FacebookTwitterLinkedIn

Estratégias de backup que sua empresa deve dominar

https://network-king.net/wp-content/uploads/2021/03/backup1-769x414.jpg

Você já deve estar cansado de ouvir, mas os profissionais de segurança não se cansam de alertar: ter backups consistentes é a melhor resposta para ataques de ransomware. É de extrema importância garantir que eles estejam prontos para uma eventual necessidade.

Os riscos de ataque de ransomware cresceram com a pandemia do coronavírus, até porque os usuários são menos vigilantes ao trabalhar em casa. De acordo com a Cybersecurity Ventures, uma empresa será vítima de ataque de ransomware a cada 11 segundos em 2021, comparado com 14 segundos em 2019.

Outro levantamento de 2019 feito pela Forrester já havia descoberto que 43% das organizações ouvidas chegaram a levar entre 3 e 4 dias para recuperar os dados e restaurar as aplicações após o ataque. Além disso, apenas 25% responderam que é possível recuperar entre 75% e 100% dos dados roubados.

Esse tipo de ataque também impacta o funcionamento de uma empresa. O mesmo estudo da Forrester indicou que 51% dos entrevistados perceberam uma perda da confiança dos clientes após um ataque de ransonware e 43% dos ouvidos apontaram ter perdido receita por causa de uma paralisação nas operações. Além disso, existem companhias que acabam tendo que pagar o atacante pela devolução dos dados, o que nem sempre ocorre mesmo após o pagamento.

Para evitar os prejuízos causados pelo ransomware, é preciso fazer backup de todos os sistemas. Uma boa maneira de assegurar que as cópias de segurança são realizadas da forma correta é utilizar um modelo automático capaz de incluir os novos sistemas, arquivos e base de dados nos ambientes destinados para salvaguardar essas informações. O backup automático de todas as máquinas virtuais (VM) pode se beneficiar de uma inclusão baseada em tags (tag-based), na qual cada tipo de dispositivo é incluído em uma etiqueta específica.

Outro ponto importante é certificar que o sistema de recuperação de desastres (DR system) é capaz de restaurar todo o data center após um ataque. Sem isso, de nada vale fazer backups constantes.

Há algumas soluções típicas que devem ser consideradas. São elas:

  • Air gapping

Muitas vezes, os ataques de Ransomware se espalham por toda a rede, incluindo os ambientes de backup. Por isso, a solução de air gapping pode ser crucial para evitar que todos os dados copiados também sejam afetados. A ideia por trás desse modelo é garantir que, pelo menos, uma cópia dos dados críticos esteja guardada em uma rede segura e isolada fisicamente da rede insegura.

O ideal é manter esse backup em um dispositivo físico e off-line, como hard drives portáteis. O uso de cloud pública também pode funcionar, mas o sistema de nuvem não é tão confiável quanto mecanismos físicos por ser vulnerável por causa das conexões com as redes dos clientes e a infraestrutura compartilhada. Além disso, os atacantes conseguem atuar especificamente contra a segurança dos serviços de nuvem.

Entretanto, a cloud oferece proteção contra a destruição física, como incêndios ou quedas de energia. Portanto, é interessante usar as duas soluções de forma complementar para garantir a eficácia do backup.

A estratégia air gapping também é importante porque os ataques de ransonware mais sofisticados começam nos pontos de backup antes de atingir a rede que é usada pela companhia com o objetivo de forçar a vítima a pagar o valor pedido pelo criminoso. Portanto, é importante criar uma defesa de múltiplas camadas, com as cópias originais invioladas e inacessíveis. A autenticação multifator e a solução de Write Once Read Many (WORM) são aliadas na busca por mais segurança.

  • Regra 3-2-1

A tática não é a maior novidade de todas no mercado, mas ainda possui seu valor para garantir que um backup está seguro. Basicamente, a estratégia consiste em fazer 3 cópias ou versões dos dados, guardá-las em dois tipos de mídia diferentes e manter uma das cópias fora do site.

