+38 (044) 277-23-23БЦ «Панорама на Печерську», 2 поверх, офіс 4-5 Є.Коновальця, 44-Б, Київ, Україна

Võru tn 165, Ropka Tartu, Estonia

Bulevardul Corneliu Coposu 6-8 București, Romania

Ми використовуємо файли cookie для нашого веб-сайту.Продовжуючи перегляд сайту, ви погоджуєтеся з використанням нами файлів cookie.

Читати повністю
Приймаю
Головна Блог Новини Захист від Ransomware за допомогою NAKIVO Backup & Replication

Захист від Ransomware за допомогою NAKIVO Backup & Replication

Отримати консультацію

Нещодавно ми писали про продукт, який є одним із лідерів у сфері рішень для резервного копіювання та захисту даних віртуальної інфраструктури. Ми розповіли про основні його можливості та сфери застосування, а сьогодні ми докладно зупинимося на його використанні при захисті від програм-вимагачів (Ransomware).

Бета-версія NAKIVO Backup & Replication 10.5: нові можливості

Спочатку відзначимо, що зовсім недавно була випущена бета-версія NAKIVO Backup & Replication 10.5, в якій з’явилися дві головні нові можливості, одна з яких безпосередньо належить до захисту від Ransomware:

  1. VMware Monitoring – це цілий комплекс засобів для отримання повної інформації про продуктивність та стан інфраструктури VMware vSphere. З одного дешборду можна проводити моніторинг ресурсів CPU, RAM, використання диска та датасторів хостами VMware vSphere та віртуальними машинами. Цей дешборд надає як історичні дані, так і інформацію в реальному часі, що дозволяє аналізувати тренди продуктивності, досліджувати проблеми різного характеру, а також передбачати майбутні умови роботи віртуальних машин та їх потреби у сховищах. Ви просто обираєте об’єкти віртуальної інфраструктури для моніторингу:

І отримуєте готові дешборди:

2.Hardened Virtual Appliance – це простий спосіб розгорнути NAKIVO Backup & Replication та захистити дані від Ransomware (сам механізм захисту з’явився ще в минулій версії). Рішення можна розгорнути як віртуальний модуль на базі Ubuntu Server і захистити ваші дані від видалення та шифрування з боку шкідливих програм. Бекапи, які надсилаються на репозиторій, створюваний як частина Virtual Appliance, можна помітити як immutable на певний проміжок часу. Після цього навіть суперкористувач не зможе змінити або видалити бекап, а також скасувати immutable властивість.

Надійні способи захисту від Ransomware від NAKIVO Backup & Replication

Перейдімо безпосередньо до способів захисту від Ransomware за допомогою NAKIVO Backup & Replication. Ця проблема останнім часом стала дуже болючою (про це ми згадували тут). Одним із найстрашніших сценаріїв для адміністраторів є поразка інфраструктури програмою-вимагачем, яка блокує комп’ютери, а дані їх дисків зашифровує.

Традиційна інфраструктура бекапу в цьому випадку може виявитися малоефективною — адже складно визначити момент, коли відбулося інфікування комп’ютерів/віртуальних машин, а також важко швидко підняти десятки або сотні систем, ну і, звичайно, дуже важко запустити там всі процедури перевірки.

Ось які моменти важливі при боротьбі з масовою атакою за допомогою Ransomware:

  • Можливість мати достатньо копій назад у часі, щоб обрати точку чистої від шкідливого ПЗ системи.
  • Можливість миттєво включити ВМ для перевірки, не запускаючи тривалого відновлення. Тому що таких віртуальних машин може бути дуже багато.
  • Забезпечення безпеки та незмінності самих бекапів — треба зробити так, щоб заражені машини не зашифрували самі резервні копії, адже тоді нічого буде і відновлювати.
  • Потрібно регулярно переконуватись, що бекапи не пошкоджені (наприклад, внаслідок якогось бага).
  • Ну і всі процедури відновлення не повинні коштувати космічних грошей.

Всі ці можливості надає продукт NAKIVO Backup & Replication. Для початку з основними принципами захисту резервних копій від цього типу атак можна ознайомитись, подивившись ось це відео:

Які бувають програми-вимагачі?

Ransomware — це програмне забезпечення, яке робить з вашими даними одну з таких речей (або кілька з них у різних комбінаціях):

  • Заточка пристроїв або даних таким чином, що ви не можете отримати доступ до них.
  • Зашифровування даних – у цьому випадку не можна ними скористатися.
  • Видалення даних — зловмисник може просто загрожувати видалити дані, або видаляти, наприклад, по 100 файлів щодня, поки жертва не заплатить викуп.
  • Загроза публікації даних у відкритому доступі.

Найсумніше — це те, що Ransomware вже доступна широкому загалу “як послуга” (Ransomware-as-a-Service, RaaS). Це означає, що навіть люди з невисокою кваліфікацією можуть купити готові тулкіти Ransomware у дарквебі та спробувати здійснити атаку на якусь компанію, і в цьому випадку ця організація не обов’язково буде великою.

