У п’ятницю, 18 серпня, Cloud Nordic став жертвою атаки програм-вимагачів. Датський постачальник хмарних послуг був змушений повідомити своїх клієнтів про безповоротну втрату їхніх даних. Це був справжній сценарій катастрофи.
На сайті чітко зазначено, наскільки критичною є ситуація: «Зловмисникам вдалося зашифрувати всі жорсткі диски на серверах, а також первинну та вторинну системи резервного копіювання. У результаті всі системи стали непридатними для використання та втрачено доступ до всіх даних. […] На жаль, відновлення було неможливим, більшість наших клієнтів втратили всі свої дані, що зберігаються у нас».
Оголошення
Команда Cloud Nordic далі пояснює : « Атака сталася після того, як ми несвідомо перемістили заражені системи з одного центру обробки даних до іншого. На жаль, цільовий центр обробки даних був підключений до внутрішньої мережі, яка керує всіма нашими серверами. Зловмисники змогли отримати доступ до центральних систем управління та систем резервного копіювання через цю внутрішню мережу».
З технічної точки зору існують концепції рішень і технології, які можуть якнайкраще захистити резервну копію від шифрування або компрометації під час атаки програм-вимагачів. Однак наш досвід також показує, що в багатьох випадках немає захищених і захищених систем резервного копіювання та планів відновлення, які часто не перевірені належним чином.
У нинішній ситуації успіх цієї атаки не дивує. Організації в усьому світі стикаються з атаками, які стають все більш частими, більш витонченими і, отже, більш професійними. Cloud Nordic – далеко не єдина жертва.
Ізольовані середовища відновлення із зміцненням, повітряним зазором і незмінним зберіганням
Використання миттєвих знімків і подібних методів недостатньо захищає дані, які потрібно відновити, оскільки вони залишаються на тій самій основній платформі, навіть якщо знімки також копіюються. Для адекватного резервного копіювання важливо захистити та контролювати дані в ізольованому середовищі. Для цієї мети доступні комбіновані модулі рішення:
На першому кроці слід звернути особливу увагу на параметри зміцнення системи рішення для резервного копіювання та відновлення. Питання, яке повинен поставити кожен ІТ-менеджер, полягає в тому, чи справді інструмент резервного копіювання та відновлення, який зараз використовується, дозволяє відповідній системній архітектурі знищити вектори атак. Наступним кроком буде зважити, який рівень надійності компанія може фактично гарантувати через свій власний персонал і чи використання повністю інтегрованих рішень значно не зменшує ризик для вашої власної організації.
Air-gapping забезпечує метод, за якого виконані резервні копії зберігаються незалежно від робочої мережі. Це слід поєднати з незмінністю даних, щоб забезпечити сховище WORM (Write Once Read Many) для захисту останньої лінії захисту.
В ідеалі компанія створює так зване ізольоване середовище відновлення (IRE), тобто захищене середовище, яке відкриває доступ до пов’язаної з виробництвом системи резервного копіювання лише в певний час для передачі останніх резервних копій, а потім знову ізолюється від решта мережі. У той же час IRE має бути максимально захищеним і мати вбудовану функціональність незмінного резервного сховища, а також забезпечувати можливість прямого та таким чином оптимізованого за часом відновлення резервних копій. У той же час сучасні рішення пропонують можливість оцінки резервних копій за допомогою типових індикаторів ризику, сканування їх повністю автоматично за допомогою антивірусної технології та, таким чином, забезпечення безпечного відновлення одним натисканням кнопки.
Слідкуйте за моделлю спільної відповідальності
Атака на Cloud Nordic є яскравим нагадуванням про те, як важливо правильно оцінювати клієнтами хмари принцип моделі спільної відповідальності, викладеної в їхніх контрактах з постачальниками послуг. Згідно з цим, хмарні постачальники зобов’язуються забезпечити доступність своїх послуг за замовчуванням, але клієнти відповідають за стійкість своїх даних, а також за регулярне резервне копіювання та можливість відновлення. Тому ви повинні бути добре поінформовані про заходи постачальника, професійно оцінити їх і, якщо необхідно, спланувати та впровадити коригування чи зміни у вашу власну концепцію управління даними відповідно до вашої ІТ-стратегії та вимог управління ІТ і вашої системи управління ризиками.