Solicitar Orçamento
WW +41 21 641 6080 | EUA +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | DACH +49 1744625528
Fale Conosco
Home > Blog de Apoio e Recuperação > Estratégias e práticas recomendadas de backup contra ransomware. Como proteger os backups contra ransomware?

Estratégias e práticas recomendadas de backup contra ransomware. Como proteger os backups contra ransomware?

Atualizado 8th abril 2024, Rob Morrison

Ransomware e sua importância no cenário moderno da segurança cibernética

Os ataques de ransomware vêm causando estragos em várias organizações há mais de uma década, levando à perda de dados críticos e confidenciais, entre outras consequências infelizes, como o pagamento de enormes quantias de dinheiro a organizações criminosas. É difícil encontrar um setor moderno que não tenha sido afetado pelo ransomware de uma forma ou de outra. Diz-se que o número de ataques de ransomware no último trimestre de 2022 foi de 154,93 milhões, e esse número continua crescendo regularmente.

Embora as medidas preventivas continuem sendo uma parte fundamental da defesa contra ransomware, a manutenção de backups regulares de dados é o meio mais eficaz de recuperação de dados após um ataque. A proteção de dados é primordial: como muitas formas de ransomware também têm como alvo os dados de backup, a necessidade de medidas para proteger os backups contra ransomware é uma necessidade absoluta.

O ransomware é um tipo de malware que se infiltra no computador ou no(s) servidor(es) da vítima, criptografa seus dados e os torna inacessíveis. Em seguida, os criminosos exigem o pagamento de um resgate, geralmente na forma de criptomoeda, em troca da chave de descriptografia. Os ataques de ransomware podem ter consequências devastadoras, causando perdas financeiras significativas, interrompendo a produtividade e até mesmo levando à falência.

Após a criptografia bem-sucedida dos arquivos visados, os atacantes geralmente exigem um resgate. Essa demanda informa a vítima sobre a criptografia e exige o pagamento de um resgate para recuperar o acesso aos seus dados. Os pagamentos de resgate geralmente são solicitados em bitcoins ou outras criptomoedas, o que dificulta o rastreamento pelas autoridades policiais.

Se a vítima não atender aos pedidos de resgate, os invasores poderão recorrer a outras ameaças, como publicar os arquivos criptografados on-line ou excluí-los permanentemente. Em alguns casos, após o pagamento do resgate, os atacantes podem até liberar uma ferramenta de descriptografia, mas sua eficácia pode ser limitada ou pode não descriptografar todos os arquivos afetados.

Alvos comuns de ransomware

Embora a declaração sobre praticamente qualquer dispositivo seja um alvo em potencial para o ransomware, há algumas categorias de informações e grupos de usuários que os criadores de ransomware tendem a visar mais:

  • Órgãos governamentais – alvos primários para a maioria das variações de ransomware devido à grande quantidade de dados confidenciais que eles mantêm; também é uma suposição comum que o governo prefira pagar o resgate a permitir que os dados confidenciais de importância política sejam divulgados ao público ou vendidos a terceiros.
  • Organizações de saúde – um alvo relativamente fácil para o ransomware devido ao grande número de infraestruturas de saúde que dependem de software e hardware desatualizados, reduzindo drasticamente a quantidade de esforço necessário para quebrar todas as suas medidas de proteção; os dados de saúde também são extremamente importantes devido à sua conexão direta com o sustento de centenas ou milhares de pacientes, o que os torna ainda mais valiosos.
  • Dispositivos móveis – um alvo comum devido à natureza dos smartphones modernos e à quantidade de dados que um único smartphone tende a armazenar (sejam vídeos e fotos pessoais, informações financeiras etc.).
  • Instituições acadêmicas – um dos maiores alvos de ransomware, devido à combinação de trabalhar com grandes volumes de dados confidenciais e ter grupos de TI menores, restrições orçamentárias e outros fatores que contribuem para a menor eficácia geral de seus sistemas de segurança.
  • Departamentos de recursos humanos – podem não ter muitas informações valiosas por si só, mas são compensados por terem acesso aos registros financeiros e pessoais de outros funcionários; também é um alvo comum devido à natureza do trabalho em si (abrir centenas de e-mails por dia torna muito mais provável que um funcionário médio de RH abra um e-mail com malware).

O número de ataques de ransomware parece estar crescendo em um ritmo alarmante, atingindo 155 milhões de instâncias somente no quarto trimestre de 2022. Novos tipos e variações de ransomware também estão sendo desenvolvidos regularmente. Agora existe um modelo de negócios totalmente novo chamado RaaS, ou Ransomware como serviço, que oferece acesso constante aos mais novos exemplos de software mal-intencionado por uma taxa mensal, simplificando muito o processo geral de ataque de ransomware.

As informações mais recentes do Statista confirmam as afirmações acima em termos dos maiores alvos do ransomware como um todo: organizações governamentais, saúde, finanças, manufatura e assim por diante. As organizações financeiras também parecem estar crescendo de forma constante como um dos maiores alvos de ransomware até o momento.

Há maneiras de proteger sua empresa contra vários ataques de ransomware, e a primeira e mais importante delas é garantir que o senhor tenha backups à prova de ransomware.

