Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Ochrona danych przed ransomware z platformą Commvault
Ransomware od kilku lat święci triumfy i sieje spustoszenie w środowiskach większych i mniejszych organizacji. Dlatego dzisiaj nie warto zastanawiać się czy chronić firmę i pracowników przed złośliwym oprogramowaniem, ale przede wszystkim jak skutecznie stawić opór cyberprzestępcom. W tym artykule opowiemy czym jest ransomware, dlaczego warto go uwzględniać w strategii Disaster Recovery, jakie procedury należy wdrożyć i dlaczego warto postawić na sprawdzoną technologię Commvault do ochrony danych.
Każdego dnia czytamy o atakach hakerskich na kolejne organizacje. Ofiarami zostają globalne korporacje o międzynarodowym zasięgu, organizacje rządowe i pozarządowe, jednostki publiczne, ale również małe i średnie przedsiębiorstwa czy użytkownicy końcowi. W dobie transformacji cyfrowej to jedno z poważniejszych zagrożeń, które generuje wielomilionowe straty dla poszkodowanych. Dlatego warto chronić to, co najcenniejsze – nasze dane – paliwo współczesnego biznesu.
Czym jest ransomware?
Gdyby ransomware było polskim wyrazem, to odmienialibyśmy je przez wszystkie przypadki (zdecydowanie rzadziej trafiamy na określenia „oprogramowanie wymuszające okup” czy „oprogramowanie szantażujące”). Jednak w branżowej terminologii przyjęliśmy angielskie słowo, podobnie jak malware czy phishing.
Czym jest ransomware? To w dużym skrócie, złośliwe oprogramowanie, którego zadaniem jest pokonanie zabezpieczeń infrastruktury organizacji i zaszyfrowanie plików. Wszystko po to, by hakerzy mogli zażądać okupu za odblokowanie dostępu do danych, najczęściej w kryptowalucie. Pierwsze ataki ransomware odbywały się za pośrednictwem poczty e-mail. Obecnie wektory ataku są bardziej wyrafinowane, co wynika ze swoistego wyścigu zbrojeń działów IT security i cyberprzestępców.
Tragiczne skutki ransomware – może lepiej być przygotowanym i zapobiegać?
W najbardziej spektakularnych przypadkach kwoty za deszyfrację zawartości serwerów czy urządzeń końcowych sięgają milionów dolarów. Zatem jest z czym i o co walczyć. Nie tylko o pieniądze, które można przeznaczyć na zupełnie inne cele. Możemy również stracić przychody, narazić się na wyciek kluczowych danych czy straty wizerunkowe.
- Nie bez przyczyny aż 55% specjalistów od cyberbezpieczeństwa twierdzi, że wykrywanie zaawansowanych (ukrytych, nieznanych i nagłych) zagrożeń to największe wyzwanie dla zespołów SOC (Security Operations Center)[1].
- Ponad 50% włamań nie jest wykrywana przez wiele miesięcy[2].
- W czwartym kwartale 2019 o 33% wzrosła liczba dni z incydentami ransomware[3].
Ważna jest strategia ochrony danych przed ransomware
- Stwórz plan – musisz być zawsze przygotowany na potencjalny atak. Nie możesz zaczynać działań dopiero po włamaniu. Taka postawa pomoże Ci wrócić szybko i w pełni do stanu pierwotnego, czyli operacyjności firmy.– Wyznacz krytyczne aplikacje dla ciągłości działania biznesu, by stworzyć scenariusz odzyskiwania danych w oparciu o priorytety.
– Zdefiniuj najważniejsze parametry dla Twoich systemów, danych i aplikacji (RPO – Recovery Point Objectives, RTO – Recovery Time Objectives i SLA – Service Level Agreement). Dzięki tym metrykom, będziesz wiedzieć jak szybko przywrócisz działania kluczowych narzędzi, ile czasu potrzebujesz, by odzyskać dane oraz gdzie znajdują się luki w ekosystemie Twojej organizacji.
– Kto jest odpowiedzialny (wewnątrz organizacji czy zewnętrzny Service Provider) za odzyskiwanie danych. Czy znasz uczestników tych działań oraz zakresy ich odpowiedzialności? W trakcie wychodzenia z czarnego scenariusza nie będzie czasu na tego typu ustalenia. Wtedy koncentrujecie się na możliwie najszybszym zakończeniu operacji Recovery. - Zapobiegaj atakom – to niemożliwe, aby Twoja firma była w pełni odporna na ataki. Jednak każde świadome działanie chroni przed katastrofalnymi skutkami ransomware.– Dlatego tak istotna jest świadomość zagrożeń u użytkowników końcowych oraz uczulenie ich na niebezpieczeństwo wynikające z pobierania załączników czy aplikacji z nieznanych źródeł.
– Dział IT powinien regularnie instalować aktualizacje i łatki (tzw. patches) niezwłocznie po ich wypuszczeniu, by minimalizować potencjalne luki w systemach. - “Ludzki firewall” to jedno, lecz niezwykle istotne są technologie wykorzystane do zabezpieczenia środowiska lokalnego w firmie.– Foundation hardening – Podatności takie jak błędy w konfiguracji to jak zaproszenie cyberprzestępców do wejścia przez otwarte drzwi. Przykładowo, powinieneś zrezygnować z korzystania Server Message Block 1 (SMB 1), który nie obsługuje szyfrowania, jeśli chcesz uniknąć naruszenia integralności platformy do ochrony danych przez hakerów.
