Recuperación frente a un ataque de ransomware

0
17

De acuerdo con un informe sobre ransomware publicado en junio por Keeper Security, el 49% de las empresas afectadas por el ransomware pagaron el rescate, y otro 22% se negó a decir si pagó o no. Parte de la razón es la falta de copias de seguridad, concretamente, la falta de copias de seguridad utilizables.

Las copias de seguridad deben estar a salvo de malware, ser rápidas y fáciles de recuperar, e incluir no solo archivos y bases de datos importantes, sino también aplicaciones clave, configuraciones y toda la tecnología necesaria para respaldar un proceso empresarial completo. Lo más importante es que las copias de seguridad deben estar probadas.

A continuación, se explican ocho pasos para garantizar la recuperación exitosa desde una copia de seguridad luego de un ataque de ransomware.

  1. Mantenga las copias de seguridad aisladas

Según una encuesta de Veritas publicada el año pasado, solo el 36% de las empresas tienen tres o más copias de sus datos, incluyendo al menos una fuera de las instalaciones. Que haya un «espacio de aire” entre las copias de seguridad y el entorno de producción es fundamental para mantenerlas a salvo del ransomware y otros desastres.

«Vemos que algunos de nuestros clientes tienen copias de seguridad locales que ellos mismos ejecutan, y también unas basadas en la nube”, comenta Jeff Palatt, vicepresidente de servicios de asesoría técnica en MoxFive, una empresa de servicios de asesoría técnica. «Pero lo ideal es que, si alguien tiene ambas, no se conecten en cascada. Si los archivos encriptados se almacenan en la copia de seguridad local y luego son replicados en la nube, eso no sirve de nada”.

Algunas plataformas basadas en la nube incluyen el versionado como parte del producto sin costo adicional. Por ejemplo, Office 365, Google Docs y los sistemas de copia de seguridad en línea como iDrive conservan todas las versiones anteriores de los archivos sin sobrescribirlos. Incluso si hay un ataque de ransomware y se realiza una copia de seguridad de los archivos cifrados, el proceso de respaldo simplemente agrega una nueva versión corrupta del archivo, y no sobrescribe las copias de seguridad más antiguas que ya están allí.

Utilizar una tecnología que guarda copias de seguridad incrementales continuas de archivos tiene la ventaja de que no hay pérdida de datos cuando ocurre un ataque de ransomware. Simplemente se restaura la última versión buena del archivo previo al ataque.

  1. Utilice técnicas de almacenamiento de una sola escritura

Otra forma de proteger las copias de seguridad es utilizar un almacenamiento que no se pueda sobrescribir. Use una tecnología física de escritura única – lectura múltiple (WORM) o equivalentes virtuales que permitan escribir los datos, pero no modificarlos. Esto aumenta el costo de las copias de seguridad, ya que requiere mucho más almacenamiento. Algunas tecnologías de copia de seguridad solo guardan archivos modificados y actualizados, o utilizan otra tecnología de deduplicación para evitar tener varias copias de lo mismo.

  1. Mantenga varios tipos de copias de seguridad

«Muchas veces las empresas no tienen el espacio de almacenamiento o las capacidades para mantener las copias de seguridad durante un período de tiempo prolongado”, señala Palatt. «En una ocasión, nuestro cliente tenía tres días de copias de seguridad. Dos días se habían sobrescrito pero el tercero aún era viable”. Si el ransomware hubiera atacado durante un largo fin de semana de vacaciones, entonces los tres días de copias de seguridad probablemente se hubiesen destruido. «De repente una persona llega y ve que todas sus iteraciones se han sobrescrito porque solo tenía tres, cuatro o cinco días”.

Palatt sugiere que las empresas cuenten con diferentes tipos de respaldo, como copias de seguridad completas en un horario fijo combinado con copias de seguridad incrementales de manera más frecuente.

  1. Proteja el catálogo de copia de seguridad

Además de mantener los archivos de respaldo a salvo de los atacantes, las empresas también deben asegurarse de que sus catálogos de datos estén seguros. «La mayoría de los ataques de ransomware sofisticados tienen como objetivo el catálogo de copias de seguridad y no los medios de respaldo, las cintas o discos de copias de seguridad, como la mayoría de la gente piensa”, explica Amr Ahmed, líder en infraestructura y resiliencia de servicios de EY America.

Este catálogo contiene todos los metadatos de las copias de seguridad, el índice, los códigos de barras de las cintas, las rutas completas al contenido de los datos en los discos, etc. «Su media de respaldo no podrá utilizarse sin el catálogo”, señala Ahmed. Restaurar sin un catálogo sería extremadamente difícil o poco práctico. Las empresas deben asegurarse de contar con una solución de respaldo que incluya protecciones para el catálogo de copia de seguridad, como un espacio de aire.

