Top.Mail.Ru
Обсудить проект Обсудить проект
Пн–Чт: 9:00–18:00 Пт: 9:00–17:00 г. Барнаул, ул. Гоголя, 85В, 4 этаж zapros@geekspace.ru

Сохраните свои данные, даже если они зашифрованы

Почему автоматическое резервное копирование лучше ручного

Программы-вымогатели больше не просто шифруют ваши файлы — они первым делом охотятся за резервными копиями. Разбираемся, почему копия, сделанная вручную, погибает вместе со всем остальным, и что на самом деле переживает атаку.

Есть один вопрос, от которого зависит, станет ли атака шифровальщика катастрофой или просто испорченным днём. Это не «как они проникли?» и не «сколько они требуют?». Вопрос тише — и любой владелец бизнеса, переживший такую атаку, в итоге задаёт его в шесть утра над остывшей чашкой кофе:

Есть ли у нас чистая копия данных, которой действительно можно доверять?

Если ответ «да» — настоящее «да», а не «вроде бы», — записка с требованием выкупа превращается в спам. Вы восстанавливаете данные, перезапускаете системы и живёте дальше. Если ответ «нет» или, что хуже, «кажется, есть», вы садитесь за стол переговоров с преступниками, и на кону — выживание вашего бизнеса. Вся драма сводится к одной-единственной копии и к тому, сохранилась ли она в том виде, до которого злоумышленник не смог дотянуться.

Именно об этом статья. Не о резервном копировании как о рутинной обязанности, а о резервной копии как о выключателе для всей схемы вымогательства. И неприятная правда в том, что способ, которым большинство небольших компаний реально делает копии — вручную, когда кто-нибудь вспомнит, — порождает ровно тот тип копии, который атаку не переживает.

чистая
копия
нет
выкупа

Копия — это ваш козырь

Программы-вымогатели — это бизнес-модель, и товар, который вам продаёт обратно, — ваши же собственные данные. Весь расчёт злоумышленника строится на одном допущении: что другого способа вернуть данные у вас нет. Надёжная, восстановимая резервная копия разрушает это допущение. Она превращает «платите или потеряете всё» в «нет, спасибо».

Это не теория. Когда организации могут восстановиться из резервных копий, они не платят. Именно поэтому преступники и перестроились: какое-то время хорошие копии их обыгрывали. Если у вас была чистая копия, ключ для расшифровки был не нужен, и вся экономика выкупа начинала шататься.

И злоумышленники сделали логичный ход. Они перестали относиться к вашим копиям как к чему-то второстепенному и превратили их в главную цель.

Что поняли преступники, а большинство компаний — ещё нет

Вот сдвиг, который изменил всё, и именно его не учитывает совет «просто делайте копии».

Современные группировки вымогателей не шифруют файлы в момент проникновения. Сначала они тихо перемещаются по сети — как правило, злоумышленник находится внутри несколько дней, прежде чем нажать на спусковой крючок, — и всё это время занимаются одним: ищут и уничтожают вашу возможность восстановиться. По данным исследований Veeam, около 96% атак шифровальщиков сегодня целенаправленно бьют по хранилищам резервных копий, и примерно три четверти таких попыток оказываются успешными. Sophos, анализируя последствия, выяснила, что компании, чьи копии были скомпрометированы, столкнулись с расходами на восстановление примерно в восемь раз выше, чем те, чьи копии уцелели.

Вдумайтесь. План злоумышленника — не «зашифровать файлы». Это «зашифровать файлы и убедиться, что страховочной сетки уже нет, прежде чем вы поймёте, что падаете». К тому моменту, когда вы видите записку с выкупом, они, как правило, уже прошлись по вашим резервным копиям.

А значит, старое утешение «не переживай, у нас есть бэкапы» опасно. Вопрос не в том, есть ли у вас копия. Вопрос в том, есть ли у вас копия, до которой злоумышленник не смог добраться. И именно это различие — между копией просто доступной и копией по-настоящему защищённой — обрушивает всю идею ручного резервного копирования.