Tipos de ransomware

Vamos primeiro examinar os diferentes tipos de ameaças. O ransomware relacionado à criptografia (cryptoware) é um dos tipos mais difundidos de ransomware nos dias atuais. Alguns exemplos menos comuns de tipos de ransomware são:

  • Telas de bloqueio (interrupção com o pedido de resgate, mas sem criptografia),
  • Ransomware de dispositivo móvel (infecção do celular),
  • MBR encryption ransomware (infecta uma parte do sistema de arquivos da Microsoft que é usada para inicializar o computador, impedindo que o usuário acesse o sistema operacional em primeiro lugar),
  • Extortionware/leakware (tem como alvo dados confidenciais e comprometedores e, em seguida, exige resgate em troca da não publicação dos dados visados) e assim por diante.

A frequência dos ataques de ransomware deve aumentar drasticamente em 2022 e nos anos seguintes, e com cada vez mais sofisticação. Uma pesquisa da Palo Alto Networks mostra que, apenas no primeiro semestre de 2021, o valor médio do pagamento de resgate é normalmente superior a meio milhão de dólares (mais de US$ 570.000, para ser exato).

Embora as medidas preventivas sejam a maneira preferida de lidar com o ransomware, elas normalmente não são 100% eficazes. Para os ataques que conseguem penetrar com sucesso, o backup é o último bastião de defesa que um departamento de TI pode usar. O backup e a recuperação de dados são comprovadamente um elemento de proteção eficaz e essencial contra a ameaça do ransomware. No entanto, ser capaz de recuperar dados de forma eficaz significa manter um cronograma rigoroso de backup de dados e tomar várias medidas para evitar que o backup também seja capturado e criptografado pelo ransomware.

Para que uma empresa proteja suficientemente os backups contra o ransomware, é necessário pensar e se preparar com antecedência. A tecnologia de proteção de dados, as práticas recomendadas de backup e o treinamento da equipe são essenciais para atenuar a interrupção ameaçadora aos negócios que os ataques de ransomware podem infligir aos servidores de backup de uma organização.

Os ataques de ransomware aos sistemas de backup são frequentemente oportunistas, não necessariamente direcionados. O processo exato varia de acordo com o programa, mas o ransomware normalmente rastreia um sistema em busca de tipos de arquivos específicos e, se encontrar uma extensão de arquivo de backup, criptografa-o. Em seguida, tenta se espalhar e se tornar um ataque de ransomware. Em seguida, ele tentará se espalhar e infectar o maior número possível de outros sistemas. O movimento desses programas de malware é lateral e não deliberado.

Uma das melhores proteções contra esses ataques é ter uma solução de backup de dados e ransomware de arquitetura correta, configurada adequadamente, combinada com estratégias de backup de práticas recomendadas. Isso inclui garantir que todos os backups na nuvem estejam adequadamente protegidos e disponíveis, e que o senhor tenha uma estratégia para garantir que não esteja sincronizando arquivos infectados locais com aqueles que devem ser mantidos em segurança na nuvem. Isso também significa ter cópias atualizadas desses dados disponíveis em outro lugar. Para qualquer empresa de médio a grande porte, é essencial ter uma solução de backup de nível empresarial, pois as práticas corretas de backup, armazenamento e conformidade de dados podem ser a principal diferença entre a sobrevivência e o fracasso de uma empresa no caso de um ataque de ransomware.

Mitos comuns sobre ransomware e backups

Se o senhor estiver pesquisando como proteger os backups contra ransomware, poderá se deparar com conselhos errados ou desatualizados. A realidade é que a proteção de backup contra ransomware é um pouco mais complexa, portanto, vamos analisar alguns dos mitos mais populares que envolvem o assunto.

Mito 1 do backup de ransomware: O ransomware não infecta backups. O senhor pode pensar que seus arquivos estão seguros. No entanto, nem todo ransomware é ativado quando o senhor é infectado. Alguns esperam antes de começar. Isso significa que seus backups podem já ter uma cópia do ransomware.

Mito 2 do backup de ransomware: Os backups criptografados estão protegidos contra ransomware. Na verdade, não importa se seus backups estão criptografados. Assim que o senhor executa uma recuperação de backup, a infecção pode se tornar executável novamente e ser ativada.

Mito 3 do backup de ransomware: Somente o Windows é afetado. Muitas pessoas acham que podem executar seus backups em um sistema operacional diferente para eliminar a ameaça. Infelizmente, se os arquivos infectados estiverem hospedados na nuvem, o ransomware pode atravessar.

Mito 4 do backup de ransomware: Pagar o dinheiro do resgate é mais fácil e mais barato do que investir em sistemas de recuperação de dados. Há dois argumentos fortes contra isso. Número um – as empresas que pagam o resgate se mostram aos invasores como alvos fáceis que não estão dispostos a lutar contra ataques de ransomware. Segundo, o pagamento integral do resgate não é uma forma garantida de obter chaves de descriptografia.

Mito 5 do backup de ransomware: Os ataques de ransomware são feitos principalmente por vingança contra grandes empresas que maltratam pessoas comuns. Há uma conexão que poderia ser feita entre empresas com políticas de clientes questionáveis e ataques de vingança, mas a grande maioria dos ataques está simplesmente procurando alguém para tirar vantagem.

Mito 6 do backup de ransomware: O ransomware não ataca empresas menores e tem como alvo apenas grandes corporações. Embora as empresas maiores possam ser alvos maiores devido a um resgate potencialmente maior que poderia ser obtido delas, as empresas menores estão sendo atacadas por ransomware com a mesma frequência que as maiores, e até mesmo os usuários privados recebem um número significativo de ataques de ransomware regularmente. Um relatório recente da Sophos mostra que esse mito específico simplesmente não é verdadeiro, pois tanto as empresas de grande porte quanto as de pequeno porte têm praticamente a mesma porcentagem de serem afetadas por ransomware em um ano (72% para empresas com receita de US$ 5 bilhões e 58% para empresas com receita inferior a US$ 10 milhões).