  1. Realice una copia de seguridad de todo lo que necesite ser respaldado

Cuando el municipio de la isla Kodiak de Alaska fue atacado por ransomware en el 2016, este tenía alrededor de tres docenas de servidores y 45 computadoras para empleados. Paul VanDyke, el supervisor de TI que dirigió el esfuerzo de recuperación, comenta que todos los servidores estaban respaldados, excepto uno. «Me faltó un servidor que había evaluado los valores de las propiedades”, comenta.

La petición de rescate era pequeña para los estándares actuales; pedían solo medio Bitcoin, que en ese entonces valía 259 dólares. Pagó el rescate, pero solo usó la clave de descifrado en el único servidor que no había sido respaldado, ya que no confiaba en la integridad de los sistemas restaurados con la ayuda de los atacantes. «Asumí que todo estaba corrupto”, sostiene. Actualmente, todo está cubierto por tecnología de respaldo.

Las organizaciones más grandes también tienen problemas para garantizar que todo lo que necesita tener una copia de seguridad esté realmente respaldado. Según la encuesta de Veritas, los profesionales de TI estiman que, en promedio, no podrían recuperar el 20% de sus datos en caso de pérdida total. No ayuda que muchas empresas, si no son todas, tengan problemas con la shadow IT.

«La gente está tratando de hacer su trabajo de la manera más conveniente y eficiente posible”, indica Randy Watkins, director de tecnología de Critical Start. «A menudo, eso significa pasar desapercibido y hacer las cosas uno mismo”.

Las empresas no pueden hacer mucho para evitar las pérdidas cuando los datos críticos se encuentran en un servidor en un armario escondido en algún lugar, especialmente si los datos se utilizan para procesos internos. «Cuando se trata de producción, por lo general aparece en el radar de la empresa en alguna parte”, comenta Watkins. «Hay una nueva aplicación o un nuevo servicio que genera ingresos”.

No todos los sistemas pueden ser encontrados fácilmente por el departamento de TI para ser respaldados. El ransomware ataca y, de repente, las cosas ya no funcionan. Watkins recomienda que las empresas realicen un estudio exhaustivo de todos sus sistemas y activos. Por lo general, esto implica a los líderes de cada función; ellos les piden a sus equipos listas de todos los sistemas y datos críticos que deben ser protegidos.

A menudo, las empresas descubren que hay cosas almacenadas donde no deberían, como los datos de pago en las laptops de los empleados. Como resultado, el proyecto de respaldo suele ejecutarse al mismo tiempo que un proyecto de prevención de pérdida de datos, indica Watkins.

  1. Realice una copia de seguridad de todos los procesos empresariales

El ransomware no solo afecta a los archivos de datos. Los atacantes saben que cuantas más funciones empresariales puedan desconectar, más probable será que una empresa pague un rescate. Los desastres naturales, las fallas de hardware y las interrupciones de la red tampoco discriminan.

Después de haber sido atacados por ransomware, VanDyke de Kodiak Island tuvo que reconstruir todos los servidores y computadoras, labor que a veces incluyó descargar y reinstalar software y rehacer todas las configuraciones. Como resultado, tomó una semana restaurar los servidores y otra semana restaurar las PCs. Además, debido a que solo disponía de tres servidores de repuesto para realizar la recuperación, cuenta que hubo que intercambiar mucho de un lado a otro. Con más servidores, el proceso podría haber sido más rápido.

Un proceso empresarial funciona como una orquesta, explica Dave Burg, líder de ciberseguridad en EY Americas. «La orquestra tiene diferentes partes que hacen diferentes sonidos, y si no están sincronizados entre sí, lo que se termina escuchando es ruido”.

Hacer una copia de seguridad solo de los datos sin hacer una de todo el software, los componentes, dependencias, configuraciones, ajustes de red, herramientas de monitoreo y seguridad, y todo lo que se requiere para que un proceso empresarial funcione, puede hacer que la recuperación sea extremadamente difícil. Las empresas subestiman con demasiada frecuencia este desafío.

«Hay una falta de comprensión de la infraestructura tecnológica y las interconexiones”, señala Burg. «Una comprensión insuficiente de cómo funciona realmente la tecnología para habilitar el negocio”.