96%
атак
цель —
бэкапы

Почему копия, сделанная вручную, погибает первой

Представьте, как небольшой бизнес на самом деле делает резервные копии — если делает вообще. Кто-то — скажем, офис-менеджер, потому что это всегда офис-менеджер — в пятницу подключает внешний диск и копирует туда важные папки. Или в углу гудит NAS, с которым компьютеры более-менее автоматически синхронизируются. И то и другое выглядит ответственно. И то и другое во время атаки шифровальщика почти бесполезно. Вот почему.

Зависит от человека

Это зависит от того, вспомнит ли человек, — а человек вспоминает ненадёжно. Вся ценность резервной копии — в регулярности, а регулярность — именно то, что хуже всего даётся ручным процессам.

Шифруется вместе со всем

Она подключена, а значит, шифруется вместе со всем остальным. Это самое роковое. Тот внешний диск, воткнутый в заражённый компьютер? Зашифрован.

Перезаписывает чистую копию

Она перезаписывает вашу чистую копию заражённой. Поскольку злоумышленник таится в сети несколько дней, простая процедура «скопировать текущие файлы поверх старой копии» с радостью запишет уже скомпрометированную версию прямо поверх хорошей.

Никто не проверяет

Её никто никогда не проверяет. Копия, из которой вы ни разу не восстанавливались, — это не копия. Это слух.

Неделя, когда кто-то в отпуске; пятница, забитая делами; диск, который «поменяем на следующей неделе», — вот они, бреши, и атака всегда будто бы находит их. Самая важная копия — та, которую вы не сделали, а ручные процедуры — это машина по несделанным копиям.

Тот NAS, до которого дотягиваются все машины? Дотянулись — и шифровальщик, который ползёт по всем доступным путям, тоже. Копия, лежащая в той же сети, которую уже контролирует злоумышленник, — не страховка, а просто ещё файлы в заложниках. Ручные копии почти всегда именно такие: досягаемые, а потому обречённые вместе со всем остальным.

Ни версий, ни истории — только последнее состояние, а оно отравлено.

Ручные копии почти никогда не проверяют, и момент истины — само восстановление, под давлением, в шесть утра — худшее время, чтобы выяснить, что диск повреждён, файлы неполны, а вон ту папку вообще ни разу не включали в копирование.

За каждым из этих провалов — одна и та же причина: ручной процесс не способен делать то, что позволяет копии пережить современную атаку. И это не проблема дисциплины, которую можно решить более строгим напоминанием. Это заложено в самой его природе.

Что на самом деле даёт автоматизация

Автоматическая система резервного копирования — это не «то же самое, только делает компьютер». Это другая категория защиты, потому что именно автоматизация делает практичными те свойства, которые позволяют копии выжить. Четыре из них важнее всего.

свойство 1

Регулярность без подвигов

Система работает по расписанию независимо от того, вспомнил ли кто-то, в отпуске ли он и не выдалась ли у него ужасная неделя. Вы получаете чёткий, предсказуемый ответ на вопрос «сколько данных мы можем потерять?» — в часах, а не в формате «сколько прошло с тех пор, как кто-то в последний раз об этом подумал».

свойство 2

Версионирование

Версионирование — тот самый механизм «даже если зашифровано». Это главный герой всей истории. Хорошая автоматическая система хранит несколько точек восстановления, уходящих в прошлое.

свойство 3

Копии вне досягаемости

Копии, до которых злоумышленник не дотянется. Автоматизация позволяет без труда держать копии вне офиса и в изоляции — в облаке, на неизменяемом (immutable) хранилище, которое нельзя изменить или удалить даже с правами администратора, фактически вне досягаемости атакующего.

свойство 4

Проверка восстановления

Копии, которые действительно проверяются. Автоматические системы умеют сами проверять восстановление — убеждаться, что данные целы и восстановимы, — так что копия, на которую вы рассчитываете, уже доказала свою работоспособность до того, как понадобилась.