É claro que ainda há muitas maneiras de proteger os backups contra ransomware. Abaixo estão algumas estratégias importantes que o senhor deve considerar para sua empresa.

As 17 principais estratégias para proteger os backups contra ransomware

Aqui estão algumas considerações técnicas específicas para o ambiente de TI de sua empresa, para proteger seu servidor de backup contra futuros ataques de ransomware:

1. Credenciais exclusivas e distintas

Essa é uma prática recomendada básica para backup de ransomware e, com a quantidade crescente de ataques de ransomware a servidores de backup, ela é mais necessária do que nunca. O contexto que alguém usa para acessar o armazenamento de backup precisa ser totalmente confidencial e usado somente para essa finalidade específica.

Para proteger os backups contra ransomware, o senhor deve evitar trabalhar como root ou administrador. Sempre que possível, use contas de serviço que sejam restritas. Por padrão, o Bacula incorpora a autenticação de dois fatores no design e permite que o usuário aplique o máximo de separação possível ao lidar com cargas de trabalho de produção, estabelecendo um backup mais à prova de ransomware. Por exemplo, sua instalação padrão garante que seus daemons sejam executados com contas de serviço dedicadas.

2. Armazenamento off-line

O armazenamento off-line é uma das melhores defesas contra a propagação da criptografia de ransomware para o armazenamento de backup. Há várias possibilidades de armazenamento que podem ser usadas:

Tipo de mídia O que é importante
Cloud target backups Estes usam um mecanismo de autenticação diferente. Só podem ser parcialmente conectados ao sistema de backup. O uso de backups de destino na nuvem é uma boa maneira de proteger os backups contra ransomware, pois seus dados são mantidos em segurança na nuvem. No caso de um ataque, o senhor pode restaurar seu sistema a partir dele, embora isso possa ser caro. O senhor também deve ter em mente que a sincronização com o armazenamento de dados local também pode carregar a infecção para seu backup na nuvem.
Primary storage Snapshots Os snapshots têm uma estrutura de autenticação diferente e podem ser usados para recuperação. As cópias de snapshot são backups somente de leitura, portanto, novos ataques de ransomware não podem infectá-las. Se o senhor identificar uma ameaça, poderá simplesmente restaurá-la a partir de uma cópia tirada antes da ocorrência do ataque.
Replicated VMs Melhor quando controlado por uma estrutura de autenticação diferente, como o uso de domínios diferentes para, digamos, hosts vSphere e Hyper-V, e Powered off. O senhor só precisa se certificar de que está controlando cuidadosamente o cronograma de retenção. Se ocorrer um ataque de ransomware e o senhor não perceber antes que seus backups sejam criptografados, talvez não tenha nenhum backup para restaurar.
Hard drives/SSD Destacados, desmontados ou off-line, a menos que estejam sendo lidos ou gravados. Algumas unidades de estado sólido foram abertas com malware, mas isso vai além do alcance de alguns ransomwares de backup tradicionais.
Tape O senhor não pode ficar mais off-line do que com fitas que foram descarregadas de uma biblioteca de fitas. Elas também são convenientes para o armazenamento fora do local. Como os dados geralmente são mantidos fora do local, os backups em fita normalmente estão protegidos contra ataques de ransomware e desastres naturais. As fitas sempre devem ser criptografadas.
Appliances Os eletrodomésticos, por serem caixas pretas, precisam ser protegidos adequadamente contra acesso não autorizado para se protegerem contra ataques de ransomware. É recomendável uma segurança de rede mais rígida do que a dos servidores de arquivos comuns, pois os appliances podem ter mais vulnerabilidades inesperadas do que os sistemas operacionais comuns.

3. Tarefas de cópia de backup

Um Job de cópia de backup copia os dados de backup existentes para outro sistema de disco para que possam ser restaurados posteriormente ou enviados para um local externo.

A execução de um trabalho de cópia de backup é uma excelente maneira de criar pontos de restauração com regras de retenção diferentes do trabalho de backup regular (e que podem estar localizados em outro storage). O trabalho de cópia de backup pode ser um mecanismo valioso que pode ajudar o senhor a proteger os backups contra ransomware porque há diferentes pontos de restauração em uso com o trabalho de cópia de backup.

Por exemplo, se o senhor adicionar um dispositivo de armazenamento extra à sua infraestrutura (por exemplo, um servidor Linux), poderá definir um repositório para ele e criar o Backup Copy Job para funcionar como seu backup de ransomware.

4. Evite muitos tipos de sistemas de arquivos

Embora envolver diferentes protocolos possa ser uma boa maneira de evitar a propagação de ransomware, saiba que isso certamente não é garantia contra ataques de backup de ransomware. Diferentes tipos de ransomware tendem a evoluir e a se tornar mais eficazes regularmente, e novos tipos aparecem com bastante frequência.

Portanto, é aconselhável usar uma abordagem de segurança de nível empresarial: o armazenamento de backup deve ser inacessível na medida do possível e deve haver apenas uma conta de serviço em máquinas conhecidas que precise acessá-los. Os locais do sistema de arquivos usados para armazenar dados de backup devem ser acessíveis somente pelas contas de serviço relevantes para proteger todas as informações contra ataques de ransomware.

