Adatkazettákkal a zsarolóprogramok ellen? szakértői és felhasználói vélemények

Írta: Michele Hope

Vajon még az újabbnál-újabb biztonsági mentési lehetőségek korában is a szalagos biztonsági másolatok szolgálnak végső védelmi vonalként a zsarolóprogramok ellen? Vizsgáljuk meg a szakértők és felhasználók véleményét a témában.

Az interneten kifejezetten sok tanács érhető el azoknak a szervezeteknek, akik arra kíváncsiak, mit tehetnek, ha egy zsarolóprogramot alkalmazó kiberbűnöző jelentkezik a vállalatuknál. A tanácsok nagy része a biztonsági mentési szoftvereket forgalmazó vagy felhőalapú biztonsági mentést biztosító cégektől származnak, akik elsősorban a digitális biztonsági mentés fontosságát hangsúlyozzák ilyen jellegű támadások esetében.

Valóban szükséges egy vállalatnak szalagos biztonsági másolatokkal is kiegészítenie a zsarolóprogramok elleni védelmét a digitális biztonsági mentések jelenlegi kínálata mellett? Egyeseknek meglepően hangozhat, de számos szakértő és felhasználó meggyőző tapasztalatokról számol be azzal kapcsolatban, hogy hogyan menekültek meg a zsarolóprogramos támadásoktól a szalagos biztonsági másolatoknak köszönhetően.

A megelőzés a legjobb megoldás

A zsarolóprogramot általában egy gyanútlan felhasználó indítja el, aki rákattint egy adathalász e-mailben található rosszindulatú hivatkozásra. A zsarolóprogram ezután titkosítja a fertőzött gépen tárolt fájlokat, és ha lehetősége van rá, a hálózat más, gyanútlan rendszereit is megfertőzi. A folyamat végeredményeként a hálózathoz csatlakoztatott tárolórendszereket (NAS), webszervereket, hálózati fájlmegosztókat, csatlakoztatott biztonsági másolatokat, sőt, akár fájlszinkronizáló/-megosztó szolgáltatásokat és egyéb felhőalapú megosztott meghajtókat is titkosíthat. Ráadásul a zsarolóprogramok az okostelefonokat sem kímélik.

Dan Jan, az Iron Mountain termékmenedzsment igazgatója szerint a zsarolóprogramok kezelésének legjobb módja a támadások megelőzése. A sikeres támadást követően a vállalatok már elég nehéz helyzetben vannak.

Zsarolóprogramok: A következmények

Ha egy szervezet informatikai részlege tudomást szerez arról, hogy zsarolóprogramos támadás történt egy vagy több rendszerén, a bevált biztonsági eljárás szerint le kell választania a fertőzött rendszereket a hálózatról.

Ezután következik a dolog nehéz része: Mihez kezdjünk a titkosított rendszerekkel? A cégnek ilyen helyzetben két lehetősége van: vagy kifizeti a digitális váltságdíjat a kibertolvajoknak, akik azt ígérik, hogy ezt követően feloldják a „túszul ejtett” rendszerek titkosítását, vagy törlik, majd helyreállítják a fertőzött rendszereket.

Sajnos azonban mindkét eset tartogat kihívásokat. A hatóságok például általánosan nem javasolják a váltságdíj kifizetését. Nem egy olyan cégről hallani, amely annak ellenére, hogy kifizette a váltságdíjat, nem kapta vissza a hozzáférést a titkosított fájlokhoz. A helyreállítás lehetősége azonban feltételezi, hogy a szervezet rendelkezik egy korábbi, ismerten jó állapotú biztonsági másolattal.

Mivel napjainkban számos biztonsági másolat csatlakoztatva van a hálózat többi részéhez és ezáltal potenciálisan a zsarolóprogramok tűzvonalában van, ezek a biztonsági másolatok is a támadás áldozatává válhatnak, így pedig használhatatlanok. A Barkly egyik felmérése szerint a zsarolóprogramos támadással érintett vállalatok mindössze 42%-a tudta biztonsági másolatból sikeresen visszaállítani az adatait. Ennek az egyik oda pedig az, hogy a biztonsági másolatot tartalmazó meghajtókat is titkosították.

