7 правил, которые помогут избежать заражения хранилищ резервных данных криптовымогателями

12 июля 2017

Вирусы-вымогатели могут представлять опасность как для ваших персональных устройств, так и для более крупных структур, совсем недавно мы все смогли в этом убедится. Многим нашим клиентам и партнерам пришлось столкнуться с криптовымогателями в разных условиях, сюда относятся и атаки на дата-центры. Самый действенный прием, который поможет избежать потери данных, - это сохранение их копий, что позволит восстановить всю информацию. Резервное копирование дает возможность сохранить доступность необходимых сведений даже во время критических сбоев или при потере оригинальных данных, в том числе и во время заражения криптовымогателем. Здесь вы найдете рекомендации, способные помочь вам при проектировке архитектур с интегрированными системами Veeam. Но даже если вы не являетесь пользователем решений от Veeam, эти советы в любом случае окажутся полезны.

Стоит подчеркнуть, что на данный момент никак нельзя говорить о какой-то общей тактике противодействия разнообразным криптошифраорам. Для нас самое главное – это объяснить несколько методов защиты, а уже что из этого использовать – решать только вам.

Данный прием довольно эффективен и докажет это в самых различных ситуациях, а с тех пор, когда появились вирусы-вымогатели, он стал еще более значимым. Через пользовательский профиль, используемый для входа в базу резервного копирования, не должны совершаться какие-либо другие действия, а иметь доступ к такому профилю должны лишь несколько надежных специалистов. Все остальные учетные записи, соответственно, не могут получить те же права для взаимодействия с операцией резервного копирования, что выделенный профиль. И ни при каких обстоятельствах не стоит пользоваться записями DOMAIN\Administrator для управления всеми возможными процессами!

В крупномасштабных средах правильнее будет выводить систему Veeam на отдельное доменное имя, которое специализируется на каком-то определенном процессе, то же создание резервных копий. Итог – еще во время разработки проекта системы защиты необходимо думать о том, как будет происходить аутентификация и как лучше произолировать от ненадежных пользователей все, что непосредственно касается резервного копирования.

Один из самых действенных способов предупреждения проникновений в базы резервного копирования вируса-вымогателя – это сохранение информации на автономных накопителях. Продукты Veeam позволяют хранить все необходимые сведения не только на автономных, но и полуавтономных накопителях.

Обезопасить свою компанию от атак криптовымогателей также возможно, используя несколько разных протоколов. Носитель с другой системой аутентификации – это лучший выбор для хранения резервных копий. Наиболее удачный пример – сохранение резервной копии важного сегмента (пусть контроллера доменного имени). Если вам вдруг понадобиться провести полноценное восстановление контроллера доменного имени, то возникнут серьезные трудности при условии, что носитель, используемый для хранения этой копии, предполагает аутентификацию Active Directory.

Но решить проблему можно – просто установите на устройство, где находятся копии, операционную систему Linux. То есть, аутентификация, необходимая для управления процессами создания резервных копий и восстановления данных Veeam, будут использовать уже возможности Linux, а работа с файлами иных форматов снижает опасность заражения криптовымогателем. Нужно указать, что вирусы-шифраторы могут атаковать любые ОС. Однако подобные меры обезопасят носители с разными файловыми системами от заражения одинаковым вирусом.

Представляем несколько хранилищ в различными файловыми системами и аутентификаторами.

Система хранения данных EMC Data Domain с дедупуликатором, где используется DDBoost или папка NFS при условии, что возможность эксплуатировать DDBoost отсутствует (хотя более предпочтительно применение DDBoost).

Система хранения данных Hewlett Packard Enterprise Store Once с дедупуликатором, где используется Catalyst.

Система хранения данных ExaGrid с дедупуликатором, где применяется Veeam.

Общие сетевые папки NFS, интегрированные с сервером на Linux, где хранятся данные резервного копирования.

В пункте 2 аппаратные снимки были упомянуты в качестве полуавтономного носителя, на котором данные будут лучше защищены. Если система хранения данных, где находятся ваши резервные копии, дает возможность делать аппаратные снимки, то это может помочь обезопасить информацию от воздействия вируса-вымогателя.

Очень советуем вам не забывать про схему «3, 2, 1». При использовании данной схемы нужно: сохранять по три образца резервных копий на двух разных накопителях, и подключение к одному из них должно осуществляться только по удаленной системе. Данный прием почти универсален, ведь используя его, вы сможете восстановить информацию в самых разных условиях, а также для работы такой системы не потребуется каких-либо специализированных решений. Так как атаки криптовымогателей стали довольно частым явлением, к данной схеме можно прибавить еще одну единицу, которая обозначит автономное хранилище.

Для установки подобного накопителя не нужно всегда проводить переконфигурацию структуры создания резервных копий. Но все-таки не нужно пренебрегать такими решениями, которые, возможно, помогут улучшить уже действующую структуру.

Криптовымогатели более всего опасны тем, что с легкостью заражают другие устройства, стоит пострадать лишь одному. Во избежание подобного исхода необходимо проводить сканирование на предмет нежелательных действий, совершаемых вирусами. В версии Veeam ONE 9.5 возможно включение уведомлений под названием «Possible ransomware activity» («Возможная активность криптовымогателя»). Вы сразу же получите его, когда система зарегистрирует большое число процессов записи на накопитель и перегрузку центрального процессора.

Указанная архивация данных резервного копирования – высокоэффективный способ для создания точек восстановления, которые будут находиться на акцессорном накопителе с другой файловой системой. Это позволит системе архивирования использовать другие точки восстановления.

Данная технология анализирует данные резервного копирования, которые находятся в главном хранилище, а после отправляет точки для восстановления на накопитель иного вида.