7 полезных советов по защите резервных копий от вирусов-шифровальщиков

Original author: Rick Vanover
  • Translation
Сегодня поговорим о проблеме вирусов-шифровальщиков (ransomware). Эти программы предназначены для вытягивания денег из обладателей зараженных компьютеров, поэтому их еще называют «программы-вымогатели».

Проблема вирусов-шифровальщиков затрагивает уже не только отдельно взятые персональные компьютеры, но доходит до уровня дата-центров. Для атак на инфраструктуру компаний применяются, например, Locky, TeslaCrypt и CryptoLocker. Зачастую вирусы используют уязвимости веб-браузеров или их плагинов, а также непредусмотрительно открытые вложения сообщений электронной почты. Проникнув в инфраструктуру, программа-вымогатель начинает быстрое распространение и шифрование данных.

Важной составляющей стратегии защиты данных всегда было наличие резервных копий, из которых можно выполнить восстановление. Рассмотрим же несколько рекомендаций от моего коллеги Rick Vanover относительно того, как как уберечь СХД резервных копий от шифровальщиков (вне зависимости от того, используете вы решения Veeam или других производителей). Итак, добро пожаловать под кат.



1. Используйте отдельную учетную запись для доступа к хранилищу резервных копий


Эта общечеловеческая рекомендация особенно актуальна в эпоху троянов-шифровальщиков.

  • Резонно использовать для доступа к хранилищу бэкапов специально выделенные для этого учетные записи.
  • Следует избегать назначения прав доступа к хранилищу всевозможным пользователям, за исключением тех, кому они необходимы для выполнения резервного копирования.
  • И, конечно, не стоит повсеместно использовать учетку доменного админа.

Встречаются варианты, когда инфраструктура Veeam не включена в домен (как правило, в небольших организациях) или входит в домен, организованный специально для работы инструментов резервного копирования и защиты данных (в более крупных средах). В любом случае важно уделить внимание аутентификации и тщательному разграничению рабочей среды и инфраструктуры резервного копирования.

2. Имейте резервные копии, хранящиеся offline (без подключения к инфраструктуре)


Весьма действенный способ обезопасить себя от проникновения трояна-шифровальщика – сохранять резервные копии offline (то есть вне работающей инфраструктуры). Например, если вы используете решение Veeam, то можно рассмотреть следующие опции:
Где хранить данные Пояснение
Магнитная лента Всегда offline (если только не в процессе чтения-записи).
Реплика ВМ Обычно выключена; в большинстве случаев будет задействована в среде с аутентификацией, отдельной от продакшена (например, хосты vSphere и Hyper-V в разных доменах).
Аппаратные снимки производственных СХД Можно использовать для восстановления; обычно задействуются в среде с аутентификацией, отдельной от продакшена.
Бэкапы в Cloud Connect Не подключаются непосредственно к инфраструктуре резервного копирования; задействуют иной механизм аутентификации.
Сменные носители (например, внешний жесткий диск) Всегда offline (если только не в процессе чтения-записи).

Если вы используете выделенную СХД только для хранения резервных копий, то обычно такое хранилище используется только во время окна резервного копирования (скажем, только ночью). В этом случае отдельным простым способом перевода резервной копии в оффлайн будет настройка расписания автоматического выключения/включения СХД на период времени, когда оно не требуется.

3. Используйте для хранения бэкапов СХД с разными файловыми системами


Предупредить распространение шифровальщиков можно, используя разные файловые протоколы. Например, если держать репозиторий на Linux, то в этом случае при резервном копировании и восстановлении с помощью Veeam будет использоваться аутентификация Linux, а файловая система может быть как ext3, так и ext4 (или другая). Таким образом можно дополнительно защитить свои резервные копии. Вот несколько примеров систем хранения резервных копий с таким подходом:

  • СХД Data Domain со встроенной дедупликацией и использованием DDBoost (рекомендованный метод) или с монтированием NFS в случае, если DDBoost не используется
  • СХД Hewlett Packard Enterprise (HPE) StoreOnce со встроенной дедупликацией и использованием Catalyst
  • ExaGrid со встроенной дедупликацией и использованием Veeam agent

При указанных вариантах доступ к СХД со стороны процессов Veeam будет происходить в рамках специфического контекста безопасности (security context).



4. По возможности создавайте аппаратные снимки СХД резервных копий


Аппаратные снимки являются, так сказать, «полу-оффлайновым» способом сохранения данных в случае работы с основной СХД. Если же есть возможность создания аппаратных снимков и для СХД резервного копирования, то вполне резонно задействовать ее для предотвращения атак шифровальщиков.

