Как защитить свои резервные копии от атак программ-вымогателей
Спросите любого случайного пользователя компьютера, что его больше всего беспокоит в плане безопасности, и он, вероятно, скажет вам, что его беспокоят атаки программ-вымогателей. Эти атаки происходят, когда киберпреступник берет ваши данные или файлы и требует выкуп.
Программы-вымогатели представляют собой широко распространенную угрозу для всех, кто использует компьютер или мобильное устройство. Хуже того, атаки с каждым годом становятся все более изощренными и опасными.
Однако одна из худших особенностей современных программ-вымогателей — это их способность атаковать резервные копии. Разве это не ужасающая мысль?
В этой статье я расскажу, как и почему некоторые программы-вымогатели нацелены на резервные копии, и что вы можете с этим поделать.
Почему программы-вымогатели атакуют резервные копии?
Программы-вымогатели атакуют резервные копии по очень простой причине: деньги.
Подумайте о природе даже самых простых программ-вымогателей. Вымогатель скрытно устанавливает себя на целевое устройство и начинает шифровать файлы жертвы. После завершения процесса шифрования программа-вымогатель отображает уведомление о том, что ваши файлы были зашифрованы. Следовательно, оплата ключа дешифрования — единственный способ вернуть свои данные.
Имея это в виду, представьте, что вы только что потеряли все свои данные в результате атаки программы-вымогателя. На данный момент у вас есть два варианта получения ваших данных. Один из вариантов — заплатить выкуп и надеяться, что вы получите ключ дешифрования.
Конечно, у вас нет никаких гарантий, так как вы имеете дело с преступником. Вы можете никогда не получить ключ дешифрования, или автор программы-вымогателя может попытаться вымогать у вас дополнительные средства.
Другой вариант — восстановить резервную копию (при условии, что она у вас есть). Это лучший вариант, так как этот процесс вам ничего не стоит (в отличие от уплаты выкупа). Кроме того, вы не зависите от преступника, который предоставит вам доступ к вашим данным.
Проблема в том, что киберпреступники хотят получать деньги и знают, что ваша резервная копия — единственное, что стоит между ними и крупной оплатой. Таким образом, явно в интересах автора программы-вымогателя отключить или уничтожить вашу резервную копию. В этот момент у вас может не быть выбора, кроме как заплатить выкуп.
Итак, как именно эти атаки нацелены на ваши резервные копии? Давайте исследуем это дальше.
Как программы-вымогатели нацелены на резервные копии?
Прежде чем ответить, как работают атаки программ-вымогателей на резервные копии, мне нужно объяснить, что программы-вымогатели делятся на две основные категории: автоматические атаки и атаки, управляемые человеком. Давайте обсудим каждый из них более подробно.
1. Автоматические программы-вымогатели
Автоматизированные программы-вымогатели носят чисто оппортунистический характер. Это происходит, когда вы нажимаете на неверную ссылку. Этот тип программ-вымогателей имеет определенные встроенные возможности и не может делать ничего, что выходит за рамки этих возможностей.
Большинство автоматизированных программ-вымогателей не предназначены для атаки на резервные копии. Причина этого в том, что резервные копии каждой компании работают по-разному. Одна атака, которая может быть успешной против одной компании, может не сработать против другой.
Тем не менее, автоматизированные атаки программ-вымогателей, нацеленных на резервные копии, существуют. Даже программа-вымогатель, которая не нацелена конкретно на резервную копию, может предпринять другие шаги, например отключить историю файлов Windows.
2. Программы-вымогатели, управляемые людьми
С другой стороны, управляемые людьми программы-вымогатели, как правило, гораздо более целенаправленны. Обычно злоумышленник проникает в сеть и исследует бизнес жертвы, извлекая их данные. Злоумышленник установит и запустит программу-вымогатель в скомпрометированной сети, когда придет время. Эту атаку контролирует человек, а это означает, что единственными ограничениями являются навыки атакующего.
Программы-вымогатели, управляемые человеком, гораздо опаснее для резервных копий, потому что атака не ограничивается заранее запрограммированной логикой. Человек может физически отключить или уничтожить резервные копии по своему желанию.
Одним из примечательных примеров являются нападения банды Black Basta. Помимо удаления виртуальных машин и других разрушительных действий, эти атаки нацелены на агентов резервного копирования.
Поскольку эти атаки становятся все более разрушительными, обеспечение защиты резервных копий от атак становится еще более важным.
