Siguiendo en la línea de construir entornos seguros en las organizaciones frente a una de las tendencias de ciberataque más destructivas de las últimas décadas el ramsonware, es imperativo que las empresas conozcan todas las posibilidades existentes para disponer de capacidades sólidas de recuperación. Existen muchas, pero sea cual sea la metodología elegida debe ser un marco que permita definir resultados cuantificables y la protección y recuperación rápida frente a un ataque. En este post analizamos las 7 capacidades para una recuperación segura y rápida.
7 capacidades para una recuperación segura y rápida frente a ramsonware
Antes de nada, es fundamental como hemos visto en anteriores posts la creación de un marco que defina como se debe aplicar la protección y sus metodologías. Como el estándar mencionado en el anterior post el El NIST CFS (National Institute of Standards and Technology) con las 5 mejores prácticas contra el ramsonware.
Una vez definido este marco hay que tener en cuenta las capacidades necesarias para conseguir una recuperación rápida y segura.
1.Plataforma de protección amplia y extensible
Se debe contar con una plataforma capaz de proteger todas las cargas de trabajo críticas tanto físicas, virtuales como basadas en contenedores independientemente de su ubicación (en las instalaciones o en la nube IaaS o SaaS) como contar con la capacidad de escalado en función de los requisitos y las cargas de trabajo.
2.Copias de seguridad con verificación automatizada
Contar con copias de seguridad verificadas y probadas es el primer paso hacía una recuperación con éxito. Los equipos de TI necesitan verificar de manera automática la integridad de los datos de las copias de seguridad una vez que se realizan, ya que si se detecta algún problema se pueda realizar otra copia en producción, no una vez realizada y que no sea posible disponer de ella por estar comprometida o se considere poco fiable y con carencias de integridad.
Para ello se recomienda seguir la regla del backup 3-2-1-1-0.
3.Copias de seguridad resistentes: con espacio aéreo e inmutables
Es importante que las copias de seguridad no puedan ser destruidas incluso a pesar de contar con credenciales administrativas.
El almacenamiento de copias de seguridad resistente significa tener una o más copias de los datos en cualquier combinación de las siguientes:
– Copias de seguridad en cinta (y retiradas de la biblioteca o marcadas como WORM)
– Copias de seguridad inmutables en S3 o almacenamiento de objetos compatible con S3
– Soportes sin conexión y con aire (es decir, unidades extraíbles, unidades giratorias)
– Copias de seguridad inmutables en un repositorio reforzado
4. Higiene digital
Una vez implantada la inmutabilidad sea del nivel que sea es necesario el cifrado extremo para evitar la exfiltración y fuga de datos.
Para ello existen varias buenas prácticas de higiene digital, fundamental para una autenticación adecuado y remediar la inyección de datos:
– Contraseñas únicas para cada acceso y gestor de contraseñas.
– Autenticación multifactor (MFA).
– Eliminar dispositivos, aplicaciones y programas no esenciales y utilidades no esenciales de todos los servidores.
– Gestión de parches, ejecutando niveles de software actualizados que hayan apuntalado cualquier vulnerabilidad conocida.
-Copias offline de los datos, necesarias para combatir las amenazas internas, incluida la destrucción de datos.
5. Recuperación instantánea de datos
Contar con recursos para garantizar la restauración rápida de varios equipos de manera simultánea proporcionando la capacidad de recuperar archivos y cargas de trabajo físicas y virtuales en entornos virtualizados. Además de la capacidad para recuperar instantáneamente aplicaciones empresariales clave, como las bases de datos y la capacidad de revertir todo el Network Attached (NAS) y archivos compartidos a un estado bueno y preinfectado.
6. Recuperación segura de datos
Es necesario contar con una automatización que evite que en el nuevo entorno se reestablezcan los datos infectados de malware. Esta capacidad permite:
– Detectar ransomware «dormido» en los datos de las copias de seguridad e invocar la remediación antivirus para desinfectar los datos antes de que vuelvan al entorno de producción.
– Verificar las copias de seguridad desde ubicaciones con menos control de TI, como las oficinas remotas y sucursales (ROBO), antes de restaurarlas en los datos primarios.
– Analizar los datos de las copias de seguridad con soluciones antivirus adicionales para detectar mejor el malware raro o de día cero.
7. Automatización de la recuperación
El conjunto de soluciones debe permitir la realización de pruebas y auditorías que muestren la rapidez de recuperación ante desastres que incluyan pruebas de automatización de accesibilidad, accesibilidad desde la aplicación y usabilidad después de la restauración.