Reguła 3-2-1 ułatwia ochronę przedsiębiorstwa przed atakami ransomware

 W roku 2017 atak WannaCry doprowadził do blokady szpitalnych systemów informatycznych w różnych krajach Europy, unieszkodliwiając ponad 200 tysięcy komputerów. Trudno o lepszy przykład destrukcyjnego potencjału tego rodzaju działań.

Najbardziej znane przypadki to jak do tej pory WannaCry i Petya, jednak według przygotowanego przez Europol raportu Internet Organized Crime Threat Assessment (IOCTA) liczba cyberataków w dalszym ciągu rośnie. Przedsiębiorstwa i instytucje muszą zdać sobie sprawę z tego zagrożenia i podjąć odpowiednie kroki w celu przygotowania środowiska i mechanizmów ochrony oraz opracowania środków naprawczych. To kluczowy element, dzięki któremu można uniknąć niezaplanowanych i z dużym prawdopodobieństwem nieskutecznych działań podejmowanych w reakcji na ewentualny incydent. Silne, wielowarstwowe zabezpieczenia i strategia działania muszą oprzeć się na trzech elementach: edukacji użytkowników, wdrożeniu odpowiednich rozwiązań oraz zastosowaniu właściwych środków naprawczych. Krytyczne znaczenie ma również wdrożenie zwiększających odporność środowiska mechanizmów tworzenia kopii zapasowych, odzyskiwania i odtwarzania danych, ponieważ pozwala to zachować ciągłość funkcjonowania firmy w momencie pojawienia się zagrożenia.

Edukacja użytkowników w przedsiębiorstwie

Jeśli chodzi o przekazywanie wiedzy, należy objąć nim dwie istotne grupy pracowników, to jest personel informatyczny i użytkowników biznesowych. Ważne jest uwzględnienie obu grup, ponieważ zagrożenia mogą pojawić się w obu środowiskach pracy.

Ataki typu ransomware realizowane są głównie za pośrednictwem protokołu RDP (Remote Desktop Protocol) lub innych mechanizmów zdalnego dostępu, wyłudzania danych (tzw. phishingu) oraz aktualizacji oprogramowania. W skrócie rzecz ujmując, w większości sytuacji cyberprzestępcy nie muszą podejmować zbyt wielkich starań, by osiągnąć swój cel. Wiedząc o tych mechanizmach, możemy łatwiej wskazać obszary, w które należy szczególnie zainwestować, jeśli chcemy zapewnić odporność sieci na ataki ransomware i uwzględnić przy tym wektory ataku.

Większość administratorów systemów informatycznych korzysta z protokołu RDP na co dzień, a wiele serwerów RDP jest połączonych bezpośrednio z Internetem. Należy zrezygnować z takiej konfiguracji. Administratorzy środowiska informatycznego mogą stosować różne zaawansowane środki, np. specjalne adresy IP, przekierowywanie portów RDP albo skomplikowane hasła, jednak dane jednoznacznie wskazują, że ponad połowa ataków typu ransomware odbywa się za pośrednictwem protokołu RDP. Długoterminowa strategia zapewnienia odporności wyklucza możliwość bezpośredniego łączenia serwerów RDP z Internetem.

Inną często stosowaną metodą ataku jest rozsyłanie wiadomości e-mail mających na celu wyłudzenie danych (phishing). Każdemu użytkownikowi poczty zdarzyło się otrzymać wiadomość, która nie wygląda na autentyczną. Oczywiście taki list należy od razu skasować, jednak nie wszyscy odbiorcy reagują w tej sytuacji we właściwy sposób. Na rynku dostępne są popularne narzędzia, takie jak Gophish i KnowBe4, które pomagają w ocenie ryzyka zagrożenia phishingiem. W połączeniu ze szkoleniem, dzięki któremu pracownicy nauczą się rozpoznawać podejrzane wiadomości i odsyłacze, narzędzia do samodzielnej oceny stanowią skuteczną linię obrony przed atakami.

Trzeci istotny obszar ryzyka to wykorzystywanie słabych punktów zabezpieczeń. Konieczność aktualizacji systemów to stały obowiązek wszystkich informatyków, ale obecnie nabiera on szczególnego znaczenia. Zadanie to nie wydaje się wprawdzie zbyt ambitne, jednak przedsiębiorstwo może szybko przekonać się o jego istotności, kiedy wystąpi atak wykorzystujący znaną lukę w zabezpieczeniach, którą dałoby się zlikwidować po zastosowaniu poprawki. Warto pamiętać o instalowaniu bieżących aktualizacji newralgicznych kategorii zasobów informatycznych, czyli systemów operacyjnych, aplikacji, baz danych i oprogramowania wbudowanego urządzeń. Wiele odmian ataków typu ransomware, w tym WannaCry i Petya, opiera swoje działanie na wcześniej wykrytych lukach w zabezpieczeniach, które zostały już jakiś czas temu usunięte.