Как защитить свои резервные копии от атак программ-вымогателей
Атака программ-вымогателей может произойти в любое время, и вы должны подготовить себя и свои резервные копии. У вас есть несколько вещей, которые вы можете сделать, чтобы сделать ваши резервные копии менее уязвимыми для атак.
Придерживайтесь рекомендаций по резервному копированию
Самое важное, что вы можете сделать для защиты своих резервных копий, — это придерживаться установленных рекомендаций по резервному копированию. В частности, это означает постоянное обновление программного обеспечения и агентов резервного копирования. Вы также должны использовать выделенные сервисные учетные записи, когда это возможно.
Используйте неизменяемые цели резервного копирования
Еще одна лучшая практика — хранить резервные копии в неизменяемом хранилище. Вы не можете изменить неизменяемое хранилище. Другими словами, если вы сохранили свою резервную копию в неизменном хранилище, злоумышленник не сможет удалить или зашифровать эти резервные копии.
Однако нужно учитывать, что такие резервные копии часто защищены цифровым сертификатом или ключом шифрования. Если злоумышленник удалит эти механизмы, вы можете потерять доступ к своим резервным копиям (при условии, что вы используете сертификат). Поэтому важно убедиться, что вы храните копии любых ключей или сертификатов в безопасном месте.
Используйте резервные копии с воздушным зазором
Резервные копии с воздушным зазором — это резервные копии, которые после создания полностью отключаются от системы (вспомните резервные копии на магнитной ленте или резервные копии, записанные на съемные жесткие диски).
Злоумышленник не может скомпрометировать несмонтированную резервную копию. Конечно, у таких резервных копий более длительная целевая точка восстановления (RPO), чем у стандартных резервных копий. Это означает, что они обычно используются в качестве вторичной защиты, а не в качестве основной резервной копии вашей фирмы.
Вот некоторые рекомендации, которые вы можете применить, чтобы защитить себя от киберпреступников, пытающихся проникнуть в ваши резервные копии. Давайте закругляться!
Нижняя линия
Программы-вымогатели могут и иногда атакуют резервные копии. Таким образом, очень важно убедиться, что вы предпринимаете шаги для защиты своих резервных копий, чтобы они не были скомпрометированы или отключены во время атаки.
Помните, что нельзя недооценивать навыки киберпреступника. Легко думать, что ваши системы, сети и резервные копии в безопасности. Это ошибка. Примите необходимые меры и меры предосторожности, чтобы убедиться, что вы в безопасности. Такие решения, как обновление программного обеспечения для резервного копирования и использование резервных копий с воздушным зазором, достаточно важны, чтобы вы могли рассмотреть возможность их внедрения.
У вас есть еще вопросы об атаках программ-вымогателей? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!
Часто задаваемые вопросы
Что такое история файлов Windows?
История файлов Windows — это функция операционной системы Windows, которая сохраняет предыдущие версии файлов документов. Несмотря на то, что функция «История файлов» не является настоящим резервным копированием, она позволяет вам вернуться к более ранней версии файла.
Почему некоторые атаки программ-вымогателей нацелены на историю файлов Windows?
Когда программа-вымогатель шифрует файл, функция «История файлов» интерпретирует это действие как модификацию файла; по сути, новая версия файла. Однако функция «История файлов» позволяет файлу вернуться к предыдущему незашифрованному состоянию. Авторы программ-вымогателей в первую очередь хотят, чтобы жертвы не использовали историю файлов или другие средства для возврата своих данных.
Все ли атаки программ-вымогателей нацелены на резервные копии?
Нет, у вас есть много вариантов программ-вымогателей, которые не пытаются повредить резервные копии. Несмотря на это, практика становится все более распространенной. Важно предполагать, что ваши резервные копии могут быть атакованы, и планировать это соответствующим образом.
Существуют ли какие-либо опасности, связанные с резервным копированием с воздушным зазором?
Если вам нужно восстановить резервную копию с воздушным зазором, вы должны убедиться, что система чиста, прежде чем начинать восстановление. В противном случае ваша резервная копия с воздушным зазором может быть заражена при ее монтировании.
Есть ли какие-либо другие важные передовые практики, которые следует учитывать?
Убедитесь, что любое решение для резервного копирования, которое вы используете, дает вам возможность восстанавливать только те элементы, которые пострадали от программ-вымогателей. Резервные копии обычно немного старше, чем оперативные данные вашей компании, поэтому вам никогда не захочется восстанавливать то, что вам не нужно. В противном случае вы можете потерять часть своих данных.