Para mais efetividade é preciso usar sistemas operacionais e locais diferentes para salvar as cópias, além de programar o recebimento de relatórios automáticos para monitorar se os backups estão sendo feitos da maneira correta. O uso de Machine Learning pode ser benéfico nesse caso por identificar padrões que podem indicar problemas e agilizar o processamento das informações sem depender do trabalho manual.

  • Revisão dos backups

As cópias de segurança só possuem valor quando são robustas, portanto, é preciso analisar se a empresa realmente possui a robustez necessária. Para isso, o time de tecnologia deve fazer auditorias do sistema para confirmar se o backup atinge todos os dados indispensáveis.

De tempos em tempos, ainda é imperativo revisar a frequência dos backups e onde a cópia dos dados está sendo armazenada. Manter duplicações separadas de informações mais críticas também é crucial para acelerar o processo de recuperação dos dados.

A possibilidade de um ataque surgir de dentro da própria empresa também deve ser levada em conta. Então, a equipe de TI precisa se preocupar em auditar os logins e monitorar o uso da rede por parte dos funcionários.

Durante as revisões, é indispensável certificar que os backups estão livres de malware, o não é fácil, mas pode ser feito com a ajuda de sistemas de detecção atualizados para esse tipo de infecção.

  • Segurança do DR system

O backup e o DR System são os primeiros locais em que os patches de segurança devem ser instalados para evitar brechas na segurança, afinal, estes são os dois pontos que devem possuir os sistemas mais protegidos no ambiente computacional.

É aconselhável escolher um sistema de backup que permita a administração por cargos para identificar quem está gerenciando a rede. O uso de login como administrador ou root deve ser restrito.

Mesmo com essas estratégias de segurança em rede, é preciso dificultar o acesso ao sistema de backup físico para garantir a integridade dos dados copiados. Como foi abordado, o uso combinado de cloud com um backup físico aumenta a segurança das informações.

Dada a importância do DR System para a restauração das operações de uma empresa em caso de ataque de ransomware, todo esse sistema deve ser desenhado com base nas necessidades da companhia.

Os times da organização devem fazer reuniões para determinar as necessidades de recovery time objective (RTO) e recovery point objective (RPO), com base nas quais devem ser planejados os backups e o DR System. O primeiro ponto oferece uma referência maior sobre como as políticas de backup devem ser planejadas, enquanto o segundo avalia a quantidade de informações que podem ser perdidas após um ataque.

  • Menos fragmentação, mais criptografia

O crescimento na quantidade existente de dados e a maior fragmentação dessas informações de uma empresa aumenta o tamanho do pacote de elementos que pode ser alvo de um ransomware. Portanto, é preciso ter uma solução unificada para eliminar essa pulverização com uma conexão da infraestrutura, carga de trabalho e o ambiente de backup empresarial.

Além de unificados, os dados salvos devem ser criptografados para que uma ameaça não consiga seguir um trajeto e identificar os servidores do backup. É necessário garantir que o provedor criptografe o tráfego entre os sistemas.

Os dados que já foram copiados também podem ser criptografados, especialmente aqueles que estão fora do controle físico dos responsáveis da empresa. Esse processo inclui tanto cópias materiais quanto aquelas armazenadas em redes de nuvem.

Testes

Os backups não só precisam ser feitos, mas a equipe que atua com a área de tecnologia deve saber dar uma resposta rápida em caso de ataques. Sendo assim, é preciso testar todas as fases do plano de recuperação das cópias salvas em caso de invasão da empresa.

Os DR systems e backups modernos suportam testes frequentes de toda a rede. Mesmo assim, é recomendado usar uma mídia duplicada ao fazer as testagens de possíveis cenários para evitar que um exercício acabe contaminando cópias existentes.

Os testes facilitam a organização da recuperação dos dados copiados quando realmente for preciso recorrer a essa opção. Justamente por isso, todo o pessoal deve ter contato com esses exercícios, mesmo aqueles que não possuem atuação diária com o sistema.

A organização é a chave para não perder dados em um caso de ataque cibernético de ransomware e ainda evitar o pagamento a criminosos para retomar o acesso às informações da empresa.

FacebookTwitterLinkedIn