El ransomware es una amenaza muy coordinada y generalizada, y las defensas tradicionales están luchando cada vez más por neutralizarla. Los ataques de ransomware de hoy apuntan a la infraestructura de respaldo, inicialmente en la última línea de defensa. Antes de encerrar el entorno de producción, los delincuentes de los ciberdelincuentes criminales cuelgan su capacidad para perseguir y recuperarse, aumentando la probabilidad de pagos de rescate.
En particular, estos ataques son eliminados cuidadosamente diseñados de su defensa. Los actores de amenaza desactivan a los agentes de respaldo, eliminan las instantáneas, cambian las políticas de retención, encrypt volúmenes de copia de seguridad (particularmente aquellos que son accesibles para la red) y explotan vulnerabilidades en la plataforma de copia de seguridad integrada. Ya no están tratando de negar su acceso, también están borrando los mismos medios de recuperación. Si no se construye un entorno de respaldo con esta situación de amenaza en evolución en mente, es un alto riesgo de compromiso.
¿Cómo puedes proteger a los profesionales contra esto? Esta guía descubre estrategias débiles para explorar pasos prácticos para mantener las respaldo expuestas y mejorar las copias de seguridad en el sitio y las nubes contra el ransomware. Echemos un vistazo a cómo puede construir una estrategia de respaldo 100% confiable incluso frente a sofisticados ataques de ransomware.
Dificultades comunes que mantienen sus copias de seguridad expuestas
El aislamiento insuficiente y la falta de copia fuera del sitio o inmutable son una de las debilidades más comunes de las estrategias de respaldo. Las instantáneas y las copias de seguridad locales no son suficientes. Si reside en el mismo entorno en el sitio que el sistema de producción, puede descubrirlo, encriptarse o eliminar fácilmente por un atacante. Sin un aislamiento adecuado, el entorno de respaldo es altamente susceptible al movimiento lateral, lo que permite que el ransomware se propaguen de sistemas comprometidos a la infraestructura de respaldo.
Algunas de las técnicas de ataque lateral más comunes utilizadas para comprometer copias de seguridad son:
Ataques de Active Directory (AD): los atacantes aprovechan AD para aumentar los privilegios y acceder al sistema de respaldo. Virtual Host Takeover: los actores maliciosos aprovechan los malentendidos o las vulnerabilidades en las herramientas de invitados o el código de hipervisor para controlar el hipervisor y las máquinas virtuales (VM) que alojan la copia de seguridad. Ataques de software basados en Windows: los actores de amenaza aprovechan los servicios de Windows incorporados y el comportamiento conocido en las versiones del software de respaldo y los puntos de entrada al repositorio de copia de seguridad. Explotaciones comunes de vulnerabilidades y exposición (CVE): la CVE de alta resistencia se dirige rutinariamente a las violaciones de los hosts de respaldo antes de que se aplique el parche.
Otro gran trampa es depender de un solo proveedor de nubes para copias de seguridad de la nube. Esto crea un solo punto de falla, aumentando el riesgo de pérdida de datos. Por ejemplo, si está respaldando datos de Microsoft 365 en un entorno de Microsoft, es fácil de descubrir porque la infraestructura de respaldo y los sistemas de origen comparten el mismo ecosistema. Credenciales robadas o acceso a la interfaz de programación de aplicaciones (API) permite a un atacante comprometer ambos a la vez.
Construya la resiliencia de copia de seguridad con la estrategia 3-2-1-1-0
La regla de respaldo 3-2-1 ha sido durante mucho tiempo el estándar de oro para la protección de datos. Sin embargo, ya no es suficiente, ya que el ransomware está dirigido cada vez más a la infraestructura de respaldo. La situación de la amenaza de hoy requiere un enfoque más resistente que asumir que un atacante intenta destruir la capacidad de recuperarse.
Ahí es donde entra en juego la estrategia 3-2-1-1-1-0. Este enfoque tiene como objetivo mantener tres copias de los datos y almacenarlos en dos medios diferentes.
