Ransomware: siguiente víctima, los sistemas de backup
- Opinión
En los últimos años, el ransomware se ha convertido en un negocio muy lucrativo, con la participación, incluso, de algunos actores a nivel estado que han militarizado esta técnica, o que la utilizan como nueva fuente de ingresos. Cualquier artículo que se lea sobre cómo prepararse para el ransomware dejará claro que hay dos cosas en las que centrar los esfuerzos: prevenir (invertir en concienciación de los empleados, contratar servicios avanzados de seguridad, mejorar la formación...) y saber reaccionar (una vez que el ransomware ha roto el perímetro y se propaga a través de la organización, la velocidad de reacción del equipo de TI puede reducir el impacto para el negocio).
Pero los cibercriminales leen esos mismos artículos, y también están en constante evolución. Una de sus armas es atacar el backup, cifrarlo para que no pueda ser usado como remedio contra ellos, mediante técnicas que corrompen estos archivos (por ejemplo, WannaCrypt0r) o bien atacan sistemas como Time Machine en los Mac o el Servicio de Shadow Copies de Windows.
Cómo prepararse para el día del ataque
Los snapshots pueden jugar un papel clave en la identificación de ataques de ransomware activos, ya que ofrecen una recuperación óptima sin tener que mover decenas de terabytes de datos desde el sistema de backup. Pero, si asumimos que los atacantes también buscan nuevas formas de corromper las copias de seguridad, será lógico también suponer que estén considerando la posibilidad de borrar los snapshots. Así, que es necesario planificar de manera proactiva la estrategia para ese día. Nadie quiere ser el primero en descubrir que sus snapshots fueron eliminados por la última versión del ransomware de moda.
En este punto, muchos se preguntarán por qué no recurrir a las copias no conectadas. ¿Por qué arriesgarse con las copias en línea ante tal escenario? La clave está en el tiempo de recuperación. Por ejemplo, si la empresa necesita recuperar muchos datos desde sistemas de cinta, el proceso quizá tarde demasiado, lo que afectará a los clientes y afectará a los ingresos.
También es una cuestión de capacidad de recuperación, ya que los backups de cinta no siempre son recuperables. En este sentido, algunos clientes declaran que solo el 94% de sus copias de seguridad son recuperables el día de la copia de seguridad y con paso del tiempo se observa una clara disminución en la capacidad de recuperación.
Snapshots como aliado contra el ransomware
Entonces, ¿se pueden proteger los sistemas de backup online contra el ransomware? La respuesta es sí, estableciendo los mecanismos de seguridad adecuados para permitir la conversión de un snapshot instantáneo en un snapshot WORM (Write Once Read Many), que no se podrá modificar ni eliminar hasta llegar a un punto predefinido en el tiempo y su bloqueo caduca. Al mismo tiempo, el snapshot sigue siendo totalmente funcional, manteniendo todas sus capacidades originales: integridad, gestión de copias, acceso por parte de los usuarios…
Un ejemplo de esta tecnología es la utilidad SnapSecure de INFINIDAT, que permite a los gestores establecer un tiempo de retención para el snapshot (eliminación/modificación de los datos), pero conservando todas las capacidades. Y, dado que todos los accesos a las cabinas se realizan a través de una API que no se puede modificar, incluso si el ransomware haya comprometido las credenciales del administrador, no podrá corromper ni eliminar ninguna de sus copias. Esto significa que se pueden recuperar los datos en cuestión de segundos y reanudar el negocio rápidamente.
En definitiva, un uso inteligente de los recursos disponibles, de formas que quizá antes ni se consideraron, puede evitar ataques de la magnitud y gravedad del ransomware, Atendiendo a las dos máximas que comentábamos al principio: detección y reacción.
Por Israel Serrano, Country Manager, INFINIDAT Iberia