5. Use a regra 3-2-1-1

Seguir a regra 3-2-1 significa ter três cópias distintas dos seus dados, em duas mídias diferentes, uma das quais está fora do local. O poder dessa abordagem para backup de ransomware é que ela pode lidar com praticamente qualquer cenário de falha e não exigirá o uso de nenhuma tecnologia específica. Na era do ransomware, o Bacula recomenda adicionar um segundo “1” à regra; aquele em que uma das mídias está off-line. Há várias opções em que o senhor pode fazer uma cópia off-line ou semi-off-line dos seus dados. Na prática, sempre que fizer backup em destinos que não sejam do sistema de arquivos, o senhor já estará próximo de cumprir essa regra. Portanto, as fitas e os destinos de armazenamento de objetos na nuvem são úteis para o senhor. Colocar as fitas em um cofre depois de gravadas é uma prática recomendada de longa data.

Os destinos de armazenamento em nuvem podem funcionar como armazenamento semi-offline do ponto de vista do backup. Os dados não estão no local e o acesso a eles requer protocolos personalizados e autenticação secundária. Alguns provedores de nuvem permitem que os objetos sejam definidos em um estado imutável, o que satisfaria o requisito de evitar que sejam danificados por um invasor. Como em qualquer implementação de nuvem, um certo grau de confiabilidade e risco de segurança é aceito ao confiar os dados críticos ao provedor de nuvem, mas como fonte secundária de backup, a nuvem é muito atraente.

6. Evite snapshots de armazenamento

Os instantâneos de armazenamento são úteis para recuperar arquivos excluídos em um ponto no tempo, mas não são backups no verdadeiro sentido. Os instantâneos de armazenamento tendem a não ter gerenciamento avançado de retenção, relatórios e todos os dados ainda estão armazenados no mesmo sistema e, portanto, podem estar vulneráveis a qualquer ataque que afete os dados primários. Um snapshot não é mais do que uma cópia pontual dos dados. Dessa forma, o backup ainda pode estar vulnerável a ataques de ransomware se eles tiverem sido programados para permanecerem inativos até um determinado momento.

7. Recuperação de bare metal

A recuperação bare metal é realizada de várias maneiras diferentes. Muitas empresas simplesmente implementam uma imagem padrão, provisionam o software e, em seguida, restauram os dados e/ou as preferências do usuário. Em muitos casos, todos os dados já estão armazenados remotamente e o sistema em si não é muito importante. No entanto, em outros casos, essa não é uma abordagem prática e a capacidade de restaurar completamente uma máquina para um ponto no tempo é uma função essencial da implementação da recuperação de desastres que pode permitir que o senhor proteja os backups contra ransomware.

A capacidade de restaurar um computador criptografado por ransomware para um ponto recente no tempo, incluindo todos os dados do usuário armazenados localmente, pode ser uma parte necessária de uma defesa em camadas. A mesma abordagem pode ser aplicada a sistemas virtualizados, embora geralmente existam opções preferíveis disponíveis no hipervisor.

8. Teste do plano de backup

Embora seja uma boa ideia configurar uma política abrangente de backup/recuperação, o senhor nunca saberá como ela funcionará se não testá-la previamente. O teste do plano de backup é um processo que pode ajudar a calcular o tempo de recuperação, a acessibilidade dos dados e muitos outros parâmetros que são essenciais para proteger os backups contra ransomware. Isso também pode ajudar a descobrir quais partes do seu sistema precisam de prioridade no processo de recuperação, com que rapidez o senhor pode restaurar dados do armazenamento off-line, descobrir se precisa de uma rede totalmente separada para fins de recuperação e assim por diante.

9. Armazenamento imutável

O termo armazenamento imutável não é nada novo, mas anteriormente não ganhou muita força devido à complexidade geral quando se trata de usar esses dados. São dados que não podem ser modificados de forma alguma depois de serem armazenados de uma maneira específica. A abordagem mais moderna desse conceito está se tornando cada vez mais popular entre vários provedores de nuvem e outros provedores de serviços de armazenamento com uma tecnologia chamada WORM, ou armazenamento Write-Once-Read-Many. Essa tecnologia permite que seus usuários bloqueiem objetos específicos em seus dados por um período de tempo específico, tornando os objetos mencionados imunes a toda e qualquer modificação.

10. Criptografia de backup

A criptografia é outra maneira de impedir que o ransomware encontre ou afete os dados de backup de alguma forma, pois a criptografia transforma dados regulares em dados ilegíveis, impossíveis de serem decodificados sem uma espécie de chave adequada. A melhor abordagem é criptografar os dados que já estão armazenados localmente ou na nuvem, bem como os dados que são enviados ou recuperados de alguma forma. O padrão de criptografia popular no setor atualmente é o AES-256 para dados em repouso e SSL/TLS para informações criptografadas no meio do trânsito.

11. Políticas de backup

Revisar e atualizar regularmente suas políticas de backup de ransomware pode ser um método surpreendentemente eficaz de minimizar o efeito de um ataque de ransomware ou até mesmo evitá-lo. Para que a política de backup seja eficaz, em primeiro lugar, ela precisa estar atualizada e ser flexível, incluindo soluções para todos os métodos modernos de ataque de ransomware.