– Application hardening – Bezpośredni dostęp do aplikacji to ułatwienie działań cyberprzestępcom. Dlatego warto wykorzystać AAA Security framework, który obejmuje Autentykację, Autoryzację i Kontrolę Dostępu. - Monitoruj Twoje środowisko – Jeśli nie masz możliwości totalnej ochrony przed atakiem ransomware, to musisz być przygotowany na jak najszybsze jego wykrycie. Dzięki centralnemu zarządzaniu i raportowaniu szybciej zauważysz anomalie w systemach i sprawniej zminimalizujesz negatywne skutki włamania. Przykładowo, może to być:– Skanowanie serwerów w celu wykrycia nietypowych działań na plikach
– Wykorzystanie Machine Learningu pomaga w wykryciu złośliwego oprogramowania. ML wychwytuje różnice pomiędzy standardową aktywnością a tą niezdefiniowaną i anormalną na podstawie historycznych danych.
– Zastosowanie honeypotów, czyli pułapek na hakerów. Dzięki nim możemy wykryć próbę nieautoryzowanego dostępu do systemu czy pozyskania danych. - Odzyskuj dane – im szybciej, tym lepiej. Niwelujesz wpływ ransomware na działania operacyjne organizacji, dzięki przywróceniu systemów i danych w krótkim czasie. Należy zdecydowanie odejść od tradycyjnego rozumienia kopii zapasowych na poziomie plików. Replikacja to słowo-klucz, które oznacza traktowanie backupu jako ciągłego procesu, niemal w czasie rzeczywistym. Continuous Data Replication (CDR), replikacja przyrostowa czy Volume block-level replication (VBR) to dobre praktyki z obszaru Data Recovery, które zyskują popularność ze względu na skuteczność i możliwość sprawnego odzyskiwania po awarii.
- Testuj plan – wdrożenia procedur i technologii są kosztowne i to nie jest dla Ciebie zaskoczenie. Ale musisz musisz mieć pewność, że poczynione inwestycje były tego warte i działają jak należy. W tym punkcie możesz jeszcze dopracować poszczególne elementy i np. sprawdzić podwykonawców, by upewnić się czy strategia DR działa i spełnione są parametry RPO, RTO i SLA.
Commvault to działający scenariusz w walce z ransomware
Pewnie zastanawiasz się jak wygląda to w praktyce? Oto pierwszy przykład – Wydział Transportu w Stanie Kolorado padł ofiarą ataku ransomware. I to dzięki alertowi w platformie Commvault specjaliści IT dowiedzieli się o tym fakcie, jeszcze zanim inne narzędzia do cyberbezpieczeństwa wykryły atak. Starannie dopracowany plan działania, pełna koordynacja oraz duże zaangażowanie agencji, personelu i technologii pozwolił na szybki i pełny powrót do stanu pierwotnego.
Kolejny interesujący przykład z życia wzięty również pochodzi z sektora publicznego. Tym razem hakerzy wykorzystali ransomware do ataku na miasto Sparks w Nevadzie i w efekcie zablokowali współdzielone pliki departametu policji oraz kluczowe dane geograficzne, wykorzystywane przez wiele jednostek miejskich. Wiele lat temu ransomware sparaliżowałby funkcjonowanie samorządu na długi czas, głównie ze względu na wykorzystywanie przestarzałych narzędzi do backupu. W tym konkretnym przypadku, Commvault umożliwił pełne odzyskanie danych jedynie w 12 godzin.
Dlaczego warto wybrać platformę Commvault?
- Lider rozwiązań w obszarze Data Protection. Obrona przed atakami ransomware wymaga topowych rozwiązań. Commvault od wielu lat znajduje się w prawym górnym kwadracie słynnego Gartner Magic Quadrant.
- Utwardzanie systemów i aplikacji (Foundation and Application Hardening). Commvault monitoruje środowisko w Twojej firmie, wyłapuje anomalie oraz wykorzystuje honeypoty, by proaktywnie identyfikować podejrzane działania (czyli potencjalne ataki cyberprzestępców).
- Szybkie odzyskiwanie. Kiedy zostajesz zaatakowany, musisz jak najszybciej przywrócić działanie kluczowych systemów. Użytkownicy Commvaulta zauważyli skrócenie czasu o 49% w odzyskiwaniu wiadomości, plików i maszyn wirtualnych (Domain Tools: The 2019 Threat Hunting Report)
- Testujesz gotowość do odtworzenia w prosty sposób. W platformie Commvault testujesz i tworzysz raporty jednym kliknięciem, by zweryfikować zgodność z SLA, zdefiniowanymi dla kluczowych aplikacji i danych.
Commvault to unikalne rozwiązanie do ochrony i zarządzania danymi, które sprawdza się nie tylko na papierze, ale przede wszystkim w akcji. Pomaga wielu działom IT chronić najcenniejsze zasoby w firmie oraz zapobiega skutkom ransomware. Dalej nie wiesz czy oprogramowanie Commvault to dla Ciebie dobry wybór? Porozmawiaj z naszymi ekspertami od backupu, by dowiedzieć się więcej.
[1] Domain Tools: The 2019 Threat Hunting Report.
[2] Gartner, “Avoid Ransomware Disasters with a Better Backup and Recovery Strategy”, Published: 22 July 2019,ID G000392054.
[3] Coveware’s Q4 2019 Ransomware Marketplaces.
