Во время пасхальных выходных 2015 года «Армия отцов», состоящая из 60–70-летних преступников, ограбив лондонский сейф Hatton Garden Safe Deposit Company, завладела золотом, драгоценностями и наличными на сумму около 25 млн фунтов стерлингов. Банда выбрала пасхальные выходные, поскольку они продолжались четыре дня и у нее было достаточно времени, чтобы получить доступ, просверлить стены и открыть сейфы.
Вымогатели используют время против вас
У грабителей был доступ в хранилище сейфов в течение четырех дней — вполне достаточно для выполнения своей «работы». В случае атаки программ-вымогателей этот период известен как «время ожидания», и его понимание является ключевым для восстановления после такого инцидента. «Время ожидания» длится с момента первого проникновения злоумышленника через сетевое устройство защиты и до того, когда он раскрывает себя и требует выкуп от жертвы.
Атаки программ-вымогателей происходят по хорошо известной схеме
Вначале идет так называемая фаза кампании: сотрудники получают фишинговые письма, содержащие ссылки на вредоносное ПО, или злоумышленники сканируют уязвимости в системах, выходящих в Интернет. Независимо от используемых средств, на этом этапе необходимо найти жертву и создать средства проникновения.
Целью является вторжение. Проникновение в сетевое устройство защиты для злоумышленников открывает доступ к остальным частям процесса, и именно тогда начинается «время ожидания». Проникнув внутрь сетевого устройства защиты, злоумышленники собирают учетные данные для более глубокого доступа и начинают перемещаться по системам жертвы, часто используя инструменты, основанные на легитимных протоколах, таких как RDP (протокол удаленного рабочего стола), для удаленной работы и создания командно-контрольных функций. На этом этапе они выявляют конфиденциальные данные и начинают развертывать программные полезные нагрузки для осуществления фазы выполнения, в ходе которой происходит шифрование и утечка сведений.
Не допустить атаки злоумышленников практически невозможно, поэтому ключевой фактор противостояния вымогателям — способность восстановить данные до того, как началось «время ожидания». Конкретнее, это означает использование снэпшотов и резервных копий, а также возможностей быстрого извлечения информации из них.
Снэпшоты обеспечивают запись состояния системы и данных, сделанные через короткие интервалы времени в течение рабочего дня, что позволяет жертве восстановить предыдущую конфигурацию с высокой степенью детализации. Снэпшоты созданы для того, чтобы их можно было делать с минимальным влиянием на производственные системы, поэтому они часто хранятся на основной СХД или рядом с ней. Данные обычно можно быстро восстановить из снэпшотов. Организация может хранить снэпшоты за месяц или два.
Резервные копии, как правило, хранятся гораздо дольше и делаются реже, обычно во время регулярных окон резервного копирования в нерабочее время. Они почти всегда переносятся на вторичную систему хранения, и их восстановление может занимать больше времени.
Если позволяют обстоятельства, в частности последствия «времени ожидания», снэпшоты становятся наиболее эффективным способом восстановления после атаки, поскольку их можно быстро воспроизвести при условии, что злоумышленники не нанесли им непоправимый вред.
Снэпшоты должны быть неизменяемыми
В традиционной форме снэпшоты доступны только для чтения, поэтому они всегда неизменяемы. Однако банды разработчиков программ-вымогателей знают об этом, а потому попытаются удалить или переместить их. Клиентам необходимо искать поставщиков со снэпшотами, которые нельзя удалить и их перемещение в другое место злоумышленник не сможет предотвратить — например, для восстановления.
В качестве дополнительных мер защиты клиенты могут указать снэпшоты, использующие многофакторную аутентификацию на основе личного идентификационного номера (PIN) несколькими членами ИТ-команды.Также клиенты имеют возможность устанавливать политику хранения снэпшотов и разрешенные места назначения.
Снэпшоты являются оптимальным методом восстановления данных, если время пребывания вымогательского ПО относительно невелико. Однако вполне возможно, что злоумышленники могут провести несколько месяцев внутри сетевого устройства защиты, выискивая информацию, устанавливая вредоносное ПО и повреждая файлы. В этом случае, скорее всего, придется восстанавливаться из резервных копий.
Независимо оттого, откуда нужно восстанавливать данные — снэпшотов или резервных копий — основным требованием будет быстрое восстановление данных для возобновления работы компании. Ключевым моментом в данной ситуации является СХД, которая используется для хранения копий данных и должна выдерживать высокую скорость восстановления.
Какие же типы систем хранения данных предпочтительны для хранения снэпшотов и резервных копий и, что особенно важно, какие из них способны обеспечить быстрое восстановление? Прежде всего, клиентам необходимо обратить внимание на те, которые предлагают твердотельные накопители и могут работать с неструктурированными данными — файлами и объектами. Это подразумевает не просто хранение данных на массиве.
Новейшие поколения флеш-памяти NAND способствовали появлению массивов хранения, обеспечивающих чрезвычайно высокую емкость и скорость доступа. Это означает, что массивы хранения с флэш-памятью TLC или QLC обеспечивают высокую емкость при стоимости 1 Тбайт, близкой к стоимости жестких дисков с вращающимися дисками.
Во-вторых, клиентам необходимо проверить пропускную способность. Самые производительные твердотельные массивы хранения данных, доступные в настоящее время, обеспечивают пропускную способность более 270 Тбайт/ч. Этого достаточно для быстрого восстановления работоспособности большинства организаций, но не многие поставщики систем хранения могут обеспечить такой уровень пропускной способности, поэтому следует обязательно проверять спецификации.
Сочетайте неизменяемые снэпшоты и регулярное резервное копирование с быстрым восстановлением для максимальной защиты от вымогательского ПО
Эффективная защита от программ-вымогателей заключается в том, чтобы иметь возможность повернуть время вспять до того, как началось «время активности». И лучший способ сделать это — использовать систему хранения очень большой емкости, обеспечивающую высокую пропускную способность и быстрое восстановление.