Как защититься от вируса-шифровальщика на уровне инфраструктуры
Вычислительные комплексы Вычислительные комплексы

Можно ли защититься от вирусных атак не только с помощью антивируса и других инструментов ИБ? Почему вирусы-шифровальщики стали одной из главных угроз для бизнеса? Как опознать атаку и минимизировать урон? Что такое стратегия «3-2-1»?

Главная>Вычислительные комплексы>Как настроить инфраструктуру, чтобы защититься от вирусов-шифровальщиков
Вычислительные комплексы Обзор

Как настроить инфраструктуру, чтобы защититься от вирусов-шифровальщиков

Дата публикации:
16.09.2021
Посетителей:
1928
Просмотров:
1974
Время просмотра:
2.3

Авторы

Автор
Роман Харыбин руководитель направления СХД/СРК компании «Инфосистемы Джет»

Можно ли защититься от вирусных атак не только с помощью антивируса и других инструментов ИБ?

 

Почему вирусы-шифровальщики стали одной из главных угроз для бизнеса?

 

Как опознать атаку и минимизировать урон?

 

Что такое стратегия «3-2-1»?

 

Вирус на 40 млн долларов

 

По данным Group-IB, в прошлом году количество атак с использованием вирусов-шифровальщиков выросло более чем на 150%. В среднем атакованная компания теперь останавливается на 18 суток, а сумма выкупа выросла до 170 000 долл. Почему произошел такой резкий скачок? Если коротко — из-за коронавируса. 

 

С началом пандемии многие компании стали пересматривать стратегию цифровой трансформации — понадобились новые сервисы, в первую очередь для организации удаленной работы. Бизнес перестроился в короткие сроки, но системы безопасности не были готовы к такому резкому переходу. Инвестиции в сферу ИБ в прошлом году начали отставать от общих темпов цифровизации. В результате компании просто не успевают закрывать уязвимости, и число кибератак растет.

 

Существеннее всего с точки зрения ИБ отстают системы резервного копирования. Например, американская CNA в марте 2021 г. стала жертвой хакеров-вымогателей и заплатила выкуп в размере 40 млн долл. за восстановление доступа к данным и сетям (изначально хакеры вообще требовали 60 млн). Пришлось платить, потому что зашифрованная информация стоила дороже.

 

Кроме того, бизнес активнее пользуется облачными решениями, поскольку это самые простые и доступные платформы для запуска приложений и хранения информации. При этом далеко не все принимают нужные меры по организации отказоустойчивости cloud-сервисов. В итоге системы ИБ перестают соответствовать уровню сложности информационных сред. 

 

Так, в конце прошлого года Wakefield Research провела по заказу Veritas Technologies глобальный опрос 2700 ИТ-руководителей и специалистов в 21 стране. В России примерно 4 респондента из 10 заявили, что их компания хотя бы раз подверглась атаке программ-вымогателей. В среднем отечественные компании используют около 11 облачных сервисов (IaaS, PaaS и SaaS), при этом степень защиты их бизнеса не соответствует сложности ИТ-инфраструктуры. На эту проблему указали 62% респондентов.

 

Оптимальная архитектура на раз-два-три 

 

Как правило, атаки вирусов-шифровальщиков строятся по одному алгоритму. Сначала идет фишинг: пользователь кликает по вредоносной ссылке, открывает зараженный файл — и злоумышленники проникают в сеть компании. Далее вирус сканирует систему, ищет уязвимости и использует их, чтобы получить доступ к привилегированным аккаунтам и попасть в другие системы. Сразу после этого шифровальщик начинает стремительно распространяться по сети, шифруя все возможные данные. Система либо уходит в перезагрузку, либо сразу показывает окно-предупреждение: данные зашифрованы, нужно заплатить выкуп (как правило, через биткоины).

 

 

Как работает шифровальщик

 

  1. Первичное заражение
  2. Поиск уязвимостей
  3. Захват привилегированных аккаунтов
  4. Распространение по сети и шифровка данных
  5. Требование выкупа

 

Таким образом, если вирус прошел защиту периметра и антивирус не смог его заблокировать, данные оказываются под угрозой. Можно ли защититься от этого сценария, построив архитектуру таким образом, чтобы последствия атаки были минимальными? Многие вендоры стали работать в этом направлении, а мы постарались собрать лучший опыт и делимся им с вами.

 

Какую архитектуру мы рекомендуем как оптимальную?

 

Во-первых, у вас должна быть установлена СРК корпоративного уровня, которая переносит копии данных с продуктивных серверов и систем хранения на резервные, причем копий может быть несколько. Ведь понятно, что если СУБД складывает свои копии рядом с продуктивными данными на одном сервере, то риск потери обеих копий очень велик, особенно если сервер находится под управлением MS Windows и система работает через скрипты без централизованного оповещения и мониторинга состояния копий. Правильно настроенная логика резервного копирования также очень важный компонент этой линии защиты. При наличии двух и более площадок должна быть предусмотрена защита от различных сценариев потери или порчи данных на каждой из них.

