Rasomware: Cómo realizar sus copias de seguridad para no pagar

0
31
Custom Text

La mejor manera de evitar el pago de un rescate a los atacantes que han infectado sus sistemas con ransomware es tenerlos adecuadamente respaldados, para poder borrarlos y restaurarlos desde copias de seguridad seguras. Aquí hay varias opciones para asegurarse de que estas estén a la altura.

En este artículo, el término «copia de seguridad» se refiere a cualquier sistema que vaya a utilizar para responder a un ataque de ransomware, incluyendo los sistemas de respaldo de la vieja escuela, los sistemas de replicación y los modernos sistemas híbridos que soportan copias de seguridad y recuperación de desastres. Para simplificar, aquí nos referiremos a todos ellos como copia de seguridad.

Haga una copia de seguridad de todo utilizando la regla 3-2-1
Antes que nada, haga una copia de seguridad de todo. Investigue la capacidad de su sistema de respaldo para incluir automáticamente todos los nuevos sistemas, sistemas de archivos y bases de datos. Esto es más fácil en el mundo de la virtualización, donde puede configurar su sistema de respaldo para que haga una copia de seguridad automática de todas las máquinas virtuales en un host. Esto también se puede hacer con la inclusión basada en etiquetas, donde las máquinas virtuales de diferentes tipos se incluyen automáticamente en función de sus etiquetas. Este es uno de los mejores usos de la automatización en un sistema de respaldo -la inclusión automática de todo.

Asegúrese también de seguir la regla 3-2-1 en su sistema de respaldo, sin importar que le digan que es anticuada. La regla dice que hay que hacer al menos tres copias o versiones de los datos almacenados en dos soportes diferentes, uno de los cuales está fuera de las instalaciones. Las partes importantes aquí son la dos y la uno -almacene las copias de seguridad en un sistema diferente y en una ubicación diferente. No guarde las copias de seguridad en el mismo lugar que el sistema principal. Mejor aún, almacénelas en un sistema operativo diferente y en una ubicación física distinta, pero en el mundo real eso no siempre es posible.

Debe haber algún tipo de reporte automático por parte de su sistema de respaldo para que pueda estar seguro de que las copias de seguridad que cree que están ocurriendo realmente están ocurriendo. Esto debería incluir tanto reportes de éxito como de fracaso. Un sistema de monitoreo de terceros es probablemente lo mejor para que pueda mirar continuamente todo y hacer notar cuando las cosas estén un poco apagadas. Un sistema de reportes con aprendizaje automático sería ideal, ya que puede detectar patrones que indiquen problemas. Esto es más fácil que tener que leer docenas o cientos de correos electrónicos de su sistema de respaldo cada día solo para asegurarse de que las cosas están funcionando.

La seguridad de la recuperación de desastres (RD) debe encabezar la lista
Su sistema de respaldo y RD debe ser uno de los sistemas más seguros de su entorno informático. Debería ser difícil de acceder y de iniciar sesión. Debería ser más difícil aún iniciar sesión como administrador o root. Con suerte, su sistema de respaldo soporta la administración basada en roles para que pueda iniciar sesión y ejecutar las copias de seguridad como usted mismo. No debería tener que ejecutarlas como root o administrador. Iniciar sesión con esas cuentas es increíblemente peligroso y debería restringirse siempre que sea posible.

Su sistema de respaldo y RD también debería ser el sistema más actualizado que tenga. Los parches de seguridad deben instalarse allí primero, no al final, porque estos son los sistemas que conforman su última línea de defensa. Asegúrese de que no sea víctima de un agujero de seguridad que debería haber sido parcheado hace semanas.

Todas las afirmaciones sobre la integridad e inmutabilidad de los datos se van por la ventana si se tiene acceso físico, por lo que el servidor de copia de respaldo también debería ser muy difícil de alcanzar físicamente. Tal vez esté en una sala diferente que requiera un acceso físico distinto o dentro de un rack de ordenadores del que no todo el mundo tenga la llave. Otra buena manera de hacerlo es sacar el sistema de respaldo de su centro de datos por completo. Póngalo en la nube.

Cifre todo
Todas las comunicaciones de las copias de seguridad deberían estar cifradas, así que asegúrese de que su proveedor de copias de seguridad cifre el tráfico entre los sistemas. Esto significa que, si se produce una amenaza avanzada persistente y ésta husmea en la red, no va a identificar los servidores de respaldo ni lo que están haciendo. Esto puede evitar que sus sistemas de respaldo sean atacados por ransomware.

Además de cifrar el tráfico de copias de seguridad en movimiento, también debería cifrar todo el tráfico de copias de seguridad en reposo, especialmente si los datos se almacenan en cualquier lugar fuera de su control físico. Esto incluye las cintas que vaya a entregar en cualquier momento a cualquier persona, incluso a sus propios empleados, y también incluye los datos que almacene en redes de proveedores en la nube, porque, aunque sean muy seguras, nada es perfecto. Asegúrese de que sus datos de respaldo no puedan ser utilizados como una forma de investigar más su red y atacarla.

Construya la RD basándose en las necesidades del negocio
Un sistema de RD bien probado es la mejor defensa contra un ataque de ransomware. Un sistema mal diseñado es la mejor manera de garantizar que acabe pagando un rescate.

Esto debería ser así en todas las áreas de TI, pero el sistema de RD debería construirse con base en los requisitos que provienen del negocio. Debe haber muchas reuniones en las que se discutan y acuerden los requisitos, como el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO), mucho antes de decidir cómo se van a cumplir esos requisitos. Una vez que haya acordado un RTO y un RPO, diseñe un sistema de respaldo y DR que satisfaga esos requisitos.

Haga pruebas como si su vida dependiera de ello
En un artículo reciente se decía que la razón por la que Austin, Texas, perdió el agua potable durante tanto tiempo durante una falla eléctrica en todo el estado fue que nadie en la planta de tratamiento de agua sabía cómo encender el generador de reserva. No sea esa empresa. No sea la empresa que tiene un buen sistema de respaldo y de RD y no sabe cómo utilizarlo. Hay demasiados riesgos para sus datos hoy en día como para no seguir este consejo crucial: pruebe con frecuencia su sistema de RD.

La buena noticia es que la mayoría de los sistemas modernos de respaldo y RD soportan pruebas frecuentes de todo el sistema. Puede poner en marcha todo su centro de datos en un entorno de pruebas tan a menudo como sea necesario para ver cómo funciona realmente. Hágalo al menos trimestralmente. Solo debería tardar unas horas y debería ser aburrido porque está probando que todo funciona. Si es aburrido cuando lo prueba cada trimestre, será fácil cuando tenga que usarlo realmente para recuperarse del ransomware.

Cada vez que realice la prueba, rote el personal que la ejecuta. No deben ser las personas que diseñaron el sistema ni las que lo utilizan a diario. Deben tener buenos conocimientos técnicos y disponer de una buena documentación que seguir. Esa es la mejor manera de confirmar que tanto el sistema como la documentación funcionan.

Un sistema de RD preparado para el ransomware que pueda volver a poner en línea todo su centro de datos después de un ataque de ransomware es la única manera de evitar el pago del rescate. Por favor, considere hacer esto ahora, antes de que su empresa se convierta en otra estadística.

Curtis Preston (NetworkWorld.com) – CIOPeru.pe

Artículo anterioriMac M1: bonito, pero seis cosas nos han gustado a medias
Artículo siguiente“Delivery” de Promociones Tecnológicas: Una Novedad que llega a toda Latinoamérica