Ransomware
Analizamos los ataques de ransomware y la importancia de las buenas prácticas de copia de seguridad, la segmentación de la red, la detección de anomalías de la IA y las garantías de los proveedores.
Los ataques de ransomware se producen a través de malware que infecta los sistemas informáticos con el objetivo de desactivar el acceso a los datos o extraerlos.
El malware generalmente ingresa a una organización a través de phishing, documentos infectados o sitios web maliciosos o comprometidos. El malware a menudo se aloja dentro de los sistemas mientras busca horizontalmente vulnerabilidades clave en los datos de la organización, como la ubicación de las copias de seguridad.
Este tiempo de permanencia es el período entre la intrusión y el momento en que el software ransomware actúa para cifrar y/o extraer datos. Luego, los atacantes exigen un rescate por la clave de descifrado o la devolución de los datos.
¿Cómo pueden el almacenamiento y la copia de seguridad proteger contra el ransomware?
La protección eficaz contra ransomware comienza, en primer lugar, con no permitir que el malware entre en los sistemas de TI. En los sistemas de respaldo y almacenamiento, se centra en la protección efectiva de los datos, con soluciones adicionales disponibles en forma de detección de anomalías basada en inteligencia artificial (IA).
La clave para recuperarse de un ataque de ransomware es realizar copias de seguridad efectivas con regularidad. Esto se debe a que, si lo ataca un ransomware, necesita una copia limpia de sus datos para volver a ella.
Tenga en cuenta que las copias de seguridad probablemente sean el respaldo más confiable porque generalmente datan de la más antigua de todas las copias de protección de datos y, por lo tanto, es más probable que proporcionen una copia limpia anterior a que el ransomware se infiltrara en los sistemas.
Las instantáneas son otro método popular de protección de datos, pero es más probable que se vean comprometidas si se toman durante los períodos de permanencia del ransomware, ya que generalmente no se remontan a las copias de seguridad.
Crear un espacio entre las copias de seguridad y los sistemas de producción es otro método clave para garantizar que el ransomware no pueda afectar las copias de seguridad.
Los proveedores de almacenamiento también incorporan protección contra ransomware, como la detección de anomalías que busca malware mientras actúa sobre los datos, mientras que algunos proveedores también ofrecen garantías a los clientes afectados por ataques de ransomware.
¿Por qué es importante la copia de seguridad en caso de un ataque de ransomware?
La mejor manera para que una organización evite pagar un rescate es intentar recuperarse de sus copias buenas de datos más recientes.
Eso significa que es vital que las organizaciones realicen copias de seguridad efectivas, mantengan copias inmutables de las mismas y prueben periódicamente si pueden recuperarse de ellas.
Pero las copias de seguridad tienen sus límites y otros métodos de protección de datos, como las instantáneas, también tienen sus defectos.
Las copias de seguridad, por ejemplo, sólo son buenas para restaurar mientras estén limpias. Es decir, no están infectados por archivos ransomware, incluidos aquellos que han permanecido inactivos pero no detectados.
Del mismo modo, las instantáneas sólo son válidas siempre que no se vean afectadas por la presencia de archivos ransomware. Una limitación clave de las instantáneas es que pueden ser de gran tamaño y, a menudo, por esa razón, se conservan menos (con una duración de reversión más corta).
Las bandas de ransomware a menudo atacan los archivos de respaldo de una organización para dificultar o imposibilitar su restauración a un momento limpio.
¿Cómo puede una brecha de aire proteger las copias de seguridad contra el ransomware?
Una forma de proteger las copias de seguridad contra la infección por ransomware es conservarlas al otro lado de un espacio de aire.
La separación de aire es la opción más segura, especialmente si las copias de seguridad se almacenan fuera del sitio, en medios de escritura única y lectura múltiple (WORM), como almacenamiento óptico o cinta.
La desventaja de las brechas de aire físicas externas es el tiempo que lleva restaurar los datos de las copias de seguridad realizadas de esa manera. El tiempo de recuperación puede ser demasiado largo para cumplir los objetivos de continuidad del negocio, especialmente si los equipos de TI tienen que buscar numerosas copias de seguridad para encontrar copias libres de ransomware. Los proveedores han afrontado este desafío con tecnología de espacios de aire virtuales.
¿Cómo puede la segmentación de la red proteger las copias de seguridad contra el ransomware?
Si bien los espacios de aire físicos pueden ser los más seguros, también presentan inconvenientes en términos de tiempo de recuperación.
Una solución es segmentar estrictamente las copias de seguridad de los entornos de producción para poder utilizar copias no infectadas para la recuperación.
Los enfoques aquí incluyen el uso de un segmento de red discreto con reglas de firewall de «negar todo» para protegerlo. Esto puede ser en el sitio o en un centro de datos secundario. Las reglas se pueden relajar cuando se necesitan datos o para replicación, y se requieren múltiples administradores y autenticación para acceder a las copias de seguridad.
También se puede utilizar una variante de esto que utiliza almacenamiento en la nube pública como capacidad externa.
¿Qué son las instantáneas inmutables?
Las instantáneas inmutables son instantáneas que no se pueden cambiar una vez que se han escrito.
Las instantáneas siempre son inmutables, pero los proveedores de almacenamiento han tomado medidas adicionales para evitar que se pueda acceder a ellas mediante ransomware.
Esto puede significar que el acceso a las instantáneas esté protegido por varios PIN o esté bloqueado por tiempo.
La desventaja de las instantáneas es que crean un gran volumen de datos. Por motivos de rendimiento, a menudo se escriben en almacenamiento de nivel uno, lo que los hace costosos, especialmente si las organizaciones necesitan retener varios días o semanas como protección contra el ransomware.
¿Cómo pueden la IA y la detección de anomalías proteger contra el ransomware?
Cuando el ransomware entre en funcionamiento, emitirá señales que pueden detectarse.
Estos podrían incluir una cantidad anormalmente grande de cambios en los archivos de un conjunto de datos, o una mayor aleatoriedad en los nombres de los archivos o el contenido, lo que podría ocurrir cuando el ransomware comienza a cifrar los datos.
Los proveedores han agregado dicha funcionalidad a nivel de red y dispositivo de almacenamiento para ayudar a detectar infecciones de ransomware de manera temprana. Las herramientas de inteligencia artificial pueden ayudar a detectar anomalías en grandes cantidades de datos y a una velocidad que, con suerte, evite que el malware se propague, cifre o elimine datos.
Los proveedores que ofrecen detección de anomalías incluyen Cohesity, NetApp y Pure Storage. Commvault también cuenta con funciones de alerta temprana en su tecnología.
¿Qué garantías financieras ofrecen los proveedores contra el ransomware?
Algunos proveedores de almacenamiento y respaldo han dado el paso de ofrecer garantías financieras en caso de que un cliente sufra un ataque de ransomware.
Veeam y NetApp ofrecen garantías contra ransomware, mientras que Pure Storage tiene un acuerdo de nivel de servicio de recuperación de ransomware que incluye hardware y soporte técnico para recuperar datos.
Pero los proveedores se asegurarán de que los acuerdos de garantía estén redactados de forma muy estricta. Y el dinero en efectivo sólo servirá hasta cierto punto para ayudar a una organización si los datos se han puesto fuera de su alcance.