Los mayores desafíos para la recuperación de la infraestructura después de un ataque de ransomware generalmente involucran la reconstrucción de Active Directory y la reconstrucción de la capacidad de la base de datos de gestión de la configuración, indica Burg. Antes, si una empresa quería una copia de seguridad completa de sus sistemas, no solo de los datos, debía construir un duplicado funcional de toda su infraestructura, un sitio de recuperación de desastres. Por supuesto, esto duplicaba los costos de infraestructura, haciéndolo inviable para muchas empresas.

Hoy en día, la infraestructura en la nube puede utilizarse para crear centros de datos de respaldo virtuales, que solo cuestan dinero mientras se usan. Y si una empresa ya está en la nube, configurar una copia de seguridad en una zona de disponibilidad diferente, o en una nube distinta, es un proceso aún más sencillo. «Estas arquitecturas hot-swap basadas en la nube están disponibles, son rentables, seguras y muy prometedoras”, asegura Burg.

  1. Utilice la automatización y los sitios de recuperación ante desastre para acelerar la recuperación

Según Veritas, solo el 33% de los directores de TI creen que pueden recuperarse de un ataque de ransomware en cinco días. «Conozco empresas que están gastando mucho dinero en cintas y enviándolas a Iron Mountain”, señala Watkins. «No tienen el tiempo para esperar una hora para recuperar las cintas y 17 días para restaurarlas”.

Un hot site, uno que esté disponible con solo pulsar una tecla, resolvería el problema del tiempo de recuperación. Con la infraestructura actual basada en la nube, no hay razón para no tener uno.

«Es una obviedad”, señala Watkins. «Puede contar con un script que copie su infraestructura y la coloque en otra zona de disponibilidad o en otro proveedor. Simplemente tenga la automatización preparada para pulsar el botón de comenzar. No hay tiempo de restauración, solo 10 o 15 minutos que es lo que demora el encendido. Tal vez un día completo si decide hacer pruebas”.

¿Por qué no lo hacen más empresas? Primero, la configuración inicial tiene un costo significativo, indica Watkins. «Luego se necesita conocimiento y experiencia interna, en automatización y en la nube en general”, añade. «También hay cosas como los controles de seguridad que deben ser configurados con anticipación”.

Además, hay sistemas heredados que no se transfieren a la nube. Watkins señala los controladores de petróleo y gas como un ejemplo de algo que no se puede replicar en la nube.

En su mayor parte, el costo inicial de configurar la infraestructura de respaldo debería ser un punto discutible, sostiene Watkins. «El costo de configurar la infraestructura es mucho menor que pagar el ransomware y lidiar con el daño a su reputación”.

Para las empresas que luchan con esto, un enfoque podría ser centrarse primero en los procesos empresariales más críticos, sugiere Tanner Johnson, analista principal de seguridad de datos en Omdia. «No conviene comprar un candado de un millón de dólares para proteger un activo de mil dólares”, explica. «Defina cuáles son sus joyas. Establezca una jerarquía y prioridad para su equipo de seguridad”.

Existe una barrera cultural para invertir de forma proactiva en ciberseguridad, admite Johnson. «Somos una sociedad reaccionaria, pero la ciberseguridad finalmente se está empezando a ver como lo que realmente es: una inversión. Una onza de prevención vale más que una libra de cura”.

  1. Pruebe, pruebe y vuelva a probar

Según Veritas, el 39% de las empresas probaron por última vez su plan de recuperación ante desastres hace más de tres meses -o nunca lo han probado. «Mucha gente enfoca las copias de seguridad desde el punto de vista del respaldo, no desde el punto de vista de la recuperación”, señala Mike Golden, gerente senior de entrega de servicios de infraestructura en la nube en Capgemini. «Puede realizar copias de seguridad todo el día, pero si no prueba su restauración ni su recuperación ante desastres, simplemente le está abriendo la puerta a los problemas”.

Aquí es donde muchas empresas se equivocan, señala Golden. «Lo respaldan y se olvidan de ello en vez de probarlo”. No saben cuánto tardarán en descargarse las copias de seguridad, por ejemplo, porque no las han probado. Uno no conoce todas las pequeñas cosas que pueden salir mal hasta que suceden”, advierte.

No es solo la tecnología lo que debe probarse, sino también el elemento humano. «La gente no sabe lo que no sabe”, comenta Golden. «O no se lleva a cabo una auditoría regular de los procesos para asegurarse de que las personas se adhieran a las políticas”.

Cuando se trata de que las personas sigan los procesos de respaldo requeridos y sepan lo que deben hacer ante una situación de recuperación de desastres, Golden asegura que el mantra debe ser «confíe, pero verifique”.

Maria Korolov CSOonline.com

Artículo anteriorGoogle Cloud y Citrix establecen una alianza para DaaS
Artículo siguienteOnce tecnologías para apoyar la oficina híbrida