backup
Anche se il coinvolgimento di protocolli diversi può essere un altro modo per prevenire la propagazione del ransomware, sappia che questo non è certamente una garanzia contro gli attacchi di backup ransomware. Anche se i ransomware o i virus di oggi non possono funzionare, ad esempio, sui file system ext4, quelli di domani saranno in grado di farlo. Quindi, si affidi piuttosto ad una sicurezza adeguata: l’archiviazione di backup dovrebbe essere inaccessibile per quanto possibile, e dovrebbe esserci un solo account di servizio sulle macchine conosciute che deve accedervi. Le posizioni del file system utilizzate per archiviare i dati di backup devono essere accessibili solo dagli account di servizio pertinenti. Non c’è motivo per cui gli utenti finali di sistemi diversi debbano avere il permesso di accedervi. L’utilizzo di un’altra serie di credenziali per consentire l’accesso ai file system condivisi, ad esempio per le istantanee, le condivisioni offline o l’archiviazione nel cloud, è un approccio intrinsecamente insicuro: tutte queste operazioni devono essere limitate esclusivamente all’account del servizio di backup.
5. Assicurati di utilizzare la regola 3-2-1-1
Seguire la regola del 3-2-1 significa avere tre copie diverse dei tuoi dati, su due supporti diversi, uno dei quali fuori sede. La forza di questo approccio è che può affrontare quasi tutti gli scenari di guasto e non richiede alcuna tecnologia specifica. Nell’era del ransomware, Bacula consiglia di aggiungere un altro “1” alla regola, quando uno dei supporti è offline. Le opzioni di archiviazione offline sopra elencate hanno evidenziato una serie di opzioni in cui è possibile implementare una copia offline o semi-offline dei dati. In pratica, ogni volta che si esegue il backup su obiettivi non legati al file system, si è già vicini al raggiungimento di questa regola. Quindi, i nastri e gli obiettivi di archiviazione di oggetti nel cloud sono utili per te. Mettere i nastri in un caveau dopo la scrittura è una best practice di lunga data.
I target di archiviazione in cloud possono fungere da archiviazione semi-offline dal punto di vista del backup. I dati non sono in loco e l’accesso richiede protocolli personalizzati e un’autenticazione secondaria. Alcuni fornitori di cloud consentono di impostare gli oggetti in uno stato immutabile, il che soddisfa il requisito di evitare che vengano danneggiati da un aggressore. Come per qualsiasi implementazione cloud, si accetta una certa dose di affidabilità e di rischio per la sicurezza affidando i dati critici al provider cloud, ma come fonte di backup secondaria il cloud è molto interessante.
6. Attenzione all’uso delle istantanee di archiviazione sullo storage di backup
Le istantanee di archiviazione sono utili per recuperare i file cancellati a un certo punto nel tempo, ma non sono un vero e proprio backup. Le istantanee di archiviazione tendono a mancare di una gestione avanzata della conservazione, di reportistica e tutti i dati sono ancora archiviati nello stesso sistema e quindi possono essere vulnerabili a qualsiasi attacco che colpisca i dati primari.
7. Assicurarsi di poter recuperare tutti i sistemi da bare metal
Il ripristino Bare Metal viene realizzato in molti modi diversi. Molte aziende si limitano a distribuire un’immagine standard, a fornire il software e a ripristinare i dati e/o le preferenze degli utenti. In molti casi, tutti i dati sono già archiviati in remoto e il sistema in sé non ha molta importanza. Tuttavia, in molti casi questo non è un approccio pratico e la capacità di ripristinare completamente una macchina a un punto nel tempo è una funzione critica dell’implementazione del disaster recovery. La capacità di ripristinare un computer criptato dal ransomware a un punto recente nel tempo, compresi i dati dell’utente memorizzati localmente, può essere una parte necessaria di una difesa a livelli. Lo stesso approccio può essere applicato ai sistemi virtualizzati, anche se di solito sono disponibili opzioni preferibili a livello di hypervisor.
