MAPS Número 1 en Ciberseguridad

  • Home
  • Ransomware: ¿Por qué fallan las copias de seguridad cuando más las necesita?

Ransomware: ¿Por qué fallan las copias de seguridad cuando más las necesita?

noviembre 1, 2021 admin 0 Comments

Es ampliamente conocido, y se repite sin cesar, que la última y mejor línea de defensa contra los efectos potencialmente devastadores de un ataque de ransomware son sus copias de seguridad.

Entonces, ¿por qué seguimos escuchando cosas como esta?

También nos sentimos relativamente seguros, tenemos un muy buen sistema de copia de seguridad … y luego nos enteramos aproximadamente cuatro o cinco horas después del ataque [ransomware] que nuestro sistema de copia de seguridad se ha ido por completo.

Ski Kacoroski, administrador del sistema, distrito escolar de Northshore

La cita anterior proviene de un podcast reciente de Malwarebytes, compitiendo contra un ataque de ransomware de la vida real, en el que el anfitrión David Ruiz entrevistó al administrador de sistemas Ski Kacoroski sobre un ataque de ransomware en el distrito escolar de Northshore en el estado de Washington.

El alarmante descubrimiento de Kacoroski, que las copias de seguridad en las que confiaba para restaurar los sistemas dañados del distrito escolar eran inutilizables, no es inusual después de un ataque de ransomware. La respuesta simplista y deprimentemente común de algunos en la comunidad de TI es asumir que los involucrados eran idiotas y culparlos por su desgracia, observando en retrospectiva que deberían haber sabido que necesitaban gastar más en esto, ejecutar aquello, parchear esto, compruebe eso, etc.

Una perspectiva más realista y útil asume que los administradores de sistemas y la gente de seguridad como Kacoroski son personas competentes e inteligentes que están haciendo todo lo posible para cumplir con múltiples requisitos en entornos complejos con recursos limitados. A partir de ahí, la conclusión obvia de experiencias como la de Kacoroski es que las copias de seguridad son difíciles de realizar correctamente.

¿Por qué fallan las copias de seguridad?

Después de la entrevista con Kacoroski, nos propusimos descubrir por qué es tan difícil conseguir copias de seguridad correctas. Para ayudarnos, nos acercamos al experto en copias de seguridad Matt Crape, gerente técnico de cuentas de VMWare, y le planteamos exactamente esa pregunta en un episodio de podcast de seguimiento: Por qué las copias de seguridad no son una “solución milagrosa” contra el ransomware.

Esto es lo que aprendimos de Crape:

Las copias de seguridad son difíciles

Crape observó que las personas a menudo imaginan que las copias de seguridad son fáciles, porque su única experiencia de realizar copias de seguridad es hacerlo en casa, donde es fácil: simplemente conecte un disco duro USB a su computadora portátil todas las noches y presione un botón.

Pero agregue unos cientos de computadoras y estará viviendo en un mundo diferente.

El primer paso, dice Crape, es averiguar lo que está tratando de lograr. Para hacer eso, debe resolver una serie de preguntas importantes pero difíciles, que incluyen:

¿Está respaldando solo sus datos o sus datos y sus aplicaciones? ¿Está archivando información médica o información de identificación personal que viene con requisitos reglamentarios que dictan dónde, cómo y durante cuánto tiempo puede almacenarla? ¿Cuántas copias de los datos y las aplicaciones hará y dónde las guardará? ¿Cuánto tiempo almacenará cada tipo de datos? ¿Necesitas control de versiones? ¿Con qué frecuencia vas a hacer una copia de seguridad de todo? ¿Va a ejecutar el mismo programa para todos sus datos, sin importar cuán importante sea o con qué frecuencia cambie, o ejecutará diferentes programas para diferentes cosas? ¿Y cómo afectarán al rendimiento la programación y la cantidad de datos que viajan por la red en diferentes momentos?

Una copia de seguridad archivada en cinta o en la nube también es solo la mitad de la historia. Solo se puede considerar un éxito si puede restaurar un sistema que funcione desde él, y hay algunas cosas que pueden descarrilar eso.

Por lo general, las bases de datos SQL deben detenerse antes de poder realizar una copia de seguridad que se restaure de manera útil, por ejemplo. Muchas aplicaciones también dependen de la existencia de otros servicios (como DNS, correo electrónico o autenticación) y deberá comprender y registrar esas relaciones, y tener un plan para restaurar los sistemas en el orden correcto si desea que todo suceda. de vuelta a la vida.

