Ransomware: Jsou data zálohovaná v cloudu dostatečně chráněná?

Snad nejvýraznějším příkladem přesunu kriminality do virtuálního prostředí je ransomware, protože to není nic jiného než moderní forma vydírání. Je to škodlivý kód, který zablokuje nebo zašifruje obsah zařízení a za jeho odblokování, případně za obnovu zašifrovaných souborů vyžaduje výkupné.

Ransomware: Jsou data zálohovaná v cloudu dostatečně chráněná?


Vzhledem k tomu, že pro většinu firem jsou údaje jedním z nejcennějších aktiv, je ransomware jedním z nejnebezpečnějších typů malwaru. Jelikož terapie je v případě moderního ransomwaru prakticky nemožná, o to větší důraz je třeba klást na prevenci.

Snahou kyberkriminálníků útočících na IT infrastrukturu větší firmy je získat přístupy doménového administrá­tora, které jim umožní ovládnout celou firemní síť a v případě hybridní infrastruktury i virtuální servery a databáze v cloudu. V případě nedostatečně strukturovaného zabezpečení se dostanou i k zálohám, které mohou vymazat, případně jinak učinit nepoužitelnými, a zabránit tak obnovení dat po ransomwarovém útoku. V mnoha případech však nemusejí udělat nic a zálohy, ať už v podnikové serverovně nebo v cloudu, spolehlivě zlikvidují synchronizační, případně zálohovací mechanismus.

Rizika automatické synchronizace

Synchronizace souborů s úložným prostorem pro zálohování, ať už přímo ve firmě, nebo v cloudu, vás účinně ochrání v případě fyzické poruchy disků, avšak co se týče ransomwaru, který postupně vaše soubory šifruje, se v mnoha případech budou přepisovat originální soubory zašifrovanými.

Mechanismus synchronizace souborů se záložními kopiemi se tak de facto postará o rozšíření fungování ransomwaru i na zálohovací média.

Metody šifrování útočníci zdokonalili natolik, že pro antivirové firmy je až na výjimky potvrzujícím pravidlem nemožné najít klíč a poskytnout aplikaci na rozšifrování. Řešením v mnoha případech není ani zaplacení „výkupného“. Bezpečnostní analytici odhadují, že z menších organizací, které zaplatí výkupné, 15 procent nezíská zpět svá data.

Firmy tak při úspěšné infekci a ne­existující nebo nefunkční záloze ztrácejí přístup k fakturám, zákazníkům a ke svému vlastnímu intelektuálnímu vlastnictví. Může dojít k úplnému zastavení práce ve firmě, případně produkce. V závislosti na zaměření firmy nebo organizace trpí i její zákazníci, kteří pak mohou přejít ke konkurenci. Nepřímá škoda, čili ztráta reputace postižené firmy a ztráta zákazníků, je často ještě horší než přímé důsledky, mezi které v krajním případě patří i zastavení některých výrobních či logistických procesů. Útočníci si velmi dobře uvědomují, jakou mají údaje pro firmy hodnotu a jakou přímou či nepřímou škodu způsobí potenciální ztráta dat, a podle toho stanoví cenu „výkupného“.

Navzdory možnosti zašifrování zálohovaných dat může být zálohování poměrně účinným nástrojem na zotavení se po útoku ransomwarem, avšak musejí být správně nakonfigurována. Klíčem jsou pravidelné zálohy, ať už kompletní nebo inkrementální, které však musejí být zajištěny tak, že po vytvoření příslušné zálohy jsou údaje účinným mechanismem chráněné jako read only čili nesmí existovat možnost tyto zálohované údaje modifikovat. Druhým klíčovým faktorem je co nejrychlejší odhalení infekce ransomwarem. Přestože poslední záloha, případně několik posledních záloh, už může obsahovat i nebo jen zašifrované údaje, dá se v předchozích zálohách najít ta, která ještě ransomwarem nebyla postižena.