Conclusione
Per la massima protezione del suo backup contro il ransomware e minacce simili, Bacula Systems consiglia vivamente alla sua organizzazione di rispettare pienamente le best practice di backup e ripristino dei dati sopra elencate. I metodi e gli strumenti sopra descritti sono utilizzati regolarmente dai clienti di Bacula Systems.
Bacula è unico nel settore del backup e del ripristino, in quanto garantisce livelli di sicurezza estremamente elevati, e un fattore particolarmente importante nella resistenza di Bacula agli attacchi è la sua architettura di sicurezza superiore. Questa architettura di sicurezza elevata consiste in alcuni importanti elementi di design sicuro, alcuni dei quali sono elencati di seguito:
◾ Il modulo principale di Bacula funziona su Linux, a differenza di molti altri fornitori.
◾ Il cliente che deve eseguire il backup non è mai a conoscenza dei target di storage e non dispone di credenziali per accedervi.
◾ Gli host Storage e Storage Deamon sono sistemi dedicati, rigorosamente protetti, che consentono solo il traffico legato a Bacula e l’accesso degli amministratori – nient’altro.
◾ Il “Director” di Bacula (modulo di gestione principale) è un sistema dedicato con lo stesso accesso restrittivo.
◾ Il Director di Bacula avvia tutte le attività e, in particolare, distribuisce ai clienti le credenziali di accesso una tantum e consente solo le attività legate a Bacula.
◾ Bacula Enterprise non consente l’accesso diretto dei clienti allo storage; non è previsto dal protocollo. Pertanto, anche un cliente compromesso non può accedere a nessun dato di backup, né per leggerlo, né per sovrascriverlo, né per modificarlo, né per cancellarlo.
◾ Bacula dispone dell’autenticazione a più fattori (MFA).
Ecco alcuni fattori chiave aggiuntivi che i nostri clienti ci hanno detto che rendono Bacula particolarmente interessante per loro, spesso nel contesto della protezione da ransomware:
◾ Conforme a FIPS 140-2
◾ Verifica dell’affidabilità dei dati di backup esistenti
◾ Rilevamento della corruzione silenziosa dei dati
◾ Cifratura dei dati (AES 128, AES192, AES256 o blowfish) e algoritmo di digest.
◾ Utilizzo automatico di TLS per tutte le comunicazioni di rete (può anche essere disattivato)
◾ Verifica dei file precedentemente catalogati, consentendo una capacità simile a Tripwire (rilevamento di effrazioni nel sistema)
◾ Autenticazione con password CRAM-MD5 tra ciascun componente (demone)
◾ Crittografia delle comunicazioni TLS(SSL)configurabile tra ciascun componente
◾ Crittografia dei dati (sul volume) configurabile su base client per client
◾ Calcolo delle firme MD5 o SHA1 dei dati dei file, se richiesto.
◾ Windows Encrypting File System (EFS)
◾ Funzione Volume Disco Immutabile per una maggiore protezione contro il ransomware
◾ Opzione di integrazione della directory LDAP dell’architettura core per una maggiore protezione
◾ Supporta quasi tutti i tipi di archiviazione su nastro.
◾ Crittografia del Storage Daemon
◾ Integrazione SIEM
◾ Modulo di sicurezza dedicato a Windows
◾ Protezione malware automatica (backup, ripristino, verifica)
◾ Metriche di sicurezza migliorate e arricchite
◾ Modulo di integrazione del monitoraggio SNMP
◾ Supporto dell’immutabilità NFS (Netapp SnapLock)
Bacula Enterprise risponde anche all’importante ‘regola del 3-2-1-1’, offrendo una compatibilità particolarmente ampia con diverse tecnologie a nastro, cloud e altri supporti di archiviazione off-site. Inoltre, lo strumento di ripristino bare metal di Bacula è disponibile sia per i server Linux che per quelli Windows e consente all’organizzazione di eseguire un disaster recovery sicuro e affidabile.
Per le aziende che non dispongono di soluzioni di backup dei dati di livello avanzato, Bacula Systems esorta queste organizzazioni a condurre una revisione completa della loro strategia di backup e a valutare una soluzione di backup e ripristino moderna. Contattaci ora per scoprire come Bacula può aiutarti.