Los ataques de ransomware se han vuelto cada vez más sofisticados. Los atacantes ya no se limitan a cifrar datos: amenazan con exponer datos confidenciales mediante ataques de doble y triple extorsión. Y los ataques de ransomware se dirigen cada vez más a las copias de seguridad y a los datos operativos.
Desde el punto de vista de un atacante, apuntar a las copias de seguridad tiene sentido. Las organizaciones que pueden restaurar a partir de copias de seguridad tienen menos probabilidades de pagar un rescate. Por eso, ahora los atacantes buscan identificar y deshabilitar o eliminar volúmenes de respaldo.
Para contrarrestar esto, los proveedores han integrado protección contra ransomware en las copias de seguridad y el almacenamiento. Al trabajar en la capa de almacenamiento, los equipos de seguridad reciben alertas tempranas sobre ataques de ransomware y pueden prevenirlos. Pero esta funcionalidad es todavía bastante nueva. Entonces, ¿debería ser parte de una estrategia empresarial anti-ransomware?
Copias de seguridad de virus ransomware
Los primeros ataques de ransomware se infiltraron en redes y cifraron datos, luego exigieron un rescate a cambio de claves de descifrado.
Pero las empresas han reforzado sus procedimientos de respaldo. Y los proveedores de respaldo y recuperación han agregado funciones anti-ransomware. Estos incluyen detección de anomalías, instantáneas inmutables y garantizar que las copias de seguridad estén alejadas de los sistemas de producción.
Como resultado, los atacantes ahora también buscan copias de seguridad. Esto incluye eliminar archivos de respaldo, cifrarlos o atacar las interfaces de programación de aplicaciones (API) del software de respaldo.
Los grupos de ransomware también explotan características del funcionamiento de las herramientas de copia de seguridad.
Las copias de seguridad funcionan según un cronograma, copiando datos cada pocas horas o durante la noche, por ejemplo. Esto brinda a los atacantes una ventana de oportunidad para infectar sistemas o iniciar el cifrado en masa antes de que se ejecute una copia de seguridad.
El resultado es que la empresa realiza una copia de seguridad de los datos que ya han sido cifrados o que contienen código malicioso. Los grupos de hackers pueden activar estas “bombas de tiempo” de malware más adelante, o peor aún, cuando la empresa intenta restaurar desde una copia de seguridad infectada.
Para cerrar esta brecha, un número cada vez mayor de proveedores ofrecen ahora detección de ransomware en la capa de almacenamiento. Si el sistema detecta signos de un ataque, como un evento de cifrado masivo, activa una nueva instantánea inmutable de los datos y alerta a los equipos de TI o de seguridad antes de que el malware se afiance.
“Si puede acercarse al entorno de producción para la detección y comenzar ese flujo de trabajo instantáneo inmutable, tendrá una respuesta más rápida y un ‘radio de explosión’ más limitado”, afirma Brent Ellis, analista senior de Forrester, líder en resiliencia tecnológica. investigación de respaldo y almacenamiento.
Enfoques anti-ransomware de proveedores
Para los proveedores de almacenamiento, la principal protección contra el ransomware es mediante copias de seguridad inmutables, normalmente instantáneas. Se pueden configurar matrices de almacenamiento para guardar instantáneas localmente, en una ubicación externa (como un segundo centro de datos) o en la nube pública.
Como las instantáneas suelen ser inmutables, las empresas pueden establecer rutinas bastante sofisticadas para copiarlas. Estos incluyen el uso de múltiples zonas de disponibilidad de la nube o múltiples proveedores de la nube si los requisitos de presupuesto y seguridad lo exigen.
El problema es que las instantáneas ocupan más espacio que las copias de seguridad convencionales de sólo datos. Y no sirven de nada si los datos ya están infectados antes de tomar la instantánea.