Figura 1: 3-2-1-1-0Backup Strategy
Cómo funciona esto:
Copiar datos: 1 producción + 2 copias de seguridad
Al hacer una copia de seguridad, es importante no confiar únicamente en copias de seguridad a nivel de archivo. Para una recuperación más completa, use copias de seguridad basadas en imágenes que capturen el sistema completo (sistema operativo (OS), aplicaciones, configuraciones, datos). Busque características como recuperación de metal desnudo y virtualización instantánea.
En lugar del software de copia de seguridad estándar, use un dispositivo de copia de seguridad dedicado (físico o virtual) para un mayor aislamiento y control. Cuando busque electrodomésticos, considere los basados en Linux endurecido para reducir las superficies de ataque y evitar vulnerabilidades basadas en ventanas y generalmente tipos de archivos específicos.
Dos formatos de medios diferentes
Para diversificar el riesgo y prevenir el compromiso simultáneo, almacene copias de seguridad en dos tipos de medios diferentes (disco local y almacenamiento en la nube).
Copia 1offsite
Asegúrese de que una copia de respaldo esté almacenada fuera del sitio y esté aislada geográficamente para proteger contra desastres naturales o ataques en todo el sitio. Use espacios de aire físicos o lógicos siempre que sea posible.
Una copia inmutable
Mantenga al menos una copia de copia de seguridad en el almacenamiento inmutable en la nube para evitar que se modifique, encripte o elimine por el ransomware o los usuarios deshonestos.
0 Error
Las copias de seguridad deben verificarse, probarse y monitorear periódicamente para garantizar que estén libres de errores y recuperables según sea necesario. Hasta que esté completamente seguro de su recuperación, su estrategia no es perfecta.
3-2-2-1-1-0 Para que su estrategia sea realmente efectiva, es importante fortalecer el entorno donde viven las copias de seguridad. Considere las siguientes mejores prácticas:
Implemente servidores de copia de seguridad en un entorno de red de área local (LAN) segura para limitar la accesibilidad. Use el principio de menor privilegio para restringir el acceso. Use el control de acceso basado en roles (RBAC) para garantizar que su cuenta de dominio local no tenga derechos de administrador en el sistema de respaldo. Redes de copia de seguridad segmentarias sin tráfico entrante desde Internet. Solo se permite un saliendo. Además, solo los sistemas protegidos deberían poder comunicarse con el servidor de copia de seguridad. Use un firewall para hacer cumplir el control de acceso a la red y use listas de control de acceso basadas en puertos (ACL) en los puertos de conmutación de red. Para implementar el cifrado a nivel de agente, los datos escritos en el servidor de copia de seguridad están encriptados utilizando una clave única que se puede generar con una frase única. Deshabilitar servicios y puertos no utilizados para reducir el número de vectores de ataque potenciales. Habilite la autenticación multifactor (MFA) (contraseña biométrica a través del tiempo (TOTP)) para todo el acceso al entorno de copia de seguridad. Mantenga su sistema de respaldo parcheado y actualizado para evitar la exposición a vulnerabilidades conocidas. Proteja físicamente todos los dispositivos de respaldo con recintos bloqueados, registros de acceso y medidas de monitoreo.
Las mejores prácticas para asegurar copias de seguridad basadas en la nube
El ransomware puede dirigirse fácilmente a las plataformas en la nube, especialmente si las copias de seguridad viven en el mismo ecosistema. Por lo tanto, la segmentación y la separación son importantes.
Segmentación de datos y separación
Para crear un verdadero espacio de aire en la nube, los datos de copia de seguridad deben residir en otra infraestructura de la nube con su propio sistema de autenticación. Evite la dependencia de los secretos y calificaciones de producción y almacenamiento. Este aislamiento reduce el riesgo de violaciones del entorno de producción que afectan las copias de seguridad.
Use una arquitectura de copia de seguridad de la nube privada
Seleccione el servicio que mueve los datos de copia de seguridad del entorno fuente a un entorno de nube alternativo, como una nube privada. Esto crea un entorno lógicamente aislado protegido del vector de acceso original, proporcionando la protección de la brecha de aire necesaria para resistir el ransomware moderno. Un entorno compartido facilita que un atacante descubra, acceda o destruya los activos de origen y de respaldo en una sola campaña.