Aby se zabránilo přístupu k zálohovacím serverům, je třeba, aby na nich byly samostatné účty pro přístup k zálohovacímu softwaru, které nejsou doménové. Pokud i útočníci získají přístup na úrovni doménového administrátora, k zálohám se nedostanou. Také interní infrastruktura pro zálohování dat by měla být oddělena od internetu a měla by tvořit izolovaný segment sítě.

I v tomto případě však platí, že lepší než terapie nebo nedej bože placení výkupného je účinná prevence. Nejmodernější antimalwarová řešení mají implementovanou ochranu před ransomwarem, která pracuje na bázi umělé inteligence, konkrétně behaviorálního monitoringu. Tato vrstva monitoruje chování aplikací a procesů běžících na zařízení, jež se pokoušejí o úpravu dat v počítači nebo na discích serveru. Pokud je chování vyhodnoceno jako podezřelé, proces je pozastaven. Stane se tak například, jestliže se začnou šifrovat určité typy souborů. Uživatel dostane informaci o takovém chování aplikace a má na výběr, zda jí přesto povolí činnost, nebo potvrdí její zablokování. 

Sandboxing

Antimalware může paralelně podezřelé aplikace přílohy e-mailů otestovat v bezpečném izolovaném virtuálním prostoru nazývaném sandbox.

Podezřelý kód přesune do sandboxu, kde se dělá statická analýza kódu, hloubková kontrola vzorku kódu s využitím strojového učení, sledování vlastní paměti a detekce na základě chování. Pokud například podezřelá aplikace je šiřitelem ransomwaru, ten po spuštění aplikace učiní své aktivity v izolovaném prostředí sandboxu a nezašifruje vám soubory na firemních počítačích, serverech, potažmo v cloudových úložných prostorech, kam zrcadlíte a zálohujete důležité dokumenty. Aktivity šifrování souborů v izolovaném prostředí sandboxu budou odhaleny a ransomware detekován. Připomínáme, že tyto akce se dělají v izolovaném paměťovém prostoru, takže v žádném případě nehrozí nakažení počítače. 

Nejlepší prevence: školení zaměstnanců a pravidelné záplatování

Důležitá je i prevence na úrovni zvyšování bezpečnostního povědomí zaměstnanců a také pravidelné aplikování bezpečnostních záplat a aktualizací na operační systémy a další software. Pokud „pomohou“ zaměstnanci, může počítače nebo servery nakazit i méně sofistikovaný ransomware. Firmy by se nejen kvůli tomuto typu infekce měly věnovat internímu vzdělávání svých zaměstnanců z hlediska toho, na co neklikat a co udělat, pokud již stihli udělat něco, co neměli.

Mnohé firmy akceptují riziko vyplývající z nepoužívání bezpečnostních záplat, protože neočekávají, že se to může stát právě jim. A to je jeden z nejrozšířenějších mýtů a zároveň omylů v oblasti zabezpečení informačních systémů. Je třeba se poučit z minulých chyb. Co způsobilo šíření WannaCry? Nezáplátované operační systémy. Útočníci zneužili zranitelnost, která byla známá, a jediné, co firmy musely udělat, bylo zachovat dobrou hygienu a v uvozovkách se očkovat čili záplatovat si systém. Mnohé organizace to podcenily a pak na to krutě doplatily.

Je to paradox, ale někdy právě aktualizace může být cestou k zavlečení ransomwaru. Týká se to především subsystémů, které jsou kompletně odizolované od internetu, například řídicí systémy výrobních linek. I výrobní linku je však třeba občas aktualizovat, aby například dokázala vyrábět nový typ výrobku. Aktualizace se tam v tomto případě nosí na USB klíči a stačí jen jednou přinést klíč, na kterém bude i to, co by na něm být nemělo. Proto k zajištění počítačů, na nichž se připravují přenosná média na distribuci aktualizací, musejí být chráněny obzvlášť pečlivě.


Úvodní foto: Depositphotos

Vyšlo v CIO Business World 5/2020
Časopis lze koupit se slevou 20 %





Komentáře