Uma das melhores defesas contra o ransomware é a restauração das informações a partir de backups limpos, já que o pagamento de um resgate não é uma garantia de 100% de que seus dados serão descriptografados em primeiro lugar – o que significa a importância dos backups mais uma vez. Os tópicos que devem ser abordados ao realizar uma auditoria completa de toda a sua estrutura de dados internos incluem:

  • A regra 3-2-1 está em vigor?
  • Existe algum sistema crítico que não esteja coberto por operações regulares de backup?
  • Esses backups estão devidamente isolados para que não sejam afetados pelo ransomware?
  • O senhor já teve a oportunidade de praticar a restauração de um sistema a partir de um backup para testar como ele funciona?

12. Planejamento de recuperação de desastres

Um plano de recuperação de desastres é um documento que pode ser usado como um esboço de como sua empresa responderia a uma ameaça específica às suas operações regulares. Os possíveis problemas podem ser erros humanos, condições climáticas, crimes cibernéticos, falhas de hardware e assim por diante.

Há muitas questões que um DRP (plano de recuperação de desastres) adequado pode abordar, inclusive, mas não exclusivamente, as seguintes:

  • Quais dados precisam de backup? Como cobrir todo o seu sistema costuma ser extremamente difícil e surpreendentemente caro, é uma ótima ideia avaliar seus dados para determinar as partes mais importantes deles. Para muitas organizações, dados como e-mails de trabalho provam ser alguns dos recursos mais valiosos que possuem. Conhecer as prioridades de backup de seus dados ajuda muito na configuração de um sistema adequado de backup e recuperação.
  • Onde o backup será armazenado? Cada tipo de local de armazenamento tem seus próprios benefícios e deficiências que devem ser levados em conta ao planejar seu sistema de backup. Obviamente, a melhor opção é usar vários locais de armazenamento para seus backups, tanto no local quanto na nuvem, mas essa opção também pode ser mais cara do que outras.
  • Quais são as medidas de segurança para backups?Os controles de segurança para seus backups são praticamente necessários em muitos casos diferentes, especialmente quando o senhor está lidando com tipos de dados específicos. Por exemplo, as empresas que trabalham com PHI (informações de saúde protegidas) precisam aderir à HIPAA e ao GDPR (se estiverem trabalhando com clientes da UE).
  • Com que frequência os backups serão realizados? Surpreendentemente, realizar backups com a maior frequência possível nem sempre é a melhor opção, pois tende a ser extremamente caro em termos de custos de armazenamento. Por isso, é recomendável fazer uma avaliação do seu sistema para descobrir qual é o melhor intervalo entre os backups para a sua empresa específica e qual quantidade de tempo de inatividade pode ser tolerada sem arruinar completamente a empresa em questão.

13. Educação centrada na segurança para os funcionários

Os backups podem ocorrer tanto no nível de todo o sistema quanto nos sistemas individuais dos funcionários, especialmente quando se trata de vários e-mails e outras informações específicas. Ensinar seus funcionários sobre a importância da participação deles no processo de backup é uma ótima maneira de fechar ainda mais lacunas na sua defesa contra o ransomware.

Ao mesmo tempo, embora os funcionários comuns possam ajudar no processo de backup, eles não devem ter acesso aos backups. Quanto mais pessoas tiverem acesso aos dados de backup, maiores serão as chances de erro humano ou de alguma outra forma de comprometer seu sistema e seus backups.

14. Atualizações de software

Na maioria das vezes, o ransomware pode usar vulnerabilidades em seu sistema para invadir e causar danos aos seus dados de alguma forma. A realização de atualizações regulares de software é uma das melhores maneiras de combater isso, embora ainda precise ser usada em conjunto com métodos de proteção de backup e outras táticas desta lista.

15. Abertura de ar

A força dos backups com air gap está em seu isolamento inerente. No caso de um ataque bem-sucedido de ransomware, o backup desconectado não é afetado, fornecendo uma cópia limpa de seus dados para recuperação. O senhor pode, então, isolar os sistemas afetados, erradicar a infecção e restaurar os dados do backup com air-gap.

Os backups com air-gap representam uma das formas mais robustas e exigentes de proteção contra ransomware. Essa abordagem implica desconectar fisicamente o armazenamento de backup de suas instalações, isolando-o da infraestrutura de nuvem, das redes locais e de qualquer outra forma de conectividade.

Na prática, os backups com air-gap utilizam soluções de armazenamento local, como discos rígidos, dispositivos NAS ou servidores de arquivos. Esses dispositivos só são conectados às suas instalações durante as operações de backup.

Apesar de sua eficácia, o método de backup air-gapped também apresenta algumas limitações. Por exemplo, o armazenamento de backup com air-gap pode constituir uma solução de armazenamento adicional junto com o armazenamento de produção. Isso exige a definição, a criação e a manutenção de uma infraestrutura de armazenamento separada.

A implementação de backups air-gapped também exige planejamento cuidadoso e integração com as políticas de backup existentes para evitar interrupções nas operações comerciais. Ao mesmo tempo, os backups air-gapped são adequados para dados estáticos e não críticos que podem ser recuperados em poucas horas, mas não para aplicativos ou bancos de dados que exigem replicação de failover, pois é necessário conectar o storage separado para cada operação de recuperação.

Os backups air-gapped oferecem proteção excepcional contra ransomware, mas sua adequação depende de requisitos específicos. Geralmente, os backups com air-gap servem como última linha de defesa, protegendo apenas os dados mais críticos.