До речі, платити викуп за розшифрування файлів зловмисникам — не вихід. За статистикою, близько чверті всіх компаній, що заплатили викуп, не розшифрували свої файли. Тут та сама ситуація, що і зі звичайними здирниками.

Ефективні рішення NAKIVO Backup & Replication 

Давайте подивимося на те, як рішення NAKIVO Backup & Replication допомагає вам боротися з атакою типу Ransomware відповідно до пунктів, які ми перерахували вище:

Можливість мати достатню кількість копій у часі

NAKIVO Backup & Replication дає адміністраторам широкий спектр інструментів створення як резервних копій з гнучкою політикою їх зберігання (Retention policy), так і засоби реплікації на інший майданчик з метою миттєвого перемикання робочих навантажень на резервний сайт. У разі атаки Ransomware важливо мати досить глибоку в часі точку відновлення для того моменту, коли інфраструктура ще не була пошкоджена шкідливим ПЗ.

Рішення NAKIVO Backup & Replication підтримує всі 5 типів середовищ, у яких відбувається резервне копіювання та реплікація даних:

  • Віртуальні (VMware vSphere, Hyper-V, Nutanix AHV, VMware Cloud Director).
  • SaaS (Microsoft 365).
  • Фізичні (Windows Server, Windows 10 Pro, Ubuntu Server/Desktop, Red Hat Enterprise Linux, SUSE Linux Enterprise, CentOS).
  • Хмарні (Amazon EC2).
  • Програми (Oracle Database)

У плані політики збереження резервних копій NAKIVO Backup & Replication дає адміністраторам максимальну гнучкість, щоб забезпечити показники до контрольної точки відновлення (Recovery Point Objectives, RPO), які потрібні у вашій ІТ-інфраструктурі:

Налаштуйте параметри збереження резервних копій за днями, тижнями, місяцями та роками, використовуючи схему grandfather-father-son (GFS).

Можливість миттєво включити ВМ для перевірки та міграції у виробниче середовище

У разі атаки Ransomware важливо реалізувати масове швидке відновлення систем, які треба ще й встигнути перевірити перед введенням у виробниче середовище. У продукті NAKIVO Backup & Replication є безліч функцій миттєвого відновлення як самих віртуальних і фізичних машин, так і окремих об’єктів додатків.

Миттєве відновлення віртуальних машин проводиться шляхом запуску ВМ безпосередньо з резервної копії (вона може бути стиснутою та дедуплікованою), потім машина переїжджає в реальну інфраструктуру, якщо з нею все добре. Називається це Flash VM Boot.

NAKIVO може миттєво відновлювати такі об’єкти:

  • Віртуальні машини VMware та Hyper-V безпосередньо з дедуплікованих резервних копій.
  • Фізичні системи у віртуальному середовищі (Physical-to-Virtual, P2V) із резервних копій.
  •  Файли у вихідне розташування.
  • Об’єкти Microsoft Exchange із можливістю попереднього перегляду об’єктів (наприклад, окремі листи окремих користувачів).
  • Об’єкти Microsoft Active Directory – можна переглядати, шукати та відновлювати окремих користувачів, групи користувачів та інші об’єкти AD назад у вихідне розташування.
  • Об’єкти Microsoft SQL — можна переглядати, шукати та відновлювати окремі таблиці та бази даних назад у вихідне розташування.
  • Об’єкти програм — можна відновлювати об’єкти будь-якої програми, монтуючи диски із резервної копії безпосередньо на свої виробничі машини.
  • Файли та об’єкти Nutanix AHV — у середовищі Nutanix AHV тепер також можна миттєво відновлювати файли та об’єкти програм у Microsoft SQL Server, Microsoft Exchange та Active Directory з резервних копій.

Другий вид відновлення – це відновлення систем після аварії, коли ви маєте репліки виробничих даних та хочете швидко відновити їх у виробниче середовище на запасний майданчику. Тут NAKIVO Backup & Replication надає такі можливості:

  • Реплікація віртуальних машин VMware та Hyper-V майже в реальному часі та управління процесом післяаварійного відновлення за допомогою Site Recovery.
  • Реплікація віртуальних машин безпосередньо із резервних копій з метою зниження навантаження на вузол, звільнення цінних ресурсів та економії часу та сил адміністраторів.
  • Реплікація інстансів Amazon EC2 за аналогією до реплікації віртуальних машин.
  • Можливості Site Recovery – адміністратор може створити робочі процеси післяаварійного відновлення, після чого виконати заплановане тестування відновлення без переривання роботи. Також можна виконати планове чи аварійне перемикання на резервний ресурс або назад на основний і навіть провести міграцію всього датацентру однією кнопкою:
Збереження та незмінність бекапів

Рішення NAKIVO Backup & Replication дає можливість “застрахувати” дані своєї віртуальної інфраструктури шляхом виставлення властивості immutability для ваших резервних копій. Ця можливість з’явилася у версії NAKIVO Backup & Replication 10.4 і набула свого розвитку у версії 10.5, як ми розповіли на початку статті.

