Ataki ransomware są szczególnie trudne, ponieważ uderzają nie tylko w dane produkcyjne, ale często także w kopie zapasowe. Jeżeli backup jest stale podłączony, dostępny tym samym kontem administratora i nie ma izolowanej retencji, może zostać zaszyfrowany lub usunięty razem z resztą środowiska. Dlatego odporność backupu trzeba projektować, a nie dopisywać po incydencie.
W artykule
Model 3-2-1 nadal działa, ale wymaga doprecyzowania
Klasyczna zasada 3-2-1 jest dobrym punktem wyjścia, ale we współczesnym środowisku warto dodać dwa warunki: co najmniej jedna kopia powinna być logicznie lub fizycznie izolowana, a część backupu powinna być niezmienna przez określony czas. W praktyce oznacza to kopie offline, WORM, immutable object storage, separację kont administracyjnych albo repozytoria niedostępne z domeny produkcyjnej.
Poziom odporności na ransomware
Wykres pokazuje orientacyjną odporność różnych sposobów ochrony danych. Im wyższy wynik, tym trudniej atakującemu zniszczyć wszystkie kopie jednocześnie.
To model poglądowy. Ostateczna odporność zależy od uprawnień, retencji, separacji kont, konfiguracji repozytoriów i regularnych testów odtwarzania.
RPO i RTO: dwa skróty, które powinien znać zarząd
RPO określa, ile danych firma może stracić, mierząc czas od ostatniej poprawnej kopii. RTO określa, jak szybko system powinien wrócić do działania. Dla dokumentów archiwalnych RPO może wynosić 24 godziny, a RTO 2 dni. Dla systemu sprzedażowego te wartości mogą być dużo ostrzejsze. Bez tych parametrów backup bywa projektowany „na oko”.
| Zasób | Przykładowe RPO | Przykładowe RTO | Praktyczny wniosek |
|---|---|---|---|
| Dokumenty biurowe | 12-24 godziny | 1 dzień roboczy | Ważne jest wersjonowanie i ochrona przed masowym usunięciem. |
| System księgowy | 1-4 godziny | 4-8 godzin | Konieczne są częstsze kopie i test odtworzenia bazy. |
| Sklep internetowy | 15-60 minut | 1-4 godziny | Backup musi uwzględniać bazę, pliki, integracje i płatności. |
| Poczta firmowa | 4-12 godzin | 1 dzień | Potrzebna jest polityka retencji i niezależne archiwum. |
| Maszyny wirtualne | 15 min - 4 godziny | 1-8 godzin | Liczy się możliwość uruchomienia usług w środowisku zapasowym. |
Czym backup różni się od synchronizacji?
Synchronizacja jest wygodna, ale potrafi błyskawicznie rozprowadzić błąd. Jeżeli użytkownik usunie katalog albo malware zaszyfruje lokalne pliki, zmiana może pojawić się także w chmurze. Backup powinien tworzyć niezależne punkty w czasie, których nie da się łatwo nadpisać zwykłą pracą użytkownika.
Synchronizacja pomaga, gdy
- pracownicy pracują z różnych miejsc,
- potrzebna jest współpraca na plikach,
- ważne jest szybkie udostępnianie dokumentów.
Backup jest konieczny, gdy
- trzeba odtworzyć stan sprzed incydentu,
- dane są zaszyfrowane lub skasowane,
- firma musi spełnić wymagania retencji.
Procedura po incydencie: najpierw nie szkodzić
Po wykryciu ransomware pierwszą reakcją nie powinno być natychmiastowe odtwarzanie na tym samym środowisku. Najpierw trzeba odizolować zainfekowane urządzenia, zabezpieczyć logi, ustalić moment pierwszych objawów, zweryfikować integralność kopii i sprawdzić, czy konta administracyjne nie są przejęte. Dopiero potem można wybrać punkt odtworzenia.
Najdroższy błąd po ataku
Odtworzenie danych do nadal skompromitowanego środowiska może spowodować ponowne zaszyfrowanie. Dlatego restore powinien być częścią procedury reagowania, a nie samotną czynnością administratora.
Wniosek: backup trzeba kupować razem z procedurą
Firmy często porównują backup po pojemności i cenie. Tymczasem prawdziwe pytanie brzmi: kto, z czego, gdzie i w jakiej kolejności odtworzy pracę firmy? Dobra usługa backupu powinna zawierać dokumentację, alerty o nieudanych kopiach, separację kont, testy odtworzeniowe oraz listę systemów krytycznych. Bez tego organizacja ma magazyn kopii, ale nie ma planu powrotu do działania.
Backup odporny na ransomware nie jest najtańszą kopią. Jest kombinacją separacji, retencji, automatyzacji, testów i spokojnej procedury działania pod presją.
Źródła i punkty odniesienia:
- CERT Polska - Poradnik ransomware - zalecenia dotyczące izolowania i testowania kopii zapasowych oraz postępowania po zaszyfrowaniu danych.
- CISA StopRansomware Guide - przygotowanie organizacji, profilaktyka i działania po incydencie ransomware.