16. Bloqueio de objeto do Amazon S3

O Object Lock é um recurso do armazenamento em nuvem da Amazon que permite a proteção aprimorada das informações armazenadas nos buckets do S3. O recurso, como o próprio nome sugere, pode impedir qualquer ação não autorizada com um objeto específico ou um conjunto de objetos por um período de tempo específico, tornando os dados praticamente imutáveis por um período de tempo definido.

Um dos maiores casos de uso do Object Lock é a conformidade com várias estruturas e normas de conformidade, mas também é um recurso útil para esforços gerais de proteção de dados. Também é relativamente simples de configurar – tudo o que é necessário é que o usuário final escolha um período de retenção, transformando efetivamente os dados no formato WORM por enquanto.

Há dois modos principais de retenção que o S3 Object Lock pode oferecer: o modo de conformidade e o modo de governança. O modo de conformidade é o menos rigoroso dos dois, oferecendo a possibilidade de modificar o modo de retenção enquanto os dados estão “bloqueados”. O modo de governança, por outro lado, impede que a maioria dos usuários adultere os dados de qualquer forma – os únicos usuários que têm permissão para fazer qualquer coisa com os dados durante o período de retenção são aqueles que têm permissões especiais de desvio.

Também é possível usar o Object Lock para ativar uma “retenção legal” em dados específicos, que funciona fora dos períodos de retenção e dos mods de retenção e impede que os dados em questão sejam adulterados por motivos legais, como litígio.

17. Segurança Zero Trust

Uma mudança contínua da segurança tradicional para a segurança centrada em dados introduziu muitas novas tecnologias que oferecem benefícios de segurança incríveis, mesmo que haja um preço a pagar em termos de experiência do usuário. Por exemplo, uma abordagem de segurança de confiança zero é uma tática relativamente comum para sistemas de segurança modernos, servindo como uma grande barreira de proteção contra ransomware e outras ameaças em potencial.

A abordagem geral de segurança de confiança zero adota a ideia principal de segurança centrada em dados, tentando verificar e checar todos os usuários e dispositivos que acessam informações específicas, independentemente do que sejam e de onde estejam localizados. Esse tipo de abordagem se concentra em quatro “pilares” principais:

  • O princípio do menor privilégio fornece a cada usuário o menor número possível de privilégios no sistema, tentando atenuar o problema do acesso excessivamente privilegiado que a maioria dos setores teve durante anos.
  • A segmentação extensiva é usada principalmente para limitar o escopo de uma possível violação de segurança, eliminando a possibilidade de um único invasor obter acesso a todo o sistema de uma só vez.
  • Verificação constante é um princípio fundamental da segurança de confiança zero, sem qualquer tipo de lista de “usuários confiáveis” que possa ser usada para contornar completamente o sistema de segurança.
  • Monitoramento contínuo também é uma necessidade para garantir que todos os usuários sejam legítimos e reais, caso algum tipo de programa de ataque moderno ou um mau ator consiga contornar a primeira camada de segurança.

Ferramentas específicas do sistema de backup como meio de proteção adicional contra ransomware

Ao adotar uma abordagem ampliada para o mesmo problema de backup infectado por ransomware, é possível – e aconselhável – usar as ferramentas dos sistemas de backup como um meio adicional de proteção contra ataques. Aqui estão cinco práticas recomendadas de backup contra ransomware – para proteger ainda mais uma empresa contra ransomware:

  • Certifique-se de que os próprios backups estejam livres de ransomware e/ou malware. Verificar se o backup não está infectado deve ser uma de suas maiores prioridades, pois toda a utilidade do backup como medida de proteção contra ransomware será negada se os backups forem comprometidos por ransomware. Faça correções regulares no sistema para eliminar as vulnerabilidades do software, invista em ferramentas de detecção de malware e atualize-as regularmente e tente colocar seus arquivos de mídia off-line o mais rápido possível depois de alterá-los. Em alguns casos, o senhor pode considerar uma abordagem WORM (Write-One-Read-Many) para proteger seus backups contra ransomware – um tipo específico de mídia que só é fornecido para determinados tipos de fita e disco óptico, bem como para alguns provedores de armazenamento em nuvem.
  • Não confie nos backups em nuvem como o único tipo de armazenamento de backup. Embora o armazenamento em nuvem tenha várias vantagens, ele não é totalmente imune ao ransomware. Embora seja mais difícil para um invasor corromper os dados fisicamente, ainda é possível que os invasores de ransomware obtenham acesso aos seus dados usando uma infraestrutura compartilhada do armazenamento em nuvem como um todo ou conectando esse armazenamento em nuvem ao dispositivo de um cliente infectado.
  • Revisar e testar seus planos de recuperação e backup existentes. Seu plano de backup e recuperação deve ser testado regularmente para garantir que o senhor esteja protegido contra ameaças. Descobrir que seu plano de recuperação não está funcionando como pretendido somente após um ataque de ransomware é claramente indesejável. A melhor estratégia de backup de ransomware é aquela que nunca terá de lidar com violações de dados mal-intencionadas. Trabalhe em vários cenários diferentes, verifique alguns de seus resultados relacionados à restauração, como o tempo de recuperação, e estabeleça quais partes do sistema são priorizadas por padrão. Lembre-se de que muitas empresas podem – e devem – medir em dólares por minuto o custo dos serviços que ficam fora do ar.
  • Esclarecer ou atualizar as políticas de retenção e desenvolver cronogramas de backup. Recomenda-se enfaticamente uma revisão regular de suas estratégias de backup contra ransomware. Pode ser que o backup dos seus dados não seja feito com frequência suficiente ou que o período de retenção do backup seja muito pequeno, tornando seu sistema vulnerável a tipos mais avançados de ransomware que podem ter como alvo cópias de backup por meio de atrasos e outros meios de infecção.
  • Audite minuciosamente todos os seus locais de armazenamento de dados. Para proteger os backups contra ransomware, eles devem ser auditados para garantir que nenhum dado seja perdido e que o backup de tudo seja feito corretamente – possivelmente incluindo sistemas de usuários finais, armazenamentos em nuvem, aplicativos e outros softwares de sistema.