Para contrarrestar esto, los proveedores han decidido agregar detección a sus sistemas. Los sistemas tienen como objetivo detectar un evento de cifrado masivo, otros comportamientos sospechosos, como una gran cantidad de cambios en los archivos de un sistema o mayores niveles de aleatoriedad en los nombres y el contenido de los archivos. Estos son los primeros signos de que el malware ha comenzado a cifrar datos.
Los proveedores de respaldo ya tienen una función de detección de ransomware que escanea los archivos a medida que se copian o incorporan al sistema de respaldo. Poner esto en la capa de almacenamiento tiene como objetivo acelerar este proceso.
“El problema es que tal vez las copias de seguridad se ejecuten cada media hora, cada hora, cada cuatro horas”, dice Ellis de Forrester. “Hay un retraso en la detección en el que el alcance del problema puede aumentar. Por lo tanto, la detección se ha trasladado a entornos de almacenamiento primario donde tienen un proceso continuo para detectar tipos de archivos maliciosos si se trata de almacenamiento basado en archivos, o detectar anomalías o errores de entropía en el almacenamiento basado en bloques”.
Un evento de cifrado masivo registra una alta tasa de cambio en un volumen de almacenamiento, afirma. Esto permite que las matrices de almacenamiento detecten actos sucios. Pero el punto clave es que la detección debe generar instantáneas “granulares” para maximizar las posibilidades de recuperar datos y generar alertas para que los equipos de seguridad puedan actuar para contener el problema.
Varios proveedores de almacenamiento ofrecen ahora estas herramientas, a menudo utilizando inteligencia artificial (IA) para detectar anomalías.
Los proveedores con funcionalidad anti-ransomware incluyen NetApp, Pure Storage, Dell EMC (en su gama PowerStore) e IBM.
Dell EMC, por ejemplo, utiliza el cifrado de datos en reposo de PowerStore, así como instantáneas para protegerse contra el ransomware. IBM Storage FlashSystem, parte de IBM Storage Virtualize, crea instantáneas que se separan automáticamente de los entornos de producción.
Las instantáneas del modo seguro de Pure están integradas en todos los productos del proveedor y se administran a través de Pure1. El proveedor admite autenticación multifactor y control de acceso de “cuatro ojos” (se necesitan dos personas para autorizar la eliminación de la copia de seguridad). Mientras tanto, NetApp afirma ser el primer proveedor que cuenta con detección de malware impulsada por IA en la capa de almacenamiento y ofrece copias de seguridad inmutables e indelebles.
Estas herramientas se pueden utilizar junto con medidas de prevención de ransomware en herramientas de respaldo y recuperación de proveedores que incluyen Veeam, Rubrik, Cohesity y Commvault. Vale la pena señalar que algunos proveedores de software, como MongoDB, también ofrecen instantáneas inmutables. Esto proporciona protección adicional para su capa de la pila.
El almacenamiento como estrategia anti-ransomware
Sin embargo, los sistemas de almacenamiento por sí solos no pueden proporcionar toda la protección contra el ransomware. Las empresas también necesitan una sólida protección de endpoints y herramientas antiphishing para reducir las posibilidades de que el ransomware infecte la organización. También necesitan herramientas de respaldo sólidas y una estrategia de respaldo y recuperación efectiva y ensayada.
La protección contra ransomware a nivel de almacenamiento ofrece el beneficio de la velocidad y, debido a que los análisis se ejecutan constantemente en los datos de producción, reducen el riesgo presente en la brecha entre las copias de seguridad.
Pero también existen limitaciones, sobre todo por la limitada potencia de procesamiento disponible en las matrices de almacenamiento. Las herramientas de respaldo pueden utilizar análisis más avanzados, ya que tienen acceso a las unidades de procesamiento de la computadora del servidor y pueden observar los datos a lo largo del tiempo. Esto les permite crear una imagen del comportamiento normal de esos datos y bloquear ataques futuros.
Idealmente, los CIO utilizarán herramientas anti-ransomware en el almacenamiento y la copia de seguridad. “Una herramienta no será suficiente”, advierte Ellis. “La siguiente línea de defensa está en su entorno de producción, y ese es su sistema de almacenamiento”.