محدودیت ها و خطرات پشتیبان گیری به عنوان محافظت از باج افزار
0
0
باج افزار فشار آورده است پشتیبان گیری و بازیابی به طور محکم به دستور کار شرکت بازگشت. بدون پشتیبان گیری و استراتژی بازیابی، شرکت ها شانس کمی برای زنده ماندن از حمله باج افزار دارند، حتی اگر باج را بپردازند.
به عنوان مثال، IBM باج افزار را به عنوان تهدیدات امنیتی سایبری پیشرو در سال 2021 معرفی کرد که 23 درصد از کل حملات سایبری را شامل می شود.
بارنابی موت، مدیر عامل ارائه دهنده پشتیبان آنلاین Databarracks می گوید که این امر CIO ها را مجبور کرده است تا استراتژی های پشتیبان گیری و بازیابی خود را دوباره بررسی کنند. “تناقض این است که باج افزار دارد پشتیبان گیری و بازیابی را دوباره در کانون توجه قرار داداو می گوید. اگر به پنج سال قبل برگردید، این یک موضوع بهداشتی بود و در دستور کار CIO یا مدیر عامل نبود. حالا دوباره هست.»
حملات پرمخاطب علیه سازمان هایی از جمله شرکت کشتیرانی مرسک و شبکه نفتی ایالات متحده خط لوله استعماری توجه را به خطرات ناشی از این نوع حملات سایبری معطوف کرده و سازمان ها را بر آن داشته تا در دفاع سایبری سرمایه گذاری کنند.
اما باج افزار در حال هوشمندتر شدن است حملات اخاذی دو و سه گانهو تکنیک هایی که به بدافزار اجازه می دهد برای مدت طولانی تری شناسایی نشود. این امر بر آن دفاع ضروری دیگر در برابر باج افزارها – پشتیبان گیری خوب از داده ها – فشار می آورد.
تونی لاک، تحلیلگر Freeform Dynamics میگوید: «عامل دیگری که بهطور چشمگیری تغییر کرده است این است که وقتی به یک باجافزار آلوده میشوید، همیشه فوراً فعال نمیشود. ممکن است متوجه شوید که باجافزار مدتها قبل از اینکه متوجه آن شوید در سیستم شما وجود داشته است، اما فقط اکنون آن را فعال کردهاند و همه چیز رمزگذاری شده است.
در نتیجه، سازمانها مجبورند برای یافتن پشتیبانهای پاک، اهداف نقطه بازیابی را بیشتر به عقب برگردند.RPO ها) تا جایی که کسب و کار در معرض خطر قرار می گیرد، یا حتی ممکن است رهبران آن احساس کنند که باید باج را بپردازند. لاک میگوید: «تا کجا باید پیش بروید، تا زمانی که از نسخههای خود بازیابی میکنید، مطمئن شوید که عفونت را با خود نمیآورید؟»
پشتیبان گیری در معرض خطر
همانطور که لاک پیشنهاد میکند، وقتی سازمانها با یک حمله باجافزار برخورد میکنند، یکی از بزرگترین خطرات، آلوده کردن مجدد سیستمها از یک نسخه پشتیبان به خطر افتاده است. برخی از ابزارهای پشتیبانگیری و بازیابی و تداوم کسبوکار آزمایششده و آزمایششده صنعت، محافظت کمی در برابر باجافزار ارائه میکنند.
عکس های فوری وضعیت زنده یک سیستم را در مکان دیگری، چه در محل یا در فضای ابری، ثبت کنید. بنابراین، اگر باجافزار به سیستم تولید ضربه بزند، هر احتمالی وجود دارد که روی نسخه کپی شود.
سیستمهای معمولی پشتیبانگیری از دادهها با همان خطر مواجه هستند، کپی کردن فایلهای در معرض خطر در کتابخانه پشتیبان. و نویسندگان بدافزار در حال تطبیق باجافزار هستند تا به طور فعال پشتیبانگیریها را هدف قرار دهد، از بازیابی دادهها جلوگیری کند، یا فوراً هر گونه تلاش برای استفاده از فایلهای بازیابی شده را با رمزگذاری آنها هدف قرار دهد.
برخی از باج افزارها – برای مثال Locky و Crypto – اکنون سیستم های تولید را به طور کلی دور می زنند و مستقیماً به دنبال پشتیبان گیری می شوند، زیرا می دانند که این کار قربانی را در یک آسیب واقعی قرار می دهد. این امر سازمان ها را مجبور کرده است که دوباره به استراتژی های پشتیبان خود نگاه کنند.
پشتیبان گیری غیرقابل تغییر
یکی از گزینه ها استفاده از به اصطلاح است پشتیبان گیری “تغییر ناپذیر”.. اینها پشتیبان هایی هستند که پس از نوشتن، قابل تغییر نیستند. تامین کنندگان پشتیبان و بازیابی در حال ایجاد پشتیبان های غیرقابل تغییر در فناوری خود هستند و اغلب آن را به طور خاص به عنوان راهی برای مقابله با باج افزارها هدف قرار می دهند.
