Рансъмуерът отдавна е надхвърлил рамките на чисто технически проблем и се е превърнал в риск на бизнес ниво. За малките и средните предприятия (МСП) истинското предизвикателство, отвъд превенцията, е да гарантират, че при успешна атака операциите могат да бъдат възстановени бързо, предвидимо и без преговори с нападателите. На практика устойчивостта срещу рансъмуер се изгражда върху две взаимосвързани способности: неизменяемо, съответстващо на регулаторните изисквания съхранение и ясно дефинирани, договорно гарантирани срокове за възстановяване след инциденти. Разбирането как тези два елемента работят заедно е от съществено значение за всяко МСП, което е в процес на изграждане на надеждна стратегия за устойчивост срещу рансъмуер.
Устойчивостта срещу рансъмуер започва с разбирането на тактиките на атакуващите
През последните няколко години тактиките за атаки с рансъмуер се промениха. Вместо просто да криптират продукционните системи, нападателите вече целенасочено атакуват първо инфраструктурата за резервно копиране. Причината е проста: ако елиминират възможностите за възстановяване, увеличават вероятността жертвата да плати откупа.
Тази промяна разкри структурна слабост в традиционните стратегии за архивиране. Много организации формално „имат резервни копия“, но въпреки това търпят продължителни прекъсвания, защото тези копия са компрометирани, непълни или отнема твърде дълго, за да бъдат възстановени. Данните последователно показват, че хранилищата за резервни копия често са целта на атаките и нерядко биват частично или напълно компрометирани.
Изводът е ясен: устойчивостта изисква повече от резервни копия – тя изисква резервни копия, които оцеляват след атаката и могат да бъдат възстановени в рамките на разумен срок.
Неизменяемото съхранение – основата на устойчивостта срещу рансъмуер
В основата на съвременната устойчивост срещу рансъмуер стои принципа на неизменяемото съхранение. Най-просто казано, неизменяемостта гарантира, че след като данните от резервното копие веднъж бъдат записани, те не могат да бъдат променяни, изтривани или криптирани за определен период. Това обикновено се осигурява чрез механизми от типа „запис веднъж, многократно четене“ (WORM) на ниво съхранение.
Разликата тук е съществена. Традиционните резервни копия се основават на контрол на достъпа – права, които могат да бъдат заобиколени, ако нападателят получи администраторски права за достъп. Неизменяемото съхранение, за разлика от това, налага защита на системно ниво, правейки данните принципно непроменяеми, независимо от привилегиите на потребителя.
От практическа гледна точка това означава:
- Рансъмуерът не може да криптира данните от резервните копия
- Злонамерените лица не могат да изтрият точките за възстановяване
- Заплахите, идващи от вътрешни лица и случайните изтривания се неутрализират
Не по-малко важен е и аспекта, свързан със „съответствие с регулациите“. Съвременните архитектури за съхранение трябва да са съобразени с регулаторни рамки като GDPR или с изисквания за съхранение на данни, специфични за съответната индустрия. Неизменяемото, съответстващо на регулациите съхранение гарантира, че данните не само са защитени, но и подлежат на одит, управляват се чрез политики и тяхната цялост може да бъде доказана във времето.
Тази комбинация превръща резервните копия от мярка на принципа „най-добри усилия“ в проверим актив за възстановяване.
Възстановяването след инциденти е това, в което се провалят повечето стратегии за устойчивост срещу рансъмуер
Докато неизменяемото съхранение гарантира съществуването на чисти данни, то не решава автоматично втория, често по-критичен проблем: колко бързо бизнесът може да се възстанови.
Тук много МСП подценяват сложността на възстановяването след инциденти. Освен възстановяването на данните, пълното възстановяване изисква изграждане наново на цели среди – сървъри, приложения, зависимости, конфигурации – и гаранция, че всичко работи съгласувано.
При реални инциденти този процес рядко е бърз. Проучвания на възстановяването след атаки с рансъмуер показват, че организациите често търпят продължително отпадане на системите, а в много случаи възстановяването на дейността отнема дни или дори седмици. Основната причина не е липсата на резервни копия, а липсата на проектирана, автоматизирана архитектура, която да спомогне възстановяването.
