Predplatné

HN špeciál

Prioritou útočníkov sú zálohy, a tak stratégia obrany by mala byť vždy o krok vpred.
Prioritou útočníkov sú zálohy, a tak stratégia obrany by mala byť vždy o krok vpred.Dreamstime
StoryEditor

3-2-1...zálohy!

28.02.2025, 00:00
Autor:
HNšpeciálHNšpeciál

Ransomvérové útoky dokážu položiť na lopatky aj dobre pripravené organizácie. Prečo?

Pri plánovaní obrany pred ransomvérovým útokom sa možno aj vaša organizácia spolieha na zálohy – často poslednú možnosť na obnovenie IT infraštruktúry. Avšak až v situácii, keď už čelíte ransomvéru, zistíte, že bežné zálohovacie stratégie nestačia. A vaše zálohy nie sú pripravené na obnovu.

Ako ransomvér funguje naozaj?

Ransomvérový útok si väčšina ľudí predstavuje nejako takto: ráno prídete do práce, zapnete počítač a „bum“ – vaše dáta sú zašifrované.

Realita je však iná a útočníci si dávajú načas. Týždne, dokonca mesiace nepozorovane mapujú sieť, hľadajú slabé miesta a likvidujú zálohy. Áno, čítate dobre, ich prioritou sú práve vaše zálohy. Ak ich dokážu ovládnuť alebo zničiť, máte problém.

Preto by vaša stratégia obrany mala byť vždy o krok vpred. A vy by ste sa mali vyvarovať mýtom, ktoré môžu zničiť šance na rýchlu obnovu po útoku. Ktoré to sú?

Dodržiavame pravidlo 3-2-1

Pravidlo 3-2-1, teda existujúce tri kópie dát, uložené na dvoch rôznych médiách, pričom jedna kópia je „off-site“, je síce základom zálohovania, ale samo o sebe nestačí.

Ak vaše zálohy nemajú ďalšie vrstvy ochrany, ako sú tzv. „immutable“ zálohy alebo zálohy nie sú izolované od produkčnej siete, ransomvér si k nim nájde cestu. Ste si istí, že váš zálohovací server nie je pripojený k Active Directory (AD)? Možno aj vy ho tam máte, aby sa centrálne spravoval. Je to však chyba – váš „backup“ server by mal byť kompletne oddelený od AD.

A čo virtuálne zálohovacie servery? Nie sú v tej istej infraštruktúre ako produkčné systémy? Dbať by ste mali aj na dostatočnú ochranu „off-site“ záloh.

Ak má útočník prístup do vašej siete, toto sú slabiny, ktoré zneužije.

Zálohy máme v cloude

Cloudové zálohy sú určite užitočné, ale nie sú nepriestrelné. Útočníci cielene hľadajú prístup do cloudových konzol – aby mohli zálohy nielen zašifrovať, ale aj vymazať.

Pozor by ste si mali dávať na synchronizované úložiská ako OneDrive alebo Google Drive – ak sú totiž pripojené ako sieťové priečinky, ransomvér ich môže zašifrovať rovnako ľahko ako lokálne súbory.

Chcete mať istotu? Cloudové konzoly zabezpečte viacfaktorovým overovaním (MFA) a vyhnite sa pripojeniu cloudového úložiska priamo do vašej siete.

Máme drahé zálohovacie riešenie

Aj ten najlepší softvér je len taký dobrý, ako ľudia, ktorí ho používajú. Ak nemáte jasne definovaný a otestovaný plán obnovy, ransomvér vás môže aj tak dobehnúť.

Každý zálohovací plán by preto mal byť pravidelne testovaný – od obnovy jedného súboru až po kompletnú obnovu celej infraštruktúry. Bez testovania sú zálohy totiž len teoretická poistka, ktorá v praxi nemusí fungovať.

Pamätajte, že ransomvér nie je len technický IT problém – vyžaduje spoluprácu celej organizácie. Preto by malo byť pripravené nielen vedenie, právnici či komunikačný tím, ale i HR a ďalšie oddelenia. Ítečkári to jednoducho sami nezvládnu.

Dodržiavame všetky odporúčania pre „backupy“

Ani to však neznamená, že obnova po ransomvérovom útoku pôjde ľahko. Proces je totiž komplikovanejší, než si väčšina ľudí myslí. Ak ste ho nikdy netestovali, mali by ste sa pripraviť na prekvapenia.

Dôvod? Je ich veľa, od technických limitov siete až po nedostatok času a kapacitu IT tímu. Preto je pravidelná simulácia obnovy nevyhnutná. Iba tak zistíte, kde sú vaše slabé miesta, a budete pripravení konať, keď to bude potrebné.

Správna príprava záloh

Ako teda pripraviť zálohy na ransomvérový útok? V prvom rade zabudnite na zázračné riešenia. Také neexistujú. Ransomvéru sa ubránite iba premyslenou stratégiou. Tá by mala zahŕňať nasledovné:

Segmentujte zálohovaciu infraštruktúru, využívajte imutabilné zálohy a „air-gapped“ riešenia, ktoré nie sú trvalo pripojené k sieti.

Disaster Recovery plán – jasne definujte kroky obnovy a pravidelne ich testujte.

Zapojte všetky oddelenia – IT nemôže zvládnuť obnovu samo.

Používajte MFA – jednoduché heslá už dávno nestačia.

Pravidelne simulujte obnovu – len tréning pripraví váš tím na skutočnú situáciu.

Ransomvér je nevyspytateľný a útočníci sú stále kreatívnejší. Skutočná pripravenosť preto nie je len o tom, že zálohy máte. Ale o tom, či dokážete dáta obnoviť – rýchlo a efektívne.

Ako sú na tom vaše zálohy? Ste si naozaj istí, že by zvládli ransomvérový útok? Ak nie, je čas konať.

Vladimír Ruttkay

Cyber Security Analyst, void SOC

#KYBERBEZPEČNOSŤ#KYBERNETICKÁ BEZPEČNOSŤ
Tip redakcie
menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
28. február 2025 00:04