Autenticación y control de acceso
Las copias de seguridad basadas en la nube deben usar un sistema de identidad completamente separado. Alertas sobre cambios no autorizados como MFA (preferiblemente biometría), RBAC y eliminación de agentes o cambios en las políticas de retención. Sus credenciales nunca deben almacenarse en el mismo ecosistema que están respaldados. Mantener tokens de acceso y secretos fuera de su entorno de producción (como Azure o Microsoft 365) elimina las dependencias de recuperación de respaldo.
Cómo dattobcdr garantiza el 100% de confiabilidad de recuperación para garantizar las copias de seguridad
Incluso con la estrategia correcta, la resiliencia dependerá en última instancia de la herramienta que elija. Ahí es donde se destaca la plataforma de continuidad comercial y recuperación de desastres de Datto (BCDR). Datto BCDR ofrece continuidad local y de nube con los electrodomésticos Siris y Alto y la inmutable Cloud Dutt BCDR. Asegura que las copias de seguridad siempre sean recuperables, incluso en el peor de los casos.
Figura 2: Cómo Datto BCDR proporciona continuidad comercial
Así es como Datto BCDR proporciona una recuperación garantizada:
Redundancia local y en la nube: Datto BCDR ofrece un dispositivo de respaldo robusto que funciona como un objetivo de recuperación local. Las cargas de trabajo y las aplicaciones se pueden ejecutar directamente en el dispositivo durante una falla. Si los sistemas en el plazo están en riesgo, la recuperación cambia perfectamente a la nube Datto BCDR para operaciones virtualizadas, asegurando la continuidad del negocio sin interrupción. El poder de la nube Dutt BCDR sin cambios: dedicada a la copia de seguridad y la recuperación de desastres, la nube Datto BCDR ofrece flexibilidad, seguridad y rendimiento incomparables. Más allá del almacenamiento básico fuera del sitio, ofrece protección de varias capas, lo que hace que sus datos críticos sean seguros y recuperables instantáneamente. Protección efectiva del rescate: el dispositivo de datto se ejecuta en una arquitectura de Linux endurecida para mitigar las vulnerabilidades que se dirigen comúnmente a los sistemas de Windows. También incluye la detección de ransomware incorporada que escanea activamente las amenazas antes de que comience la recuperación. Pruebas de copia de seguridad automatizadas y verificadas: la verificación automatizada de capturas de pantalla de Datto confirma que las máquinas virtuales pueden arrancar desde copias de seguridad. También realiza verificaciones a nivel de aplicación para garantizar que su carga de trabajo funcione correctamente después de una restauración, y ayuda a los equipos de TI validar la recuperación sin especulación. Las opciones de recuperación del rayo para una recuperación perfecta incluyen las siguientes características: características como la recuperación de desastres de 1 clic (DR de 1 clic) proporcionan recuperación inmediata por desastres. Copia de seguridad basada en imágenes seguras para la restauración completa del sistema. Cloud Deletion Defense ™ recupera instantáneamente las instantáneas de nubes eliminadas, ya sean accidentales o maliciosas.
¿Es hora de repensar su estrategia de respaldo?
La resiliencia cibernética comienza con la seguridad de respaldo. Antes de llegar al ransomware, pregúntese: ¿está su copia de seguridad realmente separada de su sistema de producción? ¿Puedo eliminarlo o cifrarlo con una cuenta comprometida? ¿Cuándo fue la última vez que lo probaste?
Ahora es el momento de evaluar su estrategia de respaldo a través de una lente basada en el riesgo. Identifique las brechas, fortalezca las debilidades y garantice la recuperación. No es una pregunta.
Descubra cómo Datto BCDR puede ayudarlo a implementar una arquitectura de respaldo segura y resistente creada para amenazas reales. Obtenga el precio hoy.
Source link
