Plan de Data Protection y Ransomware Recovery
Ocho conceptos para asegurar un correcto plan de Data Protection y Ransomware Recovery en las empresas.
Por Víctor Pérez de Mingo, Senior System Engineer en Veeam
Los ataques de ransomware han estado aumentando de forma preocupante y causando un daño significativo a las empresas en los últimos años. Estos apuntan a datos críticos y los vuelven inaccesibles para los propietarios hasta que se paga un rescate.
En muchos casos, incluso después del pago, los datos no se restauran y los perpetradores continúan manteniéndolos como rehenes. Por ello, la mejor forma de protegerse contra el ransomware es tener un sólido plan de respaldo en su lugar.
Los últimos informes de Veeam, tanto en materia de Data Protection como Ransomware Trends, revelaron que el 85% de las empresas globales encuestadas experimentaron al menos un ataque de ransomware en el último año. De esas empresas, el 16% lograron recuperarse sin pagar el rescate, mientras que el 21% de las empresas pagaron el rescate, pero no pudieron recuperar sus datos. Por ello, las copias de seguridad, fiables y sin fallos, son cruciales para sobrevivir a los ataques de ransomware. Las organizaciones necesitan confiar en su capacidad para recuperarse rápidamente de un ataque de cualquier magnitud.
Es esencial que las empresas continúen incorporando la copia de seguridad y el ransomware recovery en su programa de seguridad para asegurarse de que los datos sean resistentes y estén protegidos. Deben estudiar la creación de un programa de seguridad que sea integral y que requiera de la combinación de personas, procesos y tecnología de manera que se centren en la mejora continua y permita a las organizaciones pasar de una defensa reactiva a una postura proactiva.
El objetivo de un plan de recuperación es minimizar el tiempo de inactividad en caso de un ataque de ransomware y automatizar el proceso para reducir el riesgo de un largo tiempo de inactividad y una posible reinfección. Antes de que ocurra un ataque, las organizaciones deben asegurarse de que están equipadas con el conjunto más completo de capacidades disponibles en el mercado para contrarrestar cualquier potencial amenaza. Este debe incluir:
1. Resiliencia de datos: cuando se trata de protección de datos, el enfoque estándar de la industria es la regla 3-2-1, algo que muchas organizaciones practican por defecto. Si bien este fue el estándar durante muchos años, ya no es suficiente en la era del ransomware. Las organizaciones deben dar un paso adicional y asegurarse de tener una copia inmutable de sus datos y realizar pruebas exhaustivas para garantizar que no haya errores en los mismos. En otras palabras, el nuevo estándar de la industria es la regla de las copias de seguridad 3-2-1-1-0. Es decir, siempre debe haber al menos tres copias de datos importantes, en al menos dos tipos de soportes diferentes, con al menos una fuera de las instalaciones y otra offline, con cero copias de seguridad sin verificar o con errores.
2 Diseño para una ágil recuperación: En tiempos de crisis, tener copias de seguridad es solo el primer paso para la recuperación. El tiempo de inactividad de un negocio da como resultado pérdidas financieras y el consecuente daño para la organización. Para poner en marcha las operaciones comerciales lo más rápido posible, es fundamental que se diseñe una estrategia robusta con una solución resiliente.
3. Aplicar seguridad multicapa: Cualquier profesional de seguridad dirá que el primer paso es cerrar la puerta principal. Ya se trate de una puerta física o metafórica, debe utilizarse una estrategia de defensa en profundidad. Para ello, Veeam proporciona una serie de herramientas que las empresas pueden utilizar para ayudarles a levantar sus escudos contra amenazas. La autenticación multi-factor (MFA) debe estar habilitada siempre que sea posible. Desde la perspectiva del sistema operativo, los componentes de infraestructura como proxies, repositorios y el propio servidor de copia de seguridad deben requerir algún tipo de MFA para iniciar sesión.
4. Monitorizar amenazas emergentes: Casi todos los ataques tienen precursores que se pueden identificar, y ser alertado sobre ellos y actuar en consecuencia puede marcar la diferencia entre ganar o perder la batalla contra el ransomware.