رایج ترین روش برای ایجاد نسخه های پشتیبان غیرقابل تغییر، از طریق عکس های فوری است. از برخی جهات، یک عکس فوری همیشه تغییرناپذیر است. با این حال، تامین کنندگان در حال انجام اقدامات اضافی برای جلوگیری از هدف قرار گرفتن این نسخه های پشتیبان توسط باج افزار هستند.
به طور معمول، این امر با اطمینان از اینکه نسخه پشتیبان فقط می تواند توسط نرم افزاری که آن را ایجاد کرده نوشته، نصب یا پاک کند، انجام می شود. برخی از تامین کنندگان فراتر می روند، مانند اینکه دو نفر را ملزم به استفاده از یک پین برای مجوز بازنویسی یک نسخه پشتیبان می کنند.
مشکل عکسهای فوری حجم دادههایی است که ایجاد میکنند، و این واقعیت است که این عکسهای فوری به دلایل سرعت و کاهش اختلال، اغلب در فضای ذخیرهسازی لایه اول نوشته میشوند. این امر اسنپ شات ها را گران می کند، به خصوص اگر سازمان ها نیاز داشته باشند روزها یا حتی هفته ها از نسخه پشتیبان خود را به عنوان محافظت در برابر باج افزار نگه دارند.
Databarracks’ Mote می گوید: “مشکل بازیابی عکس فوری این است که داده های اضافی زیادی ایجاد می کند.” “این کار خواهد کرد، اما تاثیر زیادی بر فضای ذخیره سازی مورد نیاز شما دارد و قرار دادن آن در حافظه اصلی هزینه دارد.”
شکاف های هوایی
راه دیگر برای محافظت در برابر باج افزار این است که “فاصله هوا” ذخیره سازی، به خصوص نسخه های پشتیبان. از برخی جهات، این امنترین گزینه است، به خصوص اگر نسخههای پشتیبان خارج از سایت، فقط در حالت نوشتن ذخیره شوند (کرم) رسانه هایی مانند ذخیره سازی نوری یا حتی نوار.
Freeform’s Lock می گوید: “شخصا من شکاف های هوایی را دوست دارم.” من میخواهم نسخه پشتیبان روی چیزی باشد که کاملاً دارای شکاف هوا باشد – یک کپی روی نوار بگیرید و در جایی قرار دهید. ترجیحاً با شکافهای هوایی منطقی و فیزیکی.»
نقطه ضعف شکاف های هوایی، به ویژه شکاف های فیزیکی فیزیکی با ذخیره سازی خارج از سایت، زمان بازیابی اطلاعات است. زمان بازیابی ممکن است برای اطمینان از تداوم کسب و کار بسیار طولانی باشد. و اگر تیمهای فناوری اطلاعات برای یافتن نسخههای بدون باجافزار مجبور باشند چندین نسل پشتیبانگیری را به عقب برگردانند، هزینه بازیابی اطلاعات از دست رفته میتواند زیاد باشد، شاید حتی بیشتر از هزینه باجگیری.
پاتریک اسمیت، CTO حوزه اروپا، خاورمیانه و آفریقا (EMEA) در Pure Storage میگوید: «زمان بازیابی، در مقیاس، اکنون کلیدی است. “این ممکن است به معنای راه حل های خاصی برای برنامه های کاربردی مهم تجاری باشد که ابتدا باید آنلاین باشند.”
تامینکنندگان در تلاش هستند تا از طریق فناوری فضای مجازی مجازی که به پشتیبانگیریها در فضای ذخیرهسازی محلی (یا ابری) سریعتر ذخیره میشود، این کار را انجام دهند. اما برای کسبوکارهایی که دارای حیاتیترین دادهها هستند، این احتمال وجود دارد که تنها پشتیبانگیریهای کاملاً تغییرناپذیر و دارای شکاف هوا کافی باشد، حتی اگر به عنوان خط دوم یا سوم دفاعی باشد.
دفاع در عمق: پشتیبان گیری و ابزارهای امنیتی
با این حال، CIOها همچنین به دنبال تقویت ابزارهای پشتیبان خود با اقدامات امنیتی هستند که به طور خاص باج افزار را هدف قرار می دهد.
شاید بزرگترین خطر برای سازمانی با سیاست پشتیبانگیری مستحکم، آلوده کردن مجدد سیستمهای ناخواسته از باجافزار پنهان در پشتیبانگیریها باشد.
شرکتها باید اقداماتی را برای اسکن نسخههای پشتیبان قبل از بازگرداندن به یک محیط بازیابی انجام دهند، اما باز هم این کار به زمان نیاز دارد. و نویسندگان بدافزار در پنهان کردن مسیرهای خود ماهر هستند.
تشخیص ناهنجاری یکی از مسیرهایی است که تأمینکنندگان برای بررسی ایمن بودن پشتیبانگیری در حال بررسی هستند. طبق گفته Freeform Dynamics’ Lock، ابزارهای یادگیری ماشینی بهترین مکان را برای دریافت تغییرات در داده هایی که ممکن است بدافزار باشند، هستند. این نوع فناوری اهمیت فزاینده ای پیدا می کند زیرا مهاجمان به حملات اخاذی مضاعف و سه گانه روی می آورند.
او میگوید: «شما باید حفاظت از دادهها، قابلیت مشاهده و بررسی ناهنجاریها را به یک فرآیند مداوم تبدیل کنید.
لینک منبع