Ръчните процеси на възстановяване водят до забавяния, грешки и неопределеност. Екипите трябва да идентифицират чиста точка за възстановяване, да изградят наново инфраструктурата и да валидират системите докато са под напрежение. Именно тази разлика между теоретичните планове за възстановяване и реалното им изпълнение е мястото, където забавянето нараства и въздействието върху бизнеса се натрупва.
От възстановяване на принципа „най-добри усилия“ към договорно гарантирани срокове за възстановяване
По-зрелият подход към устойчивостта срещу рансъмуер въвежда съществена промяна: преминаване от подход „най-добри усилия“ към договорно дефинирани цели за възстановяване.
Целевото време за възстановяване (RTO) не е нова концепция. То определя колко бързо системите трябва да бъдат възстановени след инцидент. Въпреки това в много среди RTO съществува само на хартия. Реалните срокове за възстановяване често се разминават с тези цели поради предизвикателствата, описани по-горе.
Това, от което МСП все повече се нуждаят, не е просто RTO, а гарантиран срок за възстановяване, подкрепен от архитектурата на услугата на доставчика и договорни ангажименти.
Решения като Armored Cloud илюстрират този модел на практика. Техният подход към възстановяването след инциденти съчетава неизменяемо съхранение с автоматизирано пълно възстановяване на средата, подкрепено от договорни гаранции за възстановяване в рамките на 8 до 72 часа, в зависимост от сложността на инфраструктурата.
Този модел променя ситуацията със отпадането на системите по няколко начина.
Първо, той въвежда предвидимост. Бизнесите могат да се подготвят за най-лошите сценарии с дефинирани срокове, вместо да разчитат на оптимистични предположения.
Второ, той гарантира пълнота на възстановяването. Фокусът се измества от възстановяване на изолиран набор от данни към реконструкция на цялата оперативна среда: включително приложения, конфигурации и инфраструктура.
Трето, намалява зависимостта от ръчни процеси. Автоматизацията измества инцидентните, импровизирани действия по възстановяване, съществено съкращавайки времето за възстановяване и ограничавайки риска от човешка грешка.
Стратегическата стойност на комбинацията между неизменяемост и гаранции за възстановяване
Поотделно неизменяемото съхранение и плановете за възстановяване след инциденти решават само част от проблема. Заедно те изграждат единна стратегия за устойчивост.
Неизменяемото съхранение отговаря на въпроса: можем ли да възстановим данните? Договорно гарантираните срокове за възстановяване отговарят на не по-малко важния въпрос: колко бързо можем да възобновим дейността? Без неизменяемост възстановяването може изобщо да не е възможно. Без гарантирани срокове за възстановяване то може да се окаже твърде бавно, за да се запази непрекъсваемостта на бизнеса.
Този двоен подход обвързва техническите възможности с бизнес резултатите. Той гарантира, че:
- Чисти точки за възстановяване са винаги на разположение
- Изпълнението на процеса по възстановяване е предвидимо и тествано
- Отпаданията остават в приемливи граници
За МСП, които работят под регулаторен натиск или с ограничени оперативни маржове, това съответствие е от съществено значение. То намалява не само техническия, но и финансовия и репутационен риск.
Устойчивостта срещу рансъмуер като бизнес решение
Дискусията около устойчивостта срещу рансъмуер често се представя единствено като въпрос на киберсигурност. В действителност това е решение за непрекъсваемост на бизнеса.
Организациите, които инвестират в неизменяемо, съответстващо на регулациите съхранение и гарантирани възможности за възстановяване, не просто подобряват своята ИТ готовност. Те преосмислят способността си да устоят на сериозно прекъсване. Когато настъпи инцидент – а статистически той ще настъпи – резултатът се определя не от това дали данните са били архивирани, а от това колко бързо и надеждно бизнесът може да се върне към нормална работа.
Основни изводи при изграждане на устойчивост срещу рансъмуер
За МСП пътят към устойчивост срещу рансъмуер не изисква сложни, фрагментирани инструменти. Той изисква ясен архитектурен подход: защитете данните така, че да не могат да бъдат променяни, и проектирайте възстановяването така, че да не може да бъде несигурно. Неизменяемото съхранение осигурява първата гаранция. Договорно гарантираното възстановяване след инциденти осигурява втората. Заедно те изграждат практичен, измерим и приложим подход към устойчивостта – подход, който обвързва техническата защита с реалните бизнес приоритети.