Wdrożenie rozwiązań i środki naprawcze

Nawet organizacje, które stosują sprawdzone procedury zapobiegania zagrożeniom typu ransomware, narażone są na pewne ryzyko. Edukacja użytkowników jest bardzo istotnym krokiem, jednak przedsiębiorstwo musi przygotować się także na najgorszy scenariusz. Kierownicy działów informatycznych i biznesowych muszą pamiętać o jednej sprawie: konieczna jest pamięć masowa na kopie zapasowe, odznaczająca się maksymalną odpornością.

Firma Veeam zaleca zastosowanie reguły 3-2-1 opisującej ogólną strategię zarządzania danymi. Reguła 3-2-1 zaleca tworzenie co najmniej trzech kopii ważnych danych na co najmniej dwóch rodzajach nośników i przechowywanie co najmniej jednej z tych kopii w innej lokalizacji. Reguła nie wymusza stosowania konkretnych typów sprzętu i jest na tyle elastyczna, że pozwala obsłużyć niemal każdy scenariusz awarii.

Ta „jedna” kopia wskazana w strategii 3-2-1 musi odznaczać się szczególną odpornością. Oznacza to, że powinna być odizolowana fizycznie, odłączona od sieci lub niemodyfikowalna. Istnieją różne typy nośników, na których można zapisać taką kopię danych w wyjątkowo bezpieczny sposób. Obejmuje to pamięci taśmowe, niezmienialne kopie w usłudze S3 lub obiektowej pamięci masowej zgodnej z S3, nośniki odizolowane fizycznie i odłączone od sieci, a także oprogramowanie do tworzenia kopii zapasowych i odzyskiwania danych po awarii działające w modelu „jako usługa”.

Mimo prowadzonych szkoleń i wdrażania różnych technik przedsiębiorstwa muszą być przygotowane na prowadzenie działań naprawczych w przypadku skutecznego ataku. Podejście Veeam opiera się na prostej zasadzie: nie należy płacić okupu. Jedyną opcją jest odtworzenie danych. Ponadto przedsiębiorstwo musi mieć opracowany plan reagowania w momencie wykrycia zagrożenia. W pierwszej kolejności należy skontaktować się ze wsparciem technicznym. Klienci firmy Veeam mają dostęp do specjalnego zespołu stosującego konkretne procedury i gotowego udzielić pomocy w przejściu procesu odzyskiwania danych w incydentach związanych z atakami ransomware. Nie wolno narażać kopii zapasowych na zagrożenia, ponieważ mają kluczowe znaczenie podczas przywracania sprawności środowiska.

Niezależnie od rodzaju katastrofy jednym z pierwszych problemów, jakie należy rozwiązać, jest kwestia zapewnienia komunikacji. Musi istnieć plan określający sposoby kontaktu z odpowiednimi osobami bez wykorzystania sieci. Obejmuje to na przykład grupy odbiorców wiadomości tekstowych, odpowiednie numery telefonów i inne mechanizmy komunikacji w ramach rozszerzonego zespołu. W książce adresowej powinni znaleźć się także wewnętrzni lub zewnętrzni eksperci ds. bezpieczeństwa, reagowania na incydenty i zarządzania tożsamością.

Niezbędne jest również skontaktowanie się z osobami odpowiedzialnymi za podjęcie decyzji. Przed wystąpieniem jakichkolwiek incydentów przedsiębiorstwo musi określić, kto podejmuje decyzje o odtwarzaniu lub przełączaniu awaryjnym. Po podjęciu decyzji o odtwarzaniu danych konieczne jest wykonanie dodatkowych kontroli bezpieczeństwa, zanim zostanie przywrócone działanie systemów. Należy także ustalić, czy najlepszym sposobem działania będzie odtworzenie całej maszyny wirtualnej, czy też skuteczniejsze okaże się odtwarzanie na poziomie plików. Proces odtwarzania również musi być zrealizowany w bezpieczny sposób, tj. należy uruchomić pełne skanowanie antywirusowe i funkcje poszukiwania szkodliwego oprogramowania oraz wymusić zmianę haseł użytkowników po przywróceniu systemów.  

Zagrożenie atakami typu ransomware jest całkiem realne, jednak dzięki odpowiedniemu przygotowaniu przedsiębiorstwa są w stanie zwiększyć odporność na incydenty i ograniczyć ryzyko utraty danych, strat finansowych i pogorszenia reputacji. Kluczowe jest zastosowanie podejścia wielowarstwowego. Warto przeszkolić personel informatyczny i pozostałych pracowników, aby zminimalizować ryzyko i zwiększyć skuteczność działań prewencyjnych. Należy jednak również wdrożyć rozwiązania, które zapewnią bezpieczeństwo danych i ułatwią tworzenie kopii zapasowych. Trzeba także przygotować się na działania naprawcze w systemach przetwarzania danych podejmowane wówczas, gdy mechanizmy zabezpieczeń stosowane na pierwszych liniach obrony okażą się niewystarczające. Działania takie można zrealizować dzięki funkcjom tworzenia i odtwarzania pełnych kopii zapasowych oraz odzyskiwania po awarii.