Zálohovanie

Keďže väčšina ransomvérov zneprístupní vaše dáta (nie len zašifrovaním, ale môže nastať aj ich zmazanie, resp. zničenie samotného zariadenia), je potrebné mať účinný zálohovací systém (nie len nástroj, ale aj proces), ktorý v prípade ransomvérového incidentu dokáže obnoviť vaše dáta v priebehu krátkeho času a vy budete môcť pokračovať vo vašej práci. To platí aj v prípade, že poskytujete služby alebo máte dáta vlastných zákazníkov. V súlade s vašimi obchodnými cieľmi je kontinuita poskytovania vašich služieb v prioritách najvyššie.

⚠️ Pri zálohovaní odporúčame dodržiavať pravidlo 3-2-1. Národné centrum kybernetickej bezpečnosti už v minulosti pripravilo prehľadný návod, ktorý Vám povie, akým spôsobom toto pravidlo aplikovať. Jeho princípom je rozdeliť vaše zálohy na viacero médií a lokalít tak, aby aj v prípade, že ransomvér napadne aj vaše zálohy, mohla byť prevádzka obnovená. Efektivitu zálohovania Vám zabezpečí jej automatizácia, avšak treba dbať na bezpečnostné implikácie, ktoré so sebou prináša – pri ransomvérovom útoku totiž môže prísť k situácii, že sa škodlivý kód dostane aj na zálohovaciu lokalitu a znehodnotí dáta aj tam. Preto dbajte hlavne na to, aby zálohovacie médium nebolo neustále pripojené k zálohovanému zariadeniu (len vtedy, keď sa samotné zálohovanie vykonáva, napríklad raz za deň, a potom bola fyzicky odpojené).

Proces zálohovania musí byť jasný nie len technikom či bezpečnostným špecialistom, ale aj bežným zamestnancom. Popri zavedení pravidiel na zálohovanie pripravte pre zamestnancov aj prehľadný návod (napríklad vo forme letáku), ktorý im povie, ako sa majú správať k dátam, aby boli zálohované v súlade s firemnou politikou. Častým problémom býva, že nepoučení zamestnanci ukladajú živé dáta na miestach, ktoré spoločná zálohovacia politika nepokrýva, ako sú osobné počítače alebo USB kľúče.

Tento proces takisto testujte – aby ste si boli istí, že každý pravidlá zálohovania pochopil a naozaj ich dodržiava. Ak zistíte pochybenie, netrestajte – radšej znova vysvetlite princípy a pravidlá zálohovania a takisto aj benefity, ktoré z toho vyplývajú.

⚠️ Častou chybou, ktorej sa dopúšťajú aj skúsení systémoví administrátori, je prevádzka kvalitného, bezpečného, dobre nakonfigurovaného zálohovacieho systému na tej istej infraštruktúre, na ktorej beží zvyšok siete. Po napadnutí ransomvérom potom útočníci vedia znefunkčniť a vymazať zálohovanie zároveň s ostatnými systémami. Aby boli zálohy odolné voči ransomvérovému útoku, musia byť úplne technologicky nezávislé:

• nikdy nesmú byť inštalované na rovnakej virtualizačnej infraštruktúre ako produkčné servery
• nesmú mať dáta uložené na rovnakom úložisku ako produkčné systémy
• nesmú zdieľať administrátorské heslá s produkčnými systémami
• prihlasovanie na zálohovací systém (aplikáciu či operačný systém samotný) nemôže byť overované voči doménovému serveru, ktorý používajú produkčné systémy
• ich heslá nesmú byť uložené v bežne používaných kľúčenkách ktoré používajú administrátori na prístup do iných systémov

Zálohovaciu infraštruktúru držte natoľko technologicky, sieťovo aj heslovo oddelenú od zvyšku vašej organizácie, aby ani útočník s plnými administrátorskými právami v sieti organizácie nedokázal zálohy deaktivovať, pozmeniť, zmazať či stiahnuť.

Nezálohujte si len dáta. Je vysoko odporúčané, aby ste do zálohovania zahrnuli aj konfigurácie, konfiguračné skripty, inštalačné skripty, dockerové kontajnery alebo inštalačné obrazy diskov (golden images). V prípade infekcie zariadení, kde je dôležitá najmä konfigurácia, nie len samotné dáta, vám záloha umožní rýchlejšiu obnovu prevádzky.

Zálohy šifrujte. Ak sa útočník dostane k vašim zálohám a chcel by ich využiť (napríklad predať), tak šifrovaná záloha bude pre neho bezcenná.

Tak ako testujete prístup zamestnancov k pravidlám zálohovania, testujte aj systém zálohovania samotný (nástroje a dáta). Musíte mať istotu, že zálohy sú aktuálne, funkčné a v prípade potreby prístupné.