El ransomware ha sido la industria en crecimiento en 2021. El volumen de ataques es de decenas de miles, con miles de víctimas y un pago promedio de 1,85 millones de dólares, según Sophos.
Podríamos detenernos en los datos, qué sectores están en mayor riesgo y en qué países, pero el enfoque clave es la forma principal en que los proveedores de almacenamiento y respaldo están abordando el problema, es decir, a través de instantáneas, que generalmente están interesados en llamar “inmutables instantáneas ”.
Pero, ¿por qué instantáneas inmutables? ¿Dónde encajan como respuesta al mecanismo de un ataque de ransomware? ¿Qué proveedores ofrecen esta capacidad? ¿Y cuáles son los beneficios y los posibles inconvenientes?
Fases del ataque de ransomware y por que encajan las instantáneas
Hay varias fases clave para un ataque de ransomware, a saber, la intrusión inicial, un período de reconocimiento dentro de los sistemas de la víctima, luego la ejecución del cifrado y la exfiltración de datos. Luego vienen las demandas de rescate.
Las instantáneas brindan a los clientes la capacidad de revertir a copias no dañadas de sus datos realizadas antes de la ejecución del código introducido por el atacante. En teoría, desde aquí pueden ignorar las demandas de rescate, purgar sus sistemas de los efectos de la intrusión y continuar con el negocio con normalidad.
Las instantáneas no son copias de seguridad, en el sentido de que no son solo copias de datos. Son un registro del estado y la ubicación de los archivos y bloques que componen los archivos en un momento específico al que un cliente puede revertir. Ese registro puede comprender más que solo un registro de estado, con metadatos, datos eliminados, copias de los padres, etc., todos los cuales deben conservarse.
Todas las instantáneas son inmutables: ¿qué hay de nuevo?
Las instantáneas son inmutables de todos modos, en el sentido de que se escriben una vez y se leen muchas (gusano). Lo que los proveedores de almacenamiento y respaldo han agregado son características como el cifrado, mecanismos que bloquean las instantáneas para que no se muevan o monten externamente, y se requiere autenticación multifactor (MFA) para administrarlas.
Sin que nadie, ni siquiera los administradores, pero ciertamente el software de ransomware, tenga la capacidad de acceder a las instantáneas o moverlas o eliminarlas, los clientes siempre deben tener acceso a copias limpias de sus datos después de una infracción.
Ese es el beneficio clave, con el beneficio adicional sobre las copias de seguridad de que las instantáneas generalmente se toman con mucha más frecuencia que una vez al día.
Instantáneas como fuente de restauración: pros y contras
Pero también existen posibles inconvenientes. Históricamente, las instantáneas no se han retenido durante períodos prolongados porque ocupan capacidad de almacenamiento. Por esta razón, los períodos de retención de las instantáneas a menudo han sido cortos, alrededor de 48 horas.
Con la recuperación de ransomware como caso de uso, aumenta el período que los clientes necesitan para retener instantáneas inmutables.
El tiempo que pasan los atacantes dentro de los sistemas – “tiempo de permanencia” – promedia 11 días según Sophos y 24 días según Mandiant. Durante este período, realizarán reconocimientos, se moverán lateralmente entre diferentes partes de la red, recopilarán credenciales, identificarán datos sensibles y lucrativos, extraerán datos, etc.
Eso significa que los períodos de retención de instantáneas y, por lo tanto, la capacidad necesaria para almacenarlas, aumentarán. Los proveedores lo saben y, en algunos casos, se han dirigido a subsistemas de almacenamiento con capacidad masiva en estos casos de uso.
Instantáneas y RPO
También debe hacerse la pregunta, ¿cuál es el efecto sobre el objetivo de punto de recuperación (RPO)?
Después de todo, si los atacantes han estado dentro de los sistemas durante una semana o dos, los datos almacenados en instantáneas durante todo ese período pueden verse comprometidos porque se han registrado con la corrupción intacta. Puede ser posible eliminar los rastros del intruso, pero las últimas copias completamente limpias pueden representar un punto de recuperación en el pasado.
De todos modos, no olvides que todas las instantáneas son inmutables. La novedad es que los proveedores están aplicando varios métodos para asegurarse de que no se puedan exportar o eliminar, de modo que la última línea de defensa de los clientes, o más bien la restauración, no se vea comprometida. A continuación se muestra una selección de lo que están haciendo los proveedores.
Las instantáneas de Cohesity SpanFS se conservan en un estado inmutable y nunca se hace accesible para que un sistema externo las monte. El ransomware no puede afectar la instantánea inmutable. Cohesity permite un espacio de aire en el que los clientes pueden replicar datos en una nube externa (ver también su reciente plan Fort Knox), otra ubicación física o cinta. La autenticación multifactor se utiliza para controlar el acceso a las copias protegidas.
Safeguarded Copy de IBM está disponible en sus matrices de almacenamiento all-flash. Crea automáticamente instantáneas inmutables que están aisladas y no pueden ser accedidas ni modificadas por usuarios no autorizados. Safeguarded Copy guarda hasta 15.000 copias inmutables en un momento determinado que no se pueden escribir o leer en una aplicación y que no se pueden asignar a un host. Safeguarded Copy se puede integrar con IBM Security QRadar, que monitorea las actividades y busca señales de que un ataque puede estar en progreso.
Panzura es un poco diferente, ya que es una operación centrada en la nube híbrida o en la puerta de enlace de la nube, y su CloudFS adopta un enfoque ligeramente diferente. Reconoce los datos de archivos alterados y cualquier archivo cifrado resultante se escribe en el almacén de objetos como datos nuevos. Por lo tanto, si un archivo está encriptado por ransomware, los usuarios pueden recuperar el estado anterior a la infección haciendo referencia a los datos limpios existentes con instantáneas.
Pure Storage coloca instantáneas inmutables en SafeMode, con grupos de protección que brindan políticas de instantáneas configurables que cubren la frecuencia de las instantáneas, la política de retención y la capacidad de enviar instantáneas a otros destinos para su recuperación. Los intrusos no pueden establecer períodos de retención en cero o erradicar instantáneas. La retención se puede aumentar, pero no se puede disminuir a menos que dos contactos autorizados con PIN se comuniquen con Pure Support.
Las instantáneas y las copias de seguridad de Rubrik también se crean como inmutables, por lo que no pueden ser encriptadas o eliminadas por un ataque de ransomware. El análisis de impacto también es posible a través de Rubrik, para identificar qué datos se cifraron y qué datos confidenciales pueden haber estado expuestos, con acceso de autenticación multifactor a los datos protegidos.