5. Применяйте правило «3-2-1-1»


Как вы помните, есть правило «3-2-1», которое предписывает хранить 3 резервных копии как минимум на носителях двух типов, и одну из этих копий держать на резервной площадке (а не в месте расположения производственной инфраструктуры).



Это простое правило поможет вам практически в любой аварийной ситуации, при которой потребуется восстановить данные, и при этом оно не требует применения какой-либо специфической технологии. В эпоху шифровальщиков будет разумным добавить еще одну единичку к этому правилу, подразумевая, что один из носителей должен храниться offline. Приведенные выше опции (см. пункт 2) помогут вам с выбором носителя и способа хранения, что, в свою очередь, укрепит вашу инфраструктуру в противостоянии шифровальщикам.

6. Контролируйте работу оборудования и ПО


Одна из угроз, которые несут с собой шифровальщики — это потенциальная возможность распространения на другие системы. Поэтому важно контролировать работу оборудования, процессов и приложений с целью выявления подозрительной активности. Так, Veeam ONE 9.5 предлагает вашему вниманию новое встроенное оповещение Possible ransomware activity (вероятная активность шифровальщика). Оно срабатывает, если замечена повышенная активность в использовании ЦПУ и рост количества операций записи на диск.



7. Задействуйте задания переноса резервных копий Backup Copy Job


Для того, чтобы получить точку восстановления, хранящуюся на удаленной СХД и имеющую свою политику хранения (отличную от той, что задана в настройках бэкапа), удобно использовать задание переноса резервных копий Backup Copy Job. Это задание берет данные из репозитория резервных копий и на их основе создает точки восстановления на удаленной СХД. Так, например, если вы добавили еще одну СХД к инфраструктуре резервного копирования (допустим, Linux), то можно создать соответствующий репозиторий и затем настроить задание переноса для работы с ним.

В заключение можно сказать, что существует немало методов борьбы с троянами-«шифровальщиками», позволяющих сохранить ваши бэкапы в целости, и в этом посте была перечислена лишь их часть. Если же у вас есть личный опыт или конструктивные идеи на этот счет, милости простим в комментарии.

Что еще почитать и посмотреть


Статья на Хабре о правиле 3-2-1 для резервного копирования:

Часть 1
Часть 2
Вебинар об интеграции Veeam и HPE StoreOnce (на русском языке)
Статья базы знаний Veeam об интеграции с EMC Data Domain (на англ. языке)
Veeam Software
Продукты для резервного копирования информации

Comments 49

    +1
    Вот бреда ради: а если ввести понятие допустимого объема изменения при автоматическом обновлении, а в случае превышения данного порога требовать подтверждение? Перед «заливкой» новой версии файла сравнивать N сегментов в старой и новой версиях, если количество схожих сегментов превысило Y, то заменяем старую версию новой, в противном случае требовать подтверждения. Защита от дураков простая, как камень на палке.
      +1
      Прочитал свой комментарий и почему-то про Adinf вспомнил… Аж прослезился… Как же давно это было…
        –1
        … единственный антивирус, который я использовал. И то, не для защиты, а потому что нравился безумно крутой способ работы и потрясающая скорость. Эх, досовские времена.
          0
          Помню, сам не только вспомнил прослезился но даже пришлось написать простенький аналог adinf, так как нужной функциональности в других не нашёл, а надо было срочно что-то делать с непонятно почему гибнущими файлами и дисками.
          0
          Заголовок утренних газет от 17 января: «Новый криптовымогатель, авторы которого вдохновились комментарием российского хакера elanc с известного сообщества криптоанархистов и анархоразработчиков Habrahabr, шифрует несколько случайных кусков файла, общим объемом до 5%, дабы обойти поведенческие защиты известных антивирусов».
            0
            Я вот одного не понимаю — почему это не использует ни один антивирус? Почему так сложно отследить вызов стандартных библиотек шифрования и выдавать предупреждения? Касперыч просит дофига денег, но НИЧЕГО абсолютно не гарантирует. Бизнес по-русски.
              0
              Очень легко сфолсить, например. Вы просто не представляете количество фидбека, которое можно огрести за блок казалось бы абсолютно неадекватного поведения ПО.
              Как их ловить — все постоянно думают, уверен, и в каспере тоже. Кто найдет серебряную пулю, тот получит очень много бонусов во всех смыслах.
              Только не бывать этому, боюсь. :(
            0
            Что-тона скриншотах ничего не разобрать.
              0
              Veeam Enterprise Manager ведь не будет работать без ввода сервера в домен?
                0
                А что ему помешает?
                  0
                  Доменную аутентификацию так просто не прикрутить.
                    0
                    Вопрос был будет он работать без домена или нет.
                    Ответ — будет.
                    Что там у вас за сложности с доменной аутентификацией — непонятно.
                      0
                      Сложность в желании закрыть доступ к серверу администраторам домена, но оставив портал самообслуживания.
                        0
                        Доменные администраторы в администраторы Veeam Enterprise Manager попадают через группу локальных администраторов сервера, если у вас как-то ещё им права не выдаются на администрирование всех серверов подряд.
                        Включить кого надо с необходимыми ролями в настройках Veeam Enterprise Manager.
                        Не забыть кого-то Portal Administrator'ом сделать.
                        а BUILTIN\Administrators в настройках Veeam Enterprise Manager выкинуть совсем.
                        Тогда у членов группы BUILTIN\Administrators на сам сервер доступ останется — RDP и прочее — но именно в Veeam административные права отсохнут.
                          0
                          Администратору домена не составит труда повысить права на доменной машине.
                            0
                            Читайте внимательнее.
                            на сам сервер доступ останется но именно в Veeam административные права отсохнут.