 

Во-вторых, сама СРК должна быть защищена от влияния шифровальщиков. Какие именно подходы используют вендоры, мы расскажем чуть ниже.

 

Ну и в-третьих, архитектура должна быть готова к максимально быстрому восстановлению больших объемов данных. Ведь если у вас было несколько сотен терабайт или пара петабайт, даже при наличии защищенного ПО, которое сохранило ваши данные в другом месте, при использовании архитектуры «старого типа» потребуется несколько дней, чтоб их восстановить. Недавние кейсы американских нефтяных компаний этому прекрасное подтверждение. 

Как организовать защиту 

 

Построение защиты через организацию правильной архитектуры должно дополняться применением классических ИБ-средств.

Комплексный подход строится на 3 ключевых принципах: 

 

  • предотвращение;
  • обнаружение;
  • восстановление.

 

К предотвращению заражения относятся мероприятия по своевременному обновлению всего ПО и отслеживанию новых угроз. Например, для своего ПО компания Veritas выпускает оповещения по найденным уязвимостям и выкладывает эти дайджесты на своем сайте. Помимо этого, рекомендуется использовать многофакторную аутентификацию, управление паролями с учетом рисков, разграничение доступа к системам на основе ролей и другие методы защиты оборудования и ПО. Часть этих средств может применяться и в СРК, поэтому мы в своих проектах привлекаем к этим работам и специалистов ИБ, и экспертов по резервному копированию. Без совместной работы защита может оказаться недостаточно эффективной.

 

Сейчас все чаще происходят кибератаки, цель которых — исключительно СРК. Например, для хищения резервной копии важной базы или целенаправленной порчи резервных копий, чтобы исключить возможность восстановления и нанести финансовый урон. Чтобы защититься от таких действий, мы рекомендуем использовать контроль доступа пользователей и ролевой контроль. Так скомпрометированный аккаунт не сможет удалить бэкапы или повредить систему резервного копирования. Но даже не заходя в СРК, вирус может начать шифровать данные на уровне файловой системы. Для этого в СРК некоторых производителей (например, Veritas) добавлены дополнительные средства защиты: изменения в файловой системе могут быть реализованы только процессами самого ПО резервного копирования. 

 

Как мы упоминали выше, правильно настроенная логика создания и хранения резервных копий — один из важнейших компонентов комплексной защиты. Лучшие практики резервного копирования рекомендуют следовать принципу «3-2-1»: как минимум три копии данных в двух разных местах, при этом одна из них за пределами офиса и без доступа к интернету. Копии, которые находятся в офлайне, принято обозначать «воздушным зазором» (AirGap). При обнаружении программы-вымогателя важно проверить резервные данные и убедиться в том, что они не содержат вредоносных программ, прежде чем приступать к полномасштабному восстановлению.

Российский бизнес и шифровальщики

35%

респондентов из опроса Wakefield Research, столкнувшихся с атаками программ-вымогателей, заявили, что их компания полностью или частично заплатила выкуп.

15%

респондентов отметили, что их компания следует рекомендуемой практике «3-2-1» : три копии данных, в том числе одна вне офиса и без доступа в интернет. 

22%

заявили, что у их компании есть три или более копии данных в одном месте.

63%

предприятий не применяют практику
«3-2-1».

 

Построение архитектуры для защиты информации с использованием Veritas NetBackup и NetBackup Appliances

 

Описанную выше стратегию защиты (предотвращение / обнаружение / восстановление) можно рассмотреть на примере продуктов Veritas, в которых она последовательно реализована с использованием нескольких технологий.

 

Предотвращение

 

Первое: необходимо построить опорную инфраструктуру СРК и восстановления данных, устойчивую к воздействию шифровальщиков. Это последний бастион — только она сможет восстановить информацию в случае атаки. 

 

Для продуктов Veritas предпочтительнее серверная инфраструктура на базе ОС Linux, так как она менее подвержена воздействию вирусов, а в NetBackup Appliances используется ее специально подготовленная, более защищенная версия. По статистике, Linux менее подвержен заражениям: более 80% атак направлены на Windows, поскольку эта система распространена на endpoint. Строя систему на Linux, вы фактически отсекаете 80% угроз. 

 

Другие технологии для этапа предотвращения — это набор механизмов Identity and Access Management: многофакторная аутентификация, шифрование, модель доступа RBAC (группировка пользователей с учетом их специфики). Эти инструменты позволят более гибко управлять сохраненными данными и не потерять их в случае атаки.

 

Обнаружение

 

Найти шифровальщиков можно, в том числе во время резервного копирования. Например, если у вас на 100% вырастает количество файлов между бэкапами, меняется объем бэкапа или резко падает уровень оптимизации резервных копий, вполне возможно, система заражена. 

 

Подобные аномальные активности могут быть зафиксированы с помощью Veritas NetBackup и Veritas Enterprise Data Services Platform (например, Aptare & DataInsight). Заказчик может счесть эти признаки ложноположительными, но у него будет дополнительный шанс обнаружить проникновение вируса раньше, чем он успеет распространиться более широко.