También necesita un proceso para revisar esas decisiones con regularidad. Las empresas evolucionan y cambian, y sus copias de seguridad deben mantenerse al día.

Y finalmente, habiendo hecho todo eso, tendrá que hacer algo mucho más difícil: convencer a alguien de que vale la pena pagar por todo.

Las copias de seguridad son caras

Según Crape “Esa conversación sobre el dinero siempre fue la parte más difícil”. El problema con las copias de seguridad, dice, es que el 99% de las veces no las necesita, por lo que pueden parecer dinero por el desagüe.

El ransomware cambia el cálculo considerablemente. Aparte de sus usos diarios, las organizaciones históricamente han visto las copias de seguridad como una forma de hacer frente a los desastres naturales y otros eventos graves, pero poco frecuentes. Es fácil entender por qué pueden posponer el tratamiento de ese problema hasta mañana en favor de preocupaciones más inmediatas.

Pero un ataque de ransomware no es un rayo o una inundación que se produce una vez cada cien años. Según IDC, “más de un tercio de las organizaciones en todo el mundo han experimentado un ataque de ransomware o una brecha que bloqueó el acceso a sistemas o datos en los últimos 12 meses”. Otras organizaciones pueden proporcionarle cifras ligeramente diferentes, pero no hay duda de que los ataques de ransomware son terriblemente comunes.

Crape sugiere que la mejor manera de argumentar a favor de las copias de seguridad con el personal y los fondos adecuados es conversar sobre el costo de perder sistemas clave: “¿Cuánto tiempo de inactividad podemos permitirnos para este servidor específico? ¿Cuál es el costo de eso frente al costo de almacenar copias de seguridad durante tres años? ”

Las copias de seguridad son objetivos

“Si el Imperio hubiera tenido una mejor seguridad física para sus archivos de respaldo, la franquicia de Star Wars sería marcadamente diferente”.

Matt Crape, gerente técnico de cuentas

Las copias de seguridad contienen toda la información que hace que una empresa funcione, lo que las convierte en objetivos tanto de robo como de sabotaje. Para una fábula moderna sobre la amenaza de las amenazas internas y la importancia de la seguridad física para las copias de seguridad, solo mire Rogue One: Una historia de Star Wars, dice Crape. “La Estrella de la Muerte estalló debido a una copia de seguridad”.

Las bandas de ransomware entienden que sus copias de seguridad podrían privarlas de un día de pago multimillonario y las buscarán y eliminarán si pueden. Tampoco es inusual que los piratas informáticos pasen días, semanas o incluso meses dentro de las redes de las organizaciones que han violado. Usan ese tiempo para realizar reconocimientos y elevar sus privilegios, de modo que puedan llegar a todas las partes de la red, incluidas sus copias de seguridad (incluso las copias de seguridad en la nube). Si pueden encontrarlos, los destruirán antes de ejecutar su ransomware.

Cuando finalmente se ejecute, muchos tipos de ransomware también buscarán y deshabilitarán o eliminarán instantáneas (una forma de copias de seguridad locales) en las máquinas que infectan, lo que eliminará la posibilidad de restaurar esas máquinas con una reversión rápida.

Si su plan de recuperación de ransomware se basa en copias de seguridad, necesitará copias de sus datos que estén fuera de línea y fuera de línea, donde estén permanentemente fuera del alcance de un atacante que pueda residir en su red durante meses.

Todos asumen que están trabajando

Según Crape, otra razón por la que las copias de seguridad nos decepcionan cuando más las necesitamos es que la gente simplemente asume que se están ejecutando correctamente. “No es raro escuchar sobre personas que simplemente no revisan el estado, nunca”, le dijo a Ruiz. “Lo revisan los primeros días y luego envejece, por lo que dejan de prestarle atención, o apagan las notificaciones porque funciona bien. Vas a hacer una restauración y descubres, oh, esto no ha funcionado en seis meses “.

No es suficiente controlar que la aplicación se ejecute sin fallar, dice Crape. Un trabajo de respaldo puede ejecutarse sin fallar, pero eso no significa que haya hecho nada; y solo porque el trabajo se ejecutó correctamente, eso no significa que la cinta no esté en blanco; y tener algo en cinta no significa que tenga algo que pueda restaurar de manera útil.

Si desea saber si sus copias de seguridad funcionan, debe probarlas. Y eso significa realizar una restauración completa en otro entorno.

Contáctanos en maps.com.mx

leave a comment