Zašto backup često ne preživi ransomware napad
BleepingComputer je objavio sponzorisani tekst kompanije Acronis o tome zašto backup sistemi često zakažu tokom ransomware napada. Glavna teza je da problem nije samo u tome da li backup postoji, već da li može da preživi napad u kojem napadači prvo kradu kredencijale, kreću se kroz mrežu, pronalaze backup infrastrukturu i brišu ili šifruju tačke oporavka. Kao česti uzroci navode se slaba izolacija backup sistema, deljeni administratorski nalozi, nedostatak MFA zaštite, nepromenljivih kopija i redovnog testiranja oporavka. Tekst ima jasan vendor ugao, ali se bavi realnim operativnim problemom koji se često vidi u ransomware incidentima.
Backup nije plan oporavka ako napadač može da mu pristupi istim nalozima i istim mrežnim putem kao produkcionim sistemima. Za firme je nezgodno to što se slabosti backup arhitekture obično otkriju tek kad je incident već u toku, kada više nema vremena za mirno popravljanje procesa.
- Odvojiti backup naloge od produkcionih administratorskih naloga i obavezno uključiti MFA
- Segmentirati backup infrastrukturu tako da nije dostupna sa kompromitovanih radnih stanica i servera
- Koristiti nepromenljive backup kopije sa jasnim periodom zadržavanja
- Redovno testirati vraćanje sistema iz backup-a, uključujući veće scenarije oporavka
- Pratiti promene na backup poslovima, retention pravilima, agentima i snapshot-ima kao bezbednosne događaje