Seguint en la línia de construir entorns segurs en les organitzacions davant una de les tendències de ciberatac més destructives de les últimes dècades el ramsonware, és imperatiu que les empreses coneguin totes les possibilitats existents per disposar de capacitats sòlides de recuperació. N’ hi ha moltes, però sigui quina sigui la metodologia escollida ha de ser un marc que permeti definir resultats quantificables i la protecció i recuperació ràpida davant un atac. En aquest post analitzem les 7 capacitats per a una recuperació segura i ràpida.
7 capacitats per a una recuperació segura i ràpida enfront de ramsonware
Abans de res, és fonamental com hem vist en anteriors posts la creació d’ un marc que defineixi com s’ ha d’ aplicar la protecció i les seves metodologies. Com l’estàndard esmentat en l’anterior post el NiST CFS (National Institute of Standards and Technology) amb les 5 millors pràctiques contra el ramsonware.
Un cop definit aquest marc cal tenir en compte les capacitats necessàries per aconseguir una recuperació ràpida i segura.
1.Plataforma de protecció àmplia i extensible
S’ ha de comptar amb una plataforma capaç de protegir totes les càrregues de treball crítiques tant físiques, virtuals com a basades en contenidors independentment de la seva ubicació (a les instal·lacions o al núvol IaaS o SaaS) com comptar amb la capacitat d’escalat en funció dels requisits i les càrregues de treball.
2.Còpies de seguretat amb verificació automatitzada
Comptar amb còpies de seguretat verificades i provades és el primer pas feia una recuperació amb èxit. Els equips de TI necessiten verificar de manera automàtica la integritat de les dades de les còpies de seguretat un cop es realitzen, ja que si es detecta algun problema es pugui realitzar una altra còpia en producció, no un cop realitzada i que no sigui possible disposar-ne per estar compromesa o es consideri poc fiable i amb mancances d’ integritat.
Per això es recomana seguir la regla del backup 3-2-1-1-0.
3.Còpies de seguretat resistents: amb espai aeri i immutables
És important que les còpies de seguretat no puguin ser destruïdes fins i tot tot malgrat comptar amb credencials administratives.
L ‘ emmagatzematge de còpies de seguretat resistent significa tenir una o més còpies de les dades en qualsevol combinació de les següents:
– Còpies de seguretat en cinta (i retirades de la biblioteca o marcades com a WORM)
– Còpies de seguretat immutables en S3 o emmagatzematge d’ objectes compatible amb S3
– Suports sense connexió i amb aire (és a dir, unitats extraïbles, unitats giratòries)
– Còpies de seguretat immutables en un repositori reforçat
4. Higiene digital
Un cop implantada la immutabilitat sigui del nivell que sigui necessari el xifrat extrem per evitar l’ exfiltració i fuga de dades.
Per a això existeixen diverses bones pràctiques d’higiene digital, fonamental per a una autenticació adequat i remeiar la injecció de dades:
– Contrasenyes úniques per a cada accés i gestor de contrasenyes.
– Autenticació multifactor (MFA).
– Eliminar dispositius, aplicacions i programes no essencials i utilitats no essencials de tots els servidors.
– Gestió de pegats, executant nivells de programari actualitzats que hagin apuntalat qualsevol vulnerabilitat coneguda.
-Còpies offline de les dades, necessàries per combatre les amenaces internes, inclosa la destrucció de dades.
5. Recuperació instantània de dades
Comptar amb recursos per garantir la restauració ràpida de diversos equips de manera simultània proporcionant la capacitat de recuperar arxius i càrregues de treball físiques i virtuals en entorns virtualitzats. A més de la capacitat per recuperar instantàniament aplicacions empresarials clau, com les bases de dades i la capacitat de revertir tot el Network Attached (NAS) i arxius compartits a un estat bo i preinfectat.
6. Recuperació segura de dades
Cal comptar amb una automatització que eviti que en el nou entorn es reestableixin les dades infectades de malware. Aquesta capacitat permet:
– Detectar ransomware “adormit” en les dades de les còpies de seguretat i invocar la remediació antivirus per desinfectar les dades abans que tornin a l’entorn de producció.
– Verificar les còpies de seguretat des d’ubicacions amb menys control de TI, com les oficines remotes i sucursals (ROBO), abans de restaurar-les en les dades primàries.
– Analitzar les dades de les còpies de seguretat amb solucions antivirus addicionals per detectar millor el malware rar o de dia zero.
7. Automatització de la recuperació
El conjunt de solucions ha de permetre la realització de proves i auditories que mostrin la rapidesa de recuperació davant desastres que incloguin proves d’ automatització d’ accessibilitat, accessibilitat des de l’ aplicació i usabilitat després de la restauració.