Адміністратор може створити незмінний репозиторій – так можна активувати режим незмінності (immutability) для резервних копій, що відправляються в локальний репозиторій на базі Linux. Незважаючи на те, що незмінні резервні копії захищені від зміни, видалення або шифрування програмами-вимагачами, ви зможете використовувати їх для відновлення. Після налаштування незмінність не може бути змінена або скасована будь-ким, крім суперкористувачів, які стежать за регламентом РК.

Сам користувач nkvuser не може прибрати цей прапор:

Immutability можна включити як до локальних репозиторіїв, так і до сховищ Amazon S3, які підтримують можливість Object Lock.

При використанні Amazon S3 як Backup Repository, immutable точки відновлення не можуть бути перезаписані або змінені навіть користувачем, поки не минув заданий адміністратором період. Для локальної папки як Backup Repository, користувач root може скасувати immutability, тому все одно потрібно уважно стежити за доступом до управління цією властивістю.

 Для Amazon S3 bucket, де знаходиться ваш репозиторій:

  • Функція Object Lock повинна бути увімкнена.
  • Для локальної папки, яку ви використовуєте як репозиторій.
  • Цільова операційна система повинна підтримувати розширені атрибути, що змінюються командами chattr та setfattr.
  • Підтримуються Linux OS та NAS OS (за винятком FreeNAS/TrueNAS).
  • Тип Backup Repository має бути Local Folder.
  • Опція Store backups in separate files повинна бути увімкнена
Потрібно регулярно переконуватись, що бекапи не пошкоджені

Для того, щоб знати, напевно, що ви зможете відновити системи з резервних копій у разі атаки Ransomware, треба постійно переконуватися, що після відновлення вони повністю працездатні. На цей випадок компанія повинна мати відповідний регламент, а адміністратори резервного копіювання повинні регулярно проводити процедуру відновлення резервних копій віртуальних машин, додатків та їх даних.

Для цього і призначені функції миттєвого відновлення (Instant VM Recovery), які дозволяють відновити будь-яку систему у тестовому ізольованому з точки зору мережі оточенні та здійснити там усі необхідні перевірки.

Завдяки узгодженому резервному копіюванню, відновлення відбувається швидко, і дані відразу можна використовувати без будь-якої настройки. Можна виконати відновлення на вихідну або іншу віртуальну машину або експортувати дані до іншого розташування, не відновлюючи всю віртуальну машину.

Ці процедури потрібно проходити регулярно та коригувати схему резервного копіювання, якщо при тестуванні відновлення систем виникли помилки.

Зазначимо, що у процесі відновлення забезпечується цілісність додатків та баз даних, таких як Microsoft Exchange, Active Directory, SQL, Oracle, SharePoint тощо.

Також у продукті NAKIVO Backup & Replication є можливість перевірки реплік віртуальних машин VMware та Hyper-V з функціями генерації звітів про відновлені під час тестування машини.

Невисока вартість процедур відновлення систем

Очевидно, що вартість відновлення віртуальної інфраструктури для вас має бути меншою за викуп, який просять зловмисники. Для цього NAKIVO Backup & Replication пропонує кілька послідовних рішень, кожне з яких вимагатиме додаткового бюджету на обладнання, але й, відповідно, захистить вашу інфраструктуру на більш серйозному рівні:

  • Резервне копіювання ВМ на бекап-сховищі. Краще його проводити за схемою 3-2-1: зберігайте щонайменше 3 копії даних, дві з них на різних пристроях, а одну з них – у віддаленому (у тому числі фізично) репозиторії (наприклад, у хмарі).
  • Реплікація віртуальних машин – це дозволить миттєво відновити найкритичніші виробничі системи у разі збою основної інфраструктури.
  • Резервне копіювання та реплікація в одну з публічних хмар для захисту на рівні майданчика (не тільки від Ransomware). Якщо ви використовуєте хмару Amazon S3 для зберігання резервних копій, то, звичайно ж, є сенс використовувати функції незмінності резервних копій (immutability).
  • Організація повноцінного DR-майданчика, який візьме на себе продуктивне навантаження у разі відмови основного сайту внаслідок атаки Ransomware або з іншої причини.

Рішення NAKIVO Backup & Replication постачається у різних виданнях, щоб ви могли обрати оптимальне для себе рішення з погляду функціоналу та витрат. Вартість доступних видань продукту представлена на малюнку нижче (а саме порівняння видань знаходиться тут):

Насамкінець дамо ще кілька простих рекомендацій, які підвищать стійкість вашої інфраструктури до проникнення програм-вимагачів:

  • Використовуйте доступ на базі привілеїв (Role-based access control, RBAC) до всіх без винятку керуючих компонентів інфраструктури.
  • Використовуйте принцип найменших привілеїв (PoLP).
  • Майте Incident Response Plan на випадок атаки Ransomware – як ви будете взаємодіяти, за яким планом йти, і як це впливатиме на діяльність організації. Виробіть конкретні кроки, що ви робитимете у разі атаки.

І тоді ніяка загроза не викликатиме паніки!

Бажаєте використовувати інноваційні та ефективні технології, зателефонуйте за номером +38 (044) 277-23-23 або заповніть форму зворотнього зв’язку.