Como o ransomware pode adulterar seus backups

Embora seja verdade que os sistemas de backup e recuperação são capazes de proteger as organizações contra o ransomware na maioria dos casos, esses sistemas não são os únicos que continuam progredindo e evoluindo ao longo dos anos, pois o ransomware também se torna cada vez mais incomum e sofisticado com o passar do tempo.

Um dos problemas mais recentes de toda essa abordagem com backups é que agora muitas variações de ransomware aprenderam a visar e atacar não apenas os dados da empresa em primeiro lugar, mas também os backups dessa mesma empresa – e isso é um problema significativo para todo o setor. Muitos criadores de ransomware modificaram seu malware para rastrear e eliminar os backups. Sob essa perspectiva, embora os backups ainda possam proteger seus dados contra ransomware, o senhor também terá que proteger os backups contra ransomware.

É possível descobrir alguns dos principais ângulos que normalmente são usados para adulterar seus backups como um todo. Vamos destacar os principais e explicar como o senhor pode usá-los para proteger os backups contra ransomware:

O potencial de dano do ransomware aumenta com ciclos de recuperação mais longos

Embora não seja tão óbvio quanto outras possibilidades, o problema dos ciclos de recuperação longos ainda é bastante grande no setor e é causado principalmente por produtos de backup desatualizados que só podem executar backups completos lentos. Nesses casos, os ciclos de recuperação após um ataque de ransomware podem levar dias ou até semanas, e isso é um desastre enorme para a maioria das empresas, pois o tempo de inatividade do sistema e os custos de interrupção da produção podem rapidamente ofuscar as estimativas iniciais de danos causados pelo ransomware.

Duas possíveis soluções para ajudar a proteger seus backups contra o ransomware seriam: a) tentar obter uma solução que possa fornecer uma cópia de todo o sistema o mais rápido possível, para que o senhor não precise passar dias ou até semanas no modo de recuperação; e b) tentar obter uma solução que ofereça restauração em massa como um recurso, fazendo com que várias VMs, bancos de dados e servidores voltem a funcionar muito rapidamente.

Sua apólice de seguro também pode se tornar sua responsabilidade

Como mencionamos anteriormente, surgem cada vez mais variações de ransomware que podem ter como alvo tanto seus dados originais quanto seus backups ou, às vezes, até mesmo tentar infectar e/ou destruir seus dados de backup antes de ir para a fonte. Portanto, o senhor precisa dificultar ao máximo que o ransomware elimine todas as suas cópias de backup – uma espécie de defesa em várias camadas.

Os criminosos cibernéticos estão usando ataques muito sofisticados que têm como alvo os dados, indo direto para os seus backups, pois essa é a sua principal apólice de seguro para manter a empresa em funcionamento. O senhor deve ter uma única cópia dos dados em um estado tal que ela nunca possa ser montada por nenhum sistema externo (geralmente chamada de cópia de backup imutável) e implementar vários recursos de segurança abrangentes, como o WORM mencionado anteriormente, bem como isolamento de dados moderno, criptografia de dados, detecção de violação e monitoramento de anormalidades no comportamento dos dados.

Há duas medidas aqui que podemos analisar com um pouco mais de detalhes:

  • Cópia de backup imutável. A cópia de backup imutável é uma das maiores medidas contra ataques de ransomware – é uma cópia do seu backup que não pode ser alterada de forma alguma depois de criada. Ela existe exclusivamente para ser sua principal fonte de dados caso o senhor tenha sido alvo de ransomware e precise que suas informações voltem a ser como eram antes. Os backups imutáveis não podem ser excluídos, alterados, sobrescritos ou modificados de nenhuma outra forma – somente copiados para outras fontes. Alguns fornecedores apresentam a imutabilidade como algo infalível, mas em termos de backup de ransomware, isso não existe. Mas o senhor não deve temer ataques de ransomware de backup imutável. Basta garantir que o senhor tenha uma estratégia holística que inclua a detecção e a prevenção de ataques e implemente um forte gerenciamento de credenciais.
  • Criptografia de backup. É um tanto irônico que a criptografia também seja usada como uma das medidas para combater os ataques de ransomware, já que muitos ransomwares usam a criptografia para exigir o resgate dos seus dados. A criptografia não torna seus backups à prova de ransomware e não impede explorações. No entanto, em sua essência, a criptografia de backup deve funcionar como mais uma medida contra o ransomware, criptografando seus dados dentro dos backups para que o ransomware não possa lê-los ou modificá-los em primeiro lugar.

