El ransomware ha vuelto a colocar la copia de seguridad y la recuperación firmemente en la agenda corporativa. Sin una estrategia sólida de respaldo y recuperación, las organizaciones tienen pocas posibilidades de sobrevivir a un ataque de ransomware, incluso si pagan el rescate.
IBM, por ejemplo, nombró al ransomware como la principal amenaza de seguridad cibernética en 2021, lo que representa el 23% de todos los ataques cibernéticos.
Esto ha obligado a los CIO a repensar sus estrategias de respaldo y recuperación, dice Barnaby Mote, director general del proveedor de respaldo en línea Databarracks. «La paradoja es que el ransomware ha vuelto a centrar la copia de seguridad y la recuperación», dice. «Si miras hacia atrás cinco años, era un problema de higiene y no estaba en la agenda del CIO o del CEO. Ahora es así otra vez”.
Los ataques de alto perfil contra organizaciones como la compañía naviera Maersk y la red petrolera estadounidense Colonial Pipeline han llamado la atención sobre los riesgos de este tipo de ataques cibernéticos y han llevado a las organizaciones a invertir en defensas cibernéticas.
Pero el ransomware se está volviendo más inteligente, con ataques de raqueta dobles y triples y técnicas que permiten que el malware pase desapercibido por más tiempo. Esto ejerce presión sobre la otra defensa clave contra el ransomware: buenas copias de seguridad.
«El otro factor que ha cambiado drásticamente es que una infección de ransomware no siempre se activa de inmediato», dijo Tony Lock, analista de Freeform Dynamics. «Es posible que descubra que el ransomware estaba en su sistema mucho antes de que se diera cuenta, pero solo ahora lo activaron y todo está encriptado».
Como resultado, las organizaciones deben retroceder más en el tiempo para encontrar copias de seguridad limpias y extender los objetivos de punto de recuperación (RPO) hasta el punto en que el negocio esté en riesgo, o sus ejecutivos podrían incluso sentir que tienen que pagar el rescate. «¿Hasta dónde tiene que ir», dice Lock, «para restaurar sus copias para asegurarse de no traer la infección de vuelta con usted?»
Copias de seguridad en riesgo
Como sugiere Lock, uno de los mayores riesgos en un ataque de ransomware es volver a infectar los sistemas desde una copia de seguridad comprometida. Algunas de las herramientas confiables de respaldo y recuperación y continuidad comercial de la industria ofrecen poca protección contra el ransomware.
Las instantáneas registran el estado en vivo de un sistema en otro lugar, ya sea en las instalaciones o en la nube. Entonces, si el ransomware golpea el sistema de producción, hay muchas posibilidades de que se replique en la copia.
Los sistemas de respaldo tradicionales enfrentan el mismo riesgo al copiar archivos comprometidos a la biblioteca de respaldo. Y los autores de malware adaptan el ransomware para apuntar activamente a las copias de seguridad, evitar la recuperación de datos o atacar inmediatamente cualquier intento de usar archivos recuperados a través del cifrado.
Algunos ransomware (Locky y Crypto, por ejemplo) ahora eluden los sistemas de producción por completo y acceden a las copias de seguridad directamente, sabiendo que hacerlo causará un daño real a la víctima. Esto ha obligado a las empresas a reexaminar sus estrategias de copia de seguridad.
Copias de seguridad inmutables
Una opción es usar las llamadas copias de seguridad «inmutables». Son copias de seguridad que, una vez escritas, no se pueden modificar. Los proveedores de copias de seguridad y recuperación crean copias de seguridad inmutables en su tecnología y, a menudo, apuntan específicamente al ransomware.
El método más común para crear copias de seguridad inmutables son las instantáneas. En algunos aspectos, una instantánea siempre es inmutable. Sin embargo, los proveedores toman medidas adicionales para evitar que estas copias de seguridad sean atacadas por ransomware.
Por lo general, esto se hace asegurándose de que la copia de seguridad solo pueda ser escrita, montada o eliminada por el software que la creó. Algunos proveedores van incluso más allá, por ejemplo, requieren que dos personas usen un PIN para autorizar la sobrescritura de una copia de seguridad.
El problema con las instantáneas es la cantidad de datos que crean y el hecho de que esas instantáneas a menudo se escriben en el almacenamiento de nivel 1 para aumentar la velocidad y reducir las interrupciones. Esto hace que las instantáneas sean costosas, especialmente cuando las organizaciones necesitan mantener copias de seguridad que duren días o incluso semanas para protegerse contra el ransomware.
«El problema con la recuperación de instantáneas es que crea una gran cantidad de datos adicionales», dice Mote de Databarracks. «Funcionará, pero tiene un gran impacto en el almacenamiento que necesita y hay un costo para colocarlo en el almacenamiento principal».
entrehierro
Otra forma de protegerse contra el ransomware es «romper» el almacenamiento, especialmente las copias de seguridad. En cierto modo, esta es la opción más segura, especialmente cuando las copias de seguridad se almacenan fuera del sitio en medios WORM (solo escritura), como discos ópticos o incluso cintas.
«Personalmente, me gustan los espacios de aire», dice Lock of Freeform. «Quiero que la copia de seguridad de algo sea completamente air-gap: obtenga una copia en cinta y guárdela en algún lugar. Mejor con espacios de aire lógicos y físicos”.
La desventaja del espacio de aire, especialmente el espacio de aire físico con almacenamiento externo, es el tiempo que lleva recuperar los datos. El tiempo de recuperación puede ser demasiado largo para garantizar la continuidad del negocio. Y cuando los equipos de TI tienen que examinar varias generaciones de copias de seguridad para encontrar copias libres de ransomware, el costo de recuperar los datos perdidos puede ser alto, quizás incluso mayor que el costo del rescate.
«El momento de la recuperación a gran escala ahora es crítico», dijo Patrick Smith, CTO de campo, Europa, Medio Oriente y África (EMEA) en Pure Storage. «Esto puede significar soluciones específicas para las aplicaciones críticas para el negocio que primero deben estar en línea».
Los proveedores están tratando de evitar esto a través de la tecnología de espacio de aire virtual, que permite que las copias de seguridad se almacenen en un almacenamiento local (o en la nube) más rápido. Pero para las organizaciones con los datos más críticos, incluso si se trata de una segunda o tercera línea de defensa, es probable que solo las copias de seguridad completamente inmutables y de espacio aéreo sean suficientes.
Defensa en profundidad: copias de seguridad y herramientas de seguridad
Sin embargo, los CIO también buscan mejorar sus herramientas de copia de seguridad con medidas de seguridad dirigidas específicamente al ransomware.
Quizás el mayor riesgo para una organización con una sólida política de copias de seguridad es volver a infectar los sistemas sin saberlo con ransomware oculto en las copias de seguridad.
Las empresas deben tomar medidas para escanear las copias de seguridad antes de restaurarlas en un entorno de recuperación, pero incluso eso lleva tiempo. Y los autores de malware son expertos en ocultar sus huellas.
La detección de anomalías es una forma que los proveedores están explorando para verificar que las copias de seguridad sean seguras. Según Lock de Freeform Dynamics, las herramientas de aprendizaje automático son mejores para detectar cambios en los datos que podrían ser malware. Este tipo de tecnología se está volviendo cada vez más importante a medida que los atacantes recurren a ataques de crimen organizado dobles y triples.
«Necesita hacer que la privacidad, la observabilidad y la verificación de anomalías sean un proceso continuo», dice.