И когда шифровальщик сегодня зашифрует всё, вы восстанавливаете не сегодняшние отравленные файлы — вы откатываетесь к чистой версии, сделанной до того, как злоумышленник вообще проник. С учётом того, что атакующие теперь неделями сидят в сети, наличие вчерашней, прошлонедельной и прошломесячной копий — это разница между настоящим восстановлением и восстановлением заражения. У ручных копий «поверх старой» есть ровно одна версия, и она неправильная.

Это прямой ответ на «они охотятся за вашими копиями»: вы держите хотя бы одну копию, до которой они просто не смогут добраться. Делать это вручную, правильно и каждый раз — фантазия. Автоматизировать — это одна настройка.

Вы меняете надежду на доказательство.

Ни одно из этих свойств не роскошь. Каждое — именно то, что отделяет «мы восстановились и живём дальше» от «мы заплатили выкуп и всё равно вернули не всё».

Правило, которое всё расставляет по местам

Чтобы всё сделать правильно, не нужно становиться инженером по хранению данных. Вся стратегия умещается в числе, которым специалисты пользуются годами: 3-2-1.

Храните три копии данных, на двух разных типах носителей, и хотя бы одну — вне офиса. Современная, устойчивая к шифровальщикам версия добавляет ещё две цифры — 3-2-1-1-0: одна из копий должна быть неизменяемой или офлайн (та самая, которую атакующий не зашифрует), а при проверке восстановления вы должны получить ноль ошибок.

Что означает 3-2-1-1-0

3 копии данных 2 разных типа носителей 1 копия вне офиса 1 неизменяемая или офлайн-копия 0 ошибок при восстановлении

Перечитайте — и заметьте кое-что: почти ничего из этого нельзя сделать руками в пятницу, и всё это — рутина для автоматической системы. Правило-памятка и аргумент в пользу автоматизации — это один и тот же довод в разной одежде.

«Но мы маленькая компания — не перебор ли это?»

Всё наоборот — и вот по двум причинам.

Вернёмся к вопросу в шесть утра

Два бизнеса попадают под один и тот же шифровальщик в один и тот же вторник.

Первый бизнес

Первый делал копии вручную — диск, NAS, добрые намерения. Злоумышленник нашёл эти копии ещё несколько дней назад и зашифровал их вместе со всем остальным. Чистой копии, которой можно доверять, нет. Записка с выкупом только что стала самым важным письмом в их жизни.

Второй бизнес

Второй использовал автоматическую систему: с версиями, вне офиса, с неизменяемой копией, до которой злоумышленник так и не добрался, с восстановлением, которое тихо проверялось каждую неделю. Их ответ на вопрос в шесть утра — настоящее «да». Они выбирают точку восстановления до заражения, откатываются и удаляют письмо с выкупом, не читая. Одна и та же атака. Совершенно разный вторник.

Что значит сохранить данные, даже если они зашифрованы

Вот что на самом деле значит фраза сохранить данные, даже если они зашифрованы. Это никогда не было обещанием, которое могла бы сдержать пятничная флешка, — та копия гибнет вместе с остальными. Это обещание, которое может дать только система: та, что работает, когда никто не смотрит, хранит историю, которую атакующий не сможет переписать, держит копию, до которой он не дотянется, и уже доказала, что способна вас вернуть.

Ваши данные — это ваш бизнес. Копия, которую нужно не забыть сделать, — это не страховка. Автоматизация — это то, как вы гарантируете, что единственная важная копия останется на месте, когда всё остальное исчезнет.

Хотите проверить, переживут ли ваши резервные копии атаку шифровальщика?

Поможем оценить текущую схему резервного копирования, найти слабые места и выстроить автоматическую защиту данных с версиями, изоляцией, неизменяемыми копиями и проверкой восстановления.

Получить консультацию Получить консультацию
Поделитесь,
если вам было интересно:
Подберем для вас оптимальное решение
Обсудить проект Обсудить проект
Поиск по сайту