Os problemas de visibilidade de seus dados se tornam uma vantagem para o ransomware

Por sua natureza, o ransomware é mais perigoso quando entra em um sistema mal gerenciado – uma espécie de “dados obscuros”. Lá, ele pode causar muitos danos; um ataque de ransomware pode criptografar seus dados e/ou vendê-los na dark web. Esse é um problema significativo que exige as tecnologias mais avançadas para ser detectado e combatido com eficácia.

Embora a detecção precoce de ransomware seja possível apenas com uma solução moderna de gerenciamento de dados e um bom sistema de backup, a detecção dessas ameaças em tempo real requer uma combinação de aprendizado de máquina e inteligência artificial, para que o senhor possa receber alertas sobre atividades suspeitas de ransomware em tempo real, tornando a descoberta de ataques muito mais rápida.

A fragmentação de dados é uma grande vulnerabilidade

Claramente, muitas organizações lidam com grandes quantidades de dados regularmente. No entanto, o tamanho não é um problema tão grande quanto a fragmentação – não é incomum que os dados de uma empresa estejam localizados em vários locais diferentes e usem vários tipos de armazenamento diferentes. A fragmentação também pode criar grandes caches de dados secundários (nem sempre essenciais para as operações comerciais) que podem afetar seus recursos de armazenamento e torná-lo mais vulnerável.

Cada um desses locais e tipos de backup está adicionando outro local em potencial para o ransomware explorar seus dados, tornando o sistema da empresa inteira ainda mais difícil de proteger. Nesse caso, é uma boa recomendação ter uma solução de descoberta de dados funcionando em seu sistema, o que traz muitos benefícios diferentes – um dos quais é uma melhor visibilidade de todos os seus dados, tornando muito mais fácil detectar ameaças, atividades incomuns e possíveis vulnerabilidades.

As credenciais de usuário podem ser usadas várias vezes para ataques de ransomware

As credenciais de usuário sempre foram um dos maiores problemas nesse campo, fornecendo aos atacantes de ransomware acesso claro a dados valiosos da sua empresa – e nem todas as empresas conseguem detectar o roubo em primeiro lugar. Se as suas credenciais de usuário forem comprometidas, os atacantes de ransomware poderão aproveitar as diferentes portas abertas e obter acesso aos seus dispositivos e aplicativos. Toda a situação com as credenciais de usuário piorou quando, por causa da Covid, as empresas foram forçadas a mudar amplamente para o trabalho remoto em 2019 – e esse problema ainda está presente como sempre.

De acordo com o 2021 Data Breach Investigation Report da Verizon, mais de 60% das violações de dados em um ano foram realizadas usando credenciais comprometidas. Essas vulnerabilidades também podem afetar seus backups e deixá-los mais expostos a ransomware. Normalmente, a única maneira de combater esse tipo de lacuna na segurança é investir em controles rigorosos de acesso do usuário, incluindo recursos como autenticação multifator, controles de acesso baseados em funções, monitoramento constante e assim por diante.

Sempre teste e teste novamente seus backups

Muitas empresas só percebem que seus backups falharam ou são muito difíceis de recuperar depois de terem sido vítimas de um ataque de ransomware. Se quiser garantir que seus dados estejam protegidos, o senhor deve sempre fazer algum tipo de exercício regular e documentar as etapas exatas para criar e restaurar seus backups.

Como alguns tipos de ransomware também podem permanecer inativos antes de criptografar suas informações, vale a pena testar todas as suas cópias de backup regularmente, pois talvez o senhor não saiba exatamente quando a infecção ocorreu. Lembre-se de que o ransomware continuará encontrando maneiras mais complexas de se ocultar e tornar seus esforços de recuperação de backup mais caros.

Conclusão

Para obter a máxima proteção de seu backup contra ransomware e ameaças semelhantes, o forte conselho da Bacula Systems é que sua organização cumpra totalmente as práticas recomendadas de backup e recuperação de dados listadas acima. Os métodos e ferramentas descritos nesta postagem do blog são usados regularmente pelos clientes da Bacula Systems para proteger seus backups contra ransomware. Para empresas sem soluções de backup de dados de nível avançado, a Bacula Systems recomenda que essas organizações realizem uma revisão completa de sua estratégia de backup e avaliem uma solução moderna de backup e recuperação.

Baixe o white paper da Bacula sobre proteção contra ransomware.

Sobre o autor
Rob Morrison
Rob Morrison é o diretor de marketing da Bacula Systems. Ele começou sua carreira de marketing de TI na Silicon Graphics, na Suíça, e desempenhou intensamente várias funções de administração de marketing por quase 10 anos. Nos 10 anos seguintes, Rob também ocupou vários cargos de administração de marketing na JBoss, Red Hat e Pentaho, assegurando o crescimento da participação no mercado dessas empresas reconhecidas. Ele é formado pela Universidade de Plymouth e tem um diploma de honras em mídia digital e comunicação, além de ter feito um programa de estudos no exterior.
Posts Relacionados
Como proteger os dados de backup? Um guia para backups seguros
dezembro 13, 2023
As 20 melhores soluções de backup para VMware maquina virtual ESXi
março 10, 2022
O que é a estratégia de backup do Air Gap? Segurança cibernética, redes e sistemas da Air Gap
fevereiro 19, 2024
Os 15 principais provedores e empresas de HPC
maio 2, 2024
Avaliação da segurança do data center: Padrões, regulamentos e práticas recomendadas
julho 19, 2024
Backup do RHEV: Por que é importante?
setembro 26, 2022
Deixe um comentário

Seu e-mail não será publicado. Os campos obrigatórios estão marcados com *