                            Ничего повышать на машине ему и не нужно.

                            Но если уж у вас так всё плохо в разделении полномочий с доменными админами или просто паранойя запредельная — то проблема не техническая.

                              0
                              Тут вся статья про паранойю, а точнее про уменьшение рисков.
                      0
                      Для доменной аутентификации нужно включать в домен, да. Но ведь работать то без нее будет.
                    0
                    Будет
                    0

                    Бакапы должны быть append-only. Тогда их нельзя будет уничтожить шифрованием.

                      0
                      Это не поможет против вируса на той машине, к которой подключены носители с бекапом. Ну, если только не написать специальную файловую систему с водкой и охранницами
                        0
                        Носители типа CD-R. Туда мультисессией можно заменять, при желании, но все предыдущие сессии тоже доступны, вместе с их данными.
                          0
                          А переставлять их вручную?
                          А стоимость хранения?
                            0
                            CD changer
                            0
                            Есть WORM кассеты и схожая фича у NASов, но это скорее для требований регуляторов по долговременному хранению.
                          0
                          Это был бы идеал. Но в данный момент, при текущем уровне беспечности абсолютного большинства пользователей — недостижимый.
                          Как пример — год назад я искал флешки с аппаратным выключателем записи. В Томске не оказалось, пришлось через Интернет заказывать и ждать!
                            0
                            хм. а можно пример флешки где аппапратный свич — аппаратный, а не програмный на уровне дров? (именно такие я видел исключительно, блин)
                              0
                              Я долго искал — выбрал Qumo ИНЬ и ЯНь.
                              Кстати, на Яндекс Маркете среди россыпей ма это единственная марка с аппаратным микриком.
                              • UFO just landed and posted this here
                                  0
                                  Да, но есть и программный: http://www.bertold.org/sdtool/

                                  во-2х, поскольку это как с флопиками, надо «закрыть» датчик, то где гарантия что когда ты втыкаешь в чей-то ридер там уже не закорочено/заклеено, чтобы игнорировать шторку защиты?

                                  Я бы предпочел, чтоб он отключал write enable ножку внутри самого чипа карты памяти…
                                  • UFO just landed and posted this here
                              • UFO just landed and posted this here
                              0
                              А что делать если мы не используем ни винды, ни проприетарного софта?
                                0
                                — Бэкап сервер должен сам вытягивать файлы с резервируемых машин.
                                — Бэкап сервер не доступен по сети со стороны резервируемых машин.
                                — вылизанный годами rsync позволяет создавать снимки бэкапируемых каталогов, место будут занимать только изменившиеся файлы.
                                — даже виндовые машины можно бэкапить, на винде можно запустить ssh, а rsync умеет работать через него.
                                — скрипт — в крон/systemd.timer
                                Всё.
                                  –1
                                  Вот как раз такой широкоизвестный и не особо защищенный инструмент как rsync — запросто может быть шифровальщиками «накрыт»
                                    0
                                    Во-первых, не настолько широко, чтобы шифровальщики его использовали.
                                    Во-вторых, каким образом они его используют? Доступа с резервируемых машин к бэкап серверу не должно быть ни на уровне сети (фильтрация портов, dmz), ни на уровне «приложения» (ключи аутентификации, закладки, и тп).
                                    Поэтому, или уже расшифруйте ваше «запросто накрыт», может мы чего не знаем, или не говорите впустую.
                                      0

                                      А можно с этого места поподробнее? Просто, не могу понять, как можно запороть бэкап порчей rsync'а на стороне системы, которую бэкапят. У меня получаются варианты, что процесс бэкапа рушится и выдаётся предупреждение админу, либо идёт замена всех файлов, но в этом случае всегда можно взять предыдущую купию файлов.
                                      Единственный вариант, как порушить бэкап, так это заразить систему, которая хранит бэкапы, но предыдущий комментатор это учёл и указал, что "Бэкап сервер не доступен по сети со стороны резервируемых машин."

