Спектр киберугроз постоянно развивается и, несомненно, одной из самых опасных современных угроз является вымогательство. Программы-вымогатели – это вид вредоносного программного обеспечения, которые используются злоумышленниками для получения выкупа. В противном случае киберпреступники грозятся открыть доступ или заблокировать данные пользователя. Жертвами атак становится не только простые пользователи, но и современные компании, для которых работа с данными это залог успешного развития бизнеса, а любая подобная атака может обернуться катастрофой.
В марте 2020 года McAfee сообщила, что атаки с использованием программ-вымогателей выросли более чем в 2 раза за год. В то же время, данные из многих других авторитетных источников также указывают на рост угроз подобных кибератак. Так, согласно отчету Trend Micro о состоянии кибербезопасности за 2020 год количество семейств программ-вымогателей выросло на 34%. Также набирают популярность целевые атаки на правительственные организации, банки, объекты промышленности и здравоохранения. При этом, эксперты Trend Micro заявляют о том, что Россия в меньшей степени пострадала от атак с применением программ-вымогателей в прошлом году: их количество составило всего 9,6 % от общеевропейского показателя и 0,58 % от мирового. Тем не менее, по количеству угроз, выявленных в сообщениях электронной почты, Россия находилась на втором месте в Европе и на пятом в мире (1 245 млрд).
Ситуация повышенной опасности
2020 год вызвал огромное количество сбоев в работе бизнеса и создал новый режим работы многих компаний. Большинство сотрудников вдруг были вынуждены перейти на удаленный формат работы. И это будет продолжаться еще довольно долго.
Новый формат работы открыл новые возможности для киберпреступников. В связи с тем, что многие сотрудники, работают и проводят важных для бизнеса звонки и виртуальные встречи через незащищенные домашние системы и сети, это позволяет злоумышленникам находить дыры в безопасности и активнее атаковать роутеры и домашние устройства пользователей. И как следствие подвергает атаке корпоративные сети. Лишь по официальным данным Центрального Банка РФ
количество кибератак с использованием социальной инженерии в России выросло на 147% в 2020, по сравнению с показателем предыдущего года. Поэтому неудивительно, что на протяжении всего 2020 года мы наблюдали громкие дела с атаками с использованием программ-вымогателей.
В связи с новой реальностью компаниям приходится пересматривать свое отношение к кибербезопасности и обучать своих сотрудников навыкам безопасного поведения в Сети, а порой даже тренировать эти навыки с помощью тренажеров, имитирующих реальные кибератаки. Так, по данным PwC в России более половины компаний собираются увеличить расходы на кибербезопасность в 2021 году. Необходимо отметить, что одна из значимых составляющих ИТ-инфраструктуры, которая не оценена с точки зрения атак вымогателей, – это значимая роль, которую играет в этой цепочке СХД для снижения риска.
Профилактики уже недостаточно
Компании больше не могут полагаться только на системы защиты от атак в качестве надежной стратегии кибербезопасности. Кроме критически важных превентивных мер, у компаний также должен быть план по восстановлению данных, если атака все же произойдет. Это подразумевает внедрение стратегии, которая помимо прочего будет учитывает, какие данные должны быть восстановлены в первую очередь.
В подавляющем большинстве случаев, как только вирус-вымогатель поражает систему, остановить его уже невозможно. В случае, если принимается решение не платить выкуп, зашифрованные данные уже не восстановить. После этого ИТ-отдел пытается восстановить данные из резервных копий, которые могли уже устареть и привести к потере данных. Но этот подход предполагает, что резервные копии доступны, и они не были изначально зашифрованы или удалены самой программой-вымогателем.
В последнее время злоумышленники все чаще нацеливаются именно на удаление резервных копий – последней линии обороны компании. В таком случае, восстановление данных уже невозможно, что вынуждает компании платить выкуп или смириться с потерей данных, что наносит непоправимый ущерб. Но даже если выкуп будет выплачен, это не гарантирует восстановление данных, как и защиту от будущих атак и вымогательств.
Снэпшоты для борьбы с программами-вымогателями
Вот тут-то и появляются продвинутые снэпшоты. Снэпшоты, как и резервные копии предназначены для защиты данных, но с минимизацией потерь и времени восстановления. На рынке существуют решения, обеспечивающие встроенную защиту от атак программ-вымогателей, часто создавая резервные копии системы в виде снэпшотов, доступных только для чтения, из которых можно восстановить свои данные. Поскольку снэпшоты нельзя изменить, удалить или зашифровать, они защищены от атак программ-вымогателей.
Подобные уникальные снэпшоты, доступные только для чтения, являются неизменяемыми и не позволяют злоумышленникам-вымогателям удалять резервные копии. После включения автоматические снэпы хранятся в течение определенного клиентом периода времени и не могут быть удалены клиентом или даже кем-либо, имеющим доступ администратора к системе или программному обеспечению резервного копирования.
Вдобавок, только авторизованный технический сотрудник компании может изменить конфигурацию снэпшотов при условии, что он свяжется с техподдержкой поставщика решения и пройдет проверку личности для разблокировки системы. Поэтому, даже если учетная запись администратора компании будет взломана, злоумышленники не смогут заполучить доступ к снэпшотам. Таким образом, в случае атаки программ-вымогателей данные могут быть легко восстановлены.
Скорость восстановления данных недооценена
Даже с защищенными снэпшотами организации будут ограничены скоростью, чтобы снова оперативно запустить все бизнес-процессы в сегодняшней быстро меняющейся обстановке.
Представьте себе, что крупный интернет-магазин перестанет работать хотя бы на один час — это может стоить ему потери тысячи или даже миллионы долларов. Столкнувшись с программами-вымогателями, магазин захочет восстановить безопасность данных как можно скорее.
Поэтому компаниям следует обращать свое внимание на те решения резервного копирования, которые смогут восстанавливать данные со скоростью в сотни терабайт в час. Это позволит смягчить результаты при атаках с использованием программ-вымогателей. Надежная стратегия кибербезопасности, подкрепленная передовыми снэпшотами и быстрым способом восстановления данных, позволяет сократить этап восстановления после атаки вымогателей с нескольких недель до нескольких часов.