A biztonsági másolat utolsó védelmi vonala: Tárolás a hálózatról leválasztva és áramtalanítva

A zsarolóprogramok egyre inkább fenyegetést jelentenek. Ráadásul nem is lehet minden esetben megelőzni az ilyen támadásokat, és a hálózathoz csatlakoztatott biztonsági másolatok is a zsarolóprogramok áldozatául eshetnek. Mit tehet egy vállalat ebben helyzetben? A válasz a biztonsági mentés alapjaiban rejlik. A szalagos biztonsági másolatok használata a zsarolóprogramok fényében egyre inkább értelmet nyer.

Jan szerint a biztonsági mentés régi 3-2-1-es szabálya továbbra is érvényes: „Összesen három másolatra van szükség: két, külön adathordozón (általában lemezen és szalagon) tárolt helyi példányra, és egy telephelyen kívüli, leválasztott példányra”. „A csatlakoztatott eszközök és rendszerek korában továbbra is szükség van egy olyan másolatra, amely le van választva a hálózatról.” Persze mindenki egyetért ezzel az alapelvvel, ám megjegyzi, hogy a vállalatoknak a gyakorlatban is tartaniuk kell magukat hozzá.

A hálózatról leválasztott másolat jelentősége

Jan „offline” példánynak nevezi ezt a másolatot, ami azt jelenti, hogy semmilyen hálózathoz nincs csatlakoztatva. A Tape Storage Council csoport egyik feljegyzésében a következőképpen magyarázza az elvet: „A szalagos biztonsági másolat esetében a kazetta nincs csatlakoztatva a számítógépes rendszerekhez. A lemezmeghajtók „online” állapotban vannak, ezért kifejezetten sebezhetőek a támadások során.” A jegyzetben ezután azt is hozzáteszik, hogy „a szalagos technológia alkalmazásával megakadályozható, hogy az elektronikus kibertámadások elérjék az adatokat, mivel a szalagkazetta nincs csatlakoztatva a rendszerhez, ezért elektronikusan nem lehet hozzáférni.”

A valódi felhasználók tapasztalatai

Egy biztonsági mentési szoftverekkel foglalkozó fórumon a rendszergazdák hangot adtak annak, hogy kifejezetten bíznak a szalagos biztonsági másolatokban, ha a zsarolóprogramok elhárításáról van szó. „Mindig azt javaslom, hogy ahol lehetőség van rá, a szalagos technológia legyen az elsődleges védelmi vonal” – írja az egyik hozzászóló – “Számtalanszor láttam már olyat, hogy a szalagos biztonsági másolatok mentették meg a vállalatot a katasztrófától [...] és olyat is, hogy az összes átfogó, lemezalapú védelmi stratégia csődöt mondott, helyrehozhatatlan adatvesztést okozva a felhasználóknak”.

Egy másik kommentelő véleménye a zsarolóprogramok elleni legjobb védekezési módszerekről: “Telephelyen kívüli, szalagon tárolt másolatok. Csak ezekkel garantálható, hogy a zsarolóprogramok nem érik el a biztonsági másolatban tárolt adatokat.”

Az előre tervezés hatalma

Jan kifejti, hogy az „offline” másolat lehet egy széfben elhelyezett, telephelyen kívüli szalagos tároló, optikai adathordozó vagy akár egy felhőalapú tároló is, amely nem csatlakozik az elsődleges adatközponthoz. Véleménye szerint bármilyen telephelyen kívüli adathordozót is válasszon a vállalat, nagyon fontos, hogy legyenek rendszeres „tűzriadó” próbák, és egy erre szakosodott partnerrel közösen tervezzék meg a zsarolóprogramos támadás esetén végrehajtandó lépéseket. „Továbbá a felülvizsgálatok összeállítását is érdemes fontolóra venni. Nem árt, ha tisztában vannak vele, hogy mennyi időbe telik egy esetleges helyreállítási folyamat” – mondta Jan – “Ezekből az is kiderül, hogy a megfelelő partnerrel kötöttek-e szerződést, aki a megfelelő időben, a megfelelő segítséget tudja nyújtani.”