                                      0
                                      Согласен на все 100%. Немного дополню из продакшена:
                                      Бсервер на Linux.
                                      На источниках данных шаринг правами RO.
                                      bash скрипт, монтирует шаринги, забирает данные rsync на основе различия размера и времени модификации.
                                      12 (4+4+3+1) внешних USB 3.0 дисков с luks.
                                      Доступ к Бсервер только у админов по ssh-sftp/ключи.
                                      После создания суточного бэкапа сервер выключается, будится биосом в нужный момент бэкапа.
                                      Админ по потребности будит сервер через wol
                                      +1
                                      Как я понимаю вариантов воздействия шифровальщика на систему резервного копирования два:
                                      — автоматически заменяются рабочие копии файлов на зашифрованные
                                      — используя дыру в системе бекапа шифровальщик внедряется в систему резервного копирования и портит там все напрямую.
                                      Второй вариант возможен (один пример известен), но честно говоря маловероятен. Для его парирования нужно использовать две разных системы резервирования, а также периодически контролировать состояние бекапов.
                                      Гораздо более вероятен первый вариант. Пройдемся по предлагаемым мерам защиты
                                      — Имейте резервные копии, хранящиеся offline (без подключения к инфраструктуре). Если состояние резервных копий не контролируется, то хоть на луне хранить — испорченные копии попадут и в оффлайн
                                      — Используйте для хранения бэкапов СХД с разными файловыми системами. Если система резервного копирования работает автоматически, то какая разница шифровальщику на какую ФС попадут испорченные данные?
                                      — По возможности создавайте аппаратные снимки СХД резервных копий. Не понимаю, как это может помочь в предотвращении атак шифровальщиков
                                        0
                                        Пришла в голову такая мысль, а ведь большинство из этих вирусов шифруют файлы определенного типа, кто-то ориентировал вирус на фото, тобиш на рядового пользователя больше, кто-то на файлы бухгалтерии, бэкапы и так далее…
                                        Довольно не плохо защищать файлы простым удалением расширения в имени файла, что бы вирус пропускал файл при поиске…
                                          0
                                          Этот метод будет годен ровно до тех пор, пока не станет популярным. То бишь он уже не годен.
                                            0
                                            Вроде бы на Ignite была занятная сессия от Полы Янушкевич по уменьшению вреда от малвари. Одним из советов было создание зацикленного симлинка в профиле, чтобы шифровальщик застрял на нём.
                                              0
                                              И этот метод будет годен ровно до тех пор, пока не станет популярным. То бишь он уже не годен.
                                                0
                                                Это догадка или есть анализ зловреда с обходом подобных трюков?
                                                  0
                                                  Ну вот сами подумайте. Способ годный, и начинает набирать популярность. Будучи автором зловреда в такой ситуации, вы бы сами не сделали обход этого метода? Технически то это возможно.
                                                    0
                                                    Он может иметь популярность у айтишников (которые не являются ЦА шифровальшиков), а обычные люди такой ерундой не занимаются. Плюс низкая культура разработки у авторов зловредов не позволяет отвлекаться на малополезные рюшечки.
                                                      0
                                                      Вы говорите о вирусе, основная ЦА которого — обычные пользователи, а решение предлагаете, нацеленное на айтишников. Определитесь.

                                                      Мы можем надеяться на низкую культуру авторов разработки конкретно этих зловредов. Но есть зловреды с весьма впечатляющей культурой. Этим авторам технически ничто не мешает писать шифровальщики.

                                                      Рюшечки остаются рюшечками, пока они не влияют на доход. Если зацикленную симлинку начнут по умолчанию создавать во всяких пиратских сборках винды (как один из твиков, например, в свое время это было отключение автозапуска на флешках), то оно перестанет быть рюшечкой, и даже автор с низкой культурой разработки позаботиться о фиксе.
                                          0
                                          Хорошая статья, полезная, особенно первый пункт о том что для бэкапа надо использовать отдельную учётку… так почему же тогда вы, разработчики не даёте использовать такую возможность в своём Veeam backup agent?
                                            0

                                            В агенте при бэкапе на сетевую шару можно указать отдельную учетку для доступа к ней. Главное не дать Windows запомнить пароль для шары (Windows предложит и нужно отказаться).

                                          Only users with full accounts can post comments. Log in, please.