Comúnmente, los atacantes suelen dejar marcadores en su entorno. Esto les permite verificar que sus credenciales robadas son válidas y comprobar qué permisos tienen y en qué sistemas. Este tipo de cambios se pueden rastrear e identificar como parte de un programa de prevención y evaluación de riesgos.
5. Identificar el acceso y los cambios no autorizados: Si se roban credenciales, los atacantes pueden comenzar a iniciar sesión en diversas cargas de trabajo en la red. Esto les permite verificar que sus credenciales robadas son válidas y probar qué permisos tienen y en qué sistemas. Un informe sobre los cambios en la infraestructura debe ejecutarse y revisarse regularmente, ya que puede ayudar a identificar cambios dentro de su entorno virtual. Los cambios se pueden rastrear en máquinas virtuales, hosts y almacenes de datos donde se proporcionan detalles como cuántos y qué cambios han ocurrido, quién realizó las acciones y cuándo. Esto puede identificar rápidamente un comportamiento no autorizado que se puede detener.
6. Automatizar la documentación, seguridad y pruebas: A pesar de ser crítico, mantener actualizados los planes de recuperación ante desastres es un desafío que afecta a empresas de todos los tamaños. Ningún departamento de TI quiere encontrarse en una situación en la que se ejecute un plan de recuperación ante desastres solo para descubrir que la documentación está desactualizada, falta algún paso o incluso está completamente equivocada y no ayuda a poner en marcha las operaciones empresariales.
Cuando se produce un ataque de ransomware, las copias de seguridad son su última pero al mismo tiempo mejor línea de defensa. Por desgracia, el malware suele permanecer en los entornos. Se trata de un cierto periodo de tiempo antes del ataque donde se está programando en segundo plano, a la espera de ser activado. Por este motivo, las copias de seguridad pueden contener, sin saberlo, una copia de la amenaza. Por tanto, existe el riesgo de que la restauración de las copias de seguridad reintroduzca las amenazas en el entorno. Tener la capacidad de revisar que esas copias están limpias antes de recuperarlas, es una absoluta necesidad.
7. Utilizar la detección de amenazas basada en API: En este caso, un desafío común que enfrentan las empresas es el impacto de realizar un escaneo de detección de recursos intensivos en las cargas de trabajo de producción. Escanear archivos en busca de amenazas o indicadores puede provocar un uso excesivo de la CPU y un rendimiento de disco degradado. Estos inconvenientes se pueden evitar al tiempo que se escanean amenazas con un escaneo sin conexión contra las copias de seguridad.
Uno de los diferenciadores clave que ofrecemos con Veeam Recovery Orchestrator es su capacidad de restaurar cargas de trabajo de VMware y copias de seguridad de Veeam Agent directamente en Microsoft Azure, además de en entornos VMware. Las empresas pueden planificar la recuperabilidad creando planes de orquestación para combatir el tiempo de inactividad, ya sea debido a ransomware o a secuelas como las restricciones impuestas por las fuerzas de seguridad.
8. Planificar para un centro de datos inaccesible: Disponer de un lugar para restaurar las cargas de trabajo es una tarea crítica que debe planificarse con anticipación. Ya sea que los servidores de producción estén desconectados debido a una investigación forense o que no se cuente con los recursos disponibles para restaurar en su centro de datos, las empresas deben asegurarse de poder volver a estar online lo más rápido posible.
Siguiendo cada uno de estos pasos, los ejecutivos pueden asegurarse de que su organización esté bien preparada tras un ataque de ransomware exitoso y recuperarse rápidamente sin pagar un rescate. Si bien no existe una forma infalible de prevenir los ataques de ransomware, tener una comprensión clara de las mejores prácticas para proteger los datos y los pasos involucrados en una exitosa recuperación de ransomware permitirá reducir la superficie de ataque y obtener visibilidad sobre las amenazas emergentes.
El resultado final, un equipo de respuesta mejor equipado con el conocimiento y las herramientas necesarias para defender los datos mediante el desarrollo de una resistencia radical que proteja a cualquier empresa de la amenaza del ransomware.