 

Восстановление

 

Когда не сработали меры по предотвращению атаки и не удалось вовремя обнаружить вирус, остается последний рубеж — восстановление данных. Если ваша СРК не может восстановить работоспособность ИТ-систем, значит, она построена неправильно. 

 

Технологии, позволяющие осуществить быстрое восстановление данных, — Instant Rollback, Continuous Data Protection, Instant Access (мгновенный доступ к ВМ из бэкап-копий), мгновенные снимки, Bare Metal Restore и Immutability. Например, Continuous Data Protection позволяет сократить допустимое время восстановления, а технологии Immutability гарантированно защищают СРК. Эти решения помогут быстрее восстановить данные после атаки, причем сделают это с минимальной потерей информации. При этом архитектуру для быстрого восстановления лучше готовить заранее, на этапе планирования правильной СРК. Расчеты должны включать в себя предполагаемый объем данных, пропускную способность интерфейсов, количество массивов (или использование гиперконвергенции в качестве приемника данных), а также учитывать степень критичности данных. Все это должно быть документировано, а в идеале — являться частью стратегии непрерывности бизнеса или плана по восстановлению (DRP, Disaster Recovery Plan).

 

Учитывая постоянно растущие объемы данных, нехватку скорости при использовании классических решений, а также не стоящие на месте технологии, мы начали предлагать заказчикам для данных уровня Business Critical и Mission Critical использовать резервирование на массивы с дисками SSD. Это позволяет как увеличить скорость резервирования и восстановления, так и обеспечить возможность запуска и комфортной работы резервных копий напрямую с таких массивов. Современное ПО резервного копирования умеет запускать без восстановления как виртуальные машины, так и СУБД. Широкое использование аппаратных снимков СХД также даст преимущество при атаке шифровальщиков. ПО резервного копирования позволит централизованно и практически моментально откатиться на незашифрованный снимок СХД, не тратя время на физическое копирование данных с одного массива на другой.

Многим российским компаниям необходимо сформировать планы восстановления после кибератак и выстроить трехступенчатую систему защиты, о которой мы говорили выше. Также важно регулярно отрабатывать действия по аварийному восстановлению данных — репетиции помогут быстро и безболезненно пережить настоящую атаку. Мы даем все необходимые инструменты, которые позволят автоматизировать этот процесс и постоянно проводить подобные проверки. Вопрос «Будет ли компания подвергаться атакам вирусов-шифровальщиков и вообще заражениям?» уже не стоит, гораздо актуальнее другой: «Когда это произойдет и насколько вы к этому готовы?». На 100% защититься от атак невозможно. Но правильно выстроенная инфраструктура и стратегия защиты помогут бизнесу пережить нападение и не платить вымогателям миллионы долларов. 

Уведомления об обновлении тем – в вашей почте

Open Source - новое измерение свободы

Одним из значимых явлений в мире ИТ является движение за открытие исходных кодов.

Распределенные центры обработки данных

Резервный вычислительный центр (РВЦ) — это одно из решений, направленных на обеспечение доступности данных и информационных служб в целом.

Kubernetes - "ключ" к контейнерам

Большая часть приложений, которые разрабатывались вплоть до середины 2000-х гг., можно отнести к классу так называемых монолитных систем.

Хьюстон, мы падаем. Почему нельзя экономить на сервисном обслуживании ЦОД

Основная причина выхода инженерного оборудования ЦОД из строя — неправильный выбор уровня обслуживания либо его отсутствие. Свободных специалистов по обслуживанию ЦОД становится все меньше на фоне роста рынка в 30% в год. К отечественным производителям инженерного оборудования для ЦОД выстраиваются очереди из клиентов.

«С точки зрения инфраструктуры мы находимся в переходном периоде»

Почему «МультиКарта» продолжает использовать ПО, созданное в 2000-х? Можно ли считать Open Source двигателем ИТ-индустрии? В каком случае контейнеризация не имеет смысла?

Всё включено: полноценный ЦОД в одном контейнере

Экономия от внедрения модульного ЦОД в филиале составила сотни миллионов рублей. Развертывание ИТ-инфраструктуры больше не привязано к капитальному строительству на площадке. Сложный климат и географическая удаленность — не помеха для установки оборудования.

Не СХД, а болид «Формулы-1»: тестируем Huawei OceanStor Dorado 18000 V6

Сколько серверов нужно, чтобы выжать максимум из новой СХД? Насколько выгоден Dorado 18000 V6 с финансовой точки зрения? Зачем к тестам подключался специалист 3-й линии поддержки?

Бегущий по лезвию инфраструктуры: точная балансировка трафика стабилизирует бизнес-процессы

Что такое ECMP? Каждому — по способностям. Почему класть весь хеш в одно ведро — плохая идея?

Быть или не быть энергоэффективности?!

Как мы все помним, центр обработки данных (ЦОД, дата-центр) представляет собой площадку, на которой собраны вычислительные мощности. При этом ЦОД не возникает сам по себе из ниоткуда. На момент строительства, как правило, организация уже обладает некоторым набором ИТ-систем. Используемое при этом оборудование может быть весьма разнородно, территориально разнесено и т.д.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня