Backupها مولفهای اصلی در بازیابی از آلودگی به باجافزارها هستند: در صورت از دست رفتن فایلهای یک سازمان توسط یک باجافزار، آن سازمان میتواند از Backupهای خود برای بازیابی سیستم بدون نیاز به پرداخت حتی یک ریال به خرابکاران استفاده کند. تنها یک مشکل در این راستا وجود دارد: خود Backupها نیز از خطر باجافزارها در امان نیستند. نمونههای پیشرفته باجافزار دارای مکانیزمی هستند که به جستجو و رمزگذاری Backupهای ذخیره شده (چه به صورت محلی، چه بر بستر ابر) میپردازند. در صورتی که Backupها نیز رمزگذاری شوند، آنگاه احتمالا چارهای جز پرداخت باج وجود نخواهد داشت. در این مطلب، به نحوه اثرگذاری باجافزارها بر Backupهای یک شرکت پرداخته و اقدامات قابل انجام برای امن نگه داشتن Backupها را بیان خواهیم کرد.
باجافزارها چگونه Backupها را رمزگذاری میکنند؟
راههای زیادی برای آلوده شدن یکی سیستم به باجافزار وجود دارد؛ مانند ضمائم ایمیلها، لینکهای مخرب، حملات Drive-by download، حملات RDP[۱]، ابزارهای MSP و سایر نرمافزارهای Third party[۲]. پس از آلوده شدن یک نقطه پایانی[۳]، باجافزار به طور بالقوه میتواند روی هر Backup نگهداری شده روی دستگاههایی (که اجازه نوشتن بر روی آنها توسط پروتکلهای استاندارد وجود دارد) مانند NAS deviceها، سرویسهای نصب شده به صورت محلی و دستگاههای متصل شده به USB منتشر شود. راههای مختلفی برای انجام این کار توسط باجافزار وجود دارد:
۱- پخش در شبکه
ارزش Backupها مشخص است اما کسبوکارهای کوچک معمولا منابع یا تخصص لازم برای ایجاد و نگهداری یک استراتژی همه جانبه مستمر را ندارند. برای حل این مشکل، ممکن است این کسبوکارها یک رویکرد موقت مانند کپی دستی فایلهای حیاتی روی یک Hard-disc خارجی یا خودکارسازی پشتیبانگیری منظم به یک File server متصل به شبکه را به عنوان راهکاری جایگزین در پیش بگیرند.
Backupهای محلی مهم هستند؛ اما زمانی که به تنهایی مورد استفاده قرار میگیرند، تاثیرگذار نیستند. دلیل این مساله این است که بسیاری از انواع باجافزارها قادر به انتشار به صورت جانبی[۴] به سایر کامپیوترهای روی شبکه و Mapped network deriveها هستند.
۲- همگامسازی با فضای ذخیرهسازی ابری
ذخیرهسازی ابری یک راهکار رایج برای ذخیرهسازی فایلهاست؛ اما اثرگذاری چندانی برای محافظت از Backupها در مقابل باجافزارها ندارد. بسیاری از سرویسهای ذخیرهسازی ابری مانند Dropbox، OneDrive و Google Drive به طور خودکار به همگامسازی فایلهای محلی با فایلهای ذخیره شده بر روی ابر میپردازند. در نتیجه، در صورتی که کسبوکار شما به باجافزار مبتلا شود و فایلهای روی شبکه شما رمزگذاری شده باشند، فایلهای روی ابر نیز رمزگذاری شده خواهند بود.
برخی از ارائهدهندگان سرویسهای ذخیرهسازی ابری امکان نسخهبندی فایل[۵] که طی آن، چندین نسخه از یک فایل نگهداری میشود، را ارائه میکنند. در صورت استفاده از این امکان، در صورتی که فایلهای شرکت شما رمزگذاری شده باشند، به راحتی میتوان فایلها را به یک نسخه قبلی رمزگذاری نشده بازگرداند. با این حال، این ویژگی توسط همه ارائهدهندگان سرویس ذخیرهسازی ابری پشتیبانی نشده و ممکن است به صورت پیشفرض غیرفعال باشد.
۳- پاک کردن نقاط بازگردانی[۶]
بازگردانی سیستم، ابزار بازیابی داخلی ویندوز بوده که به یک مدیر اجازه بازگرداندن تغییرات اخیر در سیستم عامل را داده و در بازگردانی Driverها و فایلهای سیستمی به نسخههای قبلی مفید است. متاسفانه، بازگردانی سیستم به تهیه و نگهداری کپی از فایلهای شخصی شامل مدارک، تصاویر، ویدئوها و … نمیپردازد. این بدین معنی است که نمیتوان از این روش برای حذف اثرات رمزگذاری استفاده کرد. حتی در صورتی که بتوان به طریقی از بازگردانی سیستم برای بازیابی فایلهای شخصی استفاده کرد نیز ممکن است نگهداری نقاط بازگردانی کمکی به حل مشکل نکند. دلیل این امر این است که بسیاری از انواع باجافزارها مانند WannaCry، Cryptolocker و Locky به گونهای طراحی شدهاند که با استفاده از دستورات خط فرمان به خراب کردن و پاک کردن دادههای مورد استفاده در بازگردانی سیستم میپردازند.
امن کردن Backupها در مقابل باجافزارها
بهترین راه برای محافظت از Backupها در مقابل باجافزارها استفاده از یک رویکرد چند لایهای است.
Backupهای محلی از سرعت بالایی برخوردار بوده، بسیار کارا هستند و در زمان نیاز، به راحتی قابل دستیابی هستند. با این حال، همانطور که در بالا اشاره شد، Backupهای محلی در مقابل باجافزارها، که به طور بالقوه قادر به پخش در طول شبکه هستند، آسیبپذیرند.
ذخیرهسازی خارج از محل[۷] به طور معمول کندتر از ذخیرهسازی محلی هستند. با این حال، از آنجا که Backupهای خارج از محل بیشتر از شبکه شرکت مجزا هستند، این راهکارها قابلاعتمادتر هستند.
استفاده ترکیبی از Backupهای محلی و خارج از محل، بهترین مزیتهای هر دو رویکرد را ارائه میکند. با در نظر داشتن این نکته، سادهترین راه برای امن کردن Backupها در مقابل باجافزارها اعمال قانون ۳-۲-۱ است. این قانون قید میکند که یک کسبوکار باید:
-
حداقل سه کپی از فایلهای خود نگهداری کند.
-
کپیها را حداقل بر روی دو نوع رسانهی ذخیرهسازی متفاوت ذخیره کند.
-
حداقل یک کپی را به صورت خارج از محل نگهداری کند.
به یاد داشته باشید که همیشه از نام کاربری و گذرواژههای منحصر به فرد برای هر سیستم Backup استفاده کرده و سایر موارد امنیتی مهم در این رابطه را رعایت کنید.
حداقل سه کپی از فایلهای خود نگهداری کنید.
هر چه تعداد Backupهای یک کسبوکار بیشتر باشد، خطر کمتری برای از دست دادن دادههای آن کسبوکار وجود دارد. هدف شرکت باید نگهداری حداقل سه کپی از دادههای خود باشد. در این صورت، اگر یک کپی به دلایلی مانند باجافزار، خطاهای فنی و یا بلاهای طبیعی از بین رفت، مدیران کسبوکار میتوانند از وجود کپیهای دیگر برای بازگشت به عقب مطمئن باشند.
کپیها را حداقل بر روی دو نوع رسانهی ذخیرهسازی متفاوت ذخیره کنید.
هر دستگاهی بالاخره از کار خواهد افتاد. متنوعسازی رسانه ذخیرهسازی، خطر از بین رفتن Backupها در یک زمان را کم میکند. در زمان ذخیره Backupها به صورت محلی، از حداقل دو نوع متفاوت از رسانه ذخیرهسازی مانند Local drive، File server، NAS device یا Tape drive استفاده کنید.
حداقل یک کپی را خارج از محل نگهداری کنید.
برای حفاظت حداکثری، حداقل یک کپی از Backupها باید به صورت کاملا جدا شده از شبکه و ترجیحا به صورت offline نگهداری شود تا در مقابل باجافزار امن باشد.
گزینههای متفاوت کمی برای نگهداری خارج از محل Backupهای شرکت وجود دارد. علیرغم بهروز نبودن، سیستمهای Backup-گیری مبتنی بر Tape، به دلیل مزایایی مانند مقرون به صرفه بودن، مقیاسپذیری و ثبات بایگانی، همچنان یک راهکار محبوب در این زمینه هستند. این سیستمها به طور معمول به هیچ شبکهای متصل نبوده و درنتیجه نمیتوانند موردتاثیر باجافزارها قرار گیرند.
سرویسهای Backup-گیری ابری یک راهکار مدرن برای ایجاد و نگهداری Backupهای خارج از محل ارائه میکنند. سرویسهای Backup-گیری ابری بر روی وسایلی ایمن و هدفمند مستقر شدهاند که به طور معمول شامل کنترلهای محیطی، منبع تغذیه پشتیبان، سیستمهای اطفا حریق و … هستند.
ذخیرهسازی ابری در مقابل Backup-گیری ابری
ذکر این نکته ضروری است که سرویسهای ذخیرهسازی ابری و سرویسهای Backup-گیری ابری از یکدیگر متفاوت هستند. سرویسهای ذخیرهسازی ابری تنها برای نگهداری از فایلها طراحی شدهاند. این سرویسها احتمالا نسخهبندی فایل را ارائه نداده که این مساله منجر به آسیبپذیری دادههای ذخیره شده در برابر باجافزارها میشود. علاوهبراین، این سرویسها اجازه حفظ ساختار سیستم فایل را به شما نداده که این بدین معنی است که در صورتی که شما نیازمند بازیابی سیستم خود باشید باید دادههای خود را به صورت دستی سازماندهی کنید.
در سوی مقابل، سرویسهای Backup-گیری ابری، با در نظر داشتن بازیابی در اثر وقوع بلایا و تداوم کسبوکار ایجاد شدهاند. این سرویسها به شما اجازه حفظ ساختار سیستم فایل خود را داده و به طور معمول دربرگیرنده ویژگیهای مفیدی مانند نسخهبندی فایل، گزارش وضعیت، گزینههای زمانبندی، و روشهای رمزگذاری بهتر برای انتقال داده هستند. زمانی که صحبت از امن کردن Backupها در برابر باجافزار میشود، سرویسهای Backup-گیری ابری گزینه برتر هستند.
مدیریت دسترسی
بدون توجه به رسانهی ذحیرهسازی انتخاب شده، لازم است که دسترسی به Backupها تنها به افراد موردنیاز محدود شود. این امر، نیازمند محدودسازی دسترسی فیزیکی به Backupهای محلی با استفاده از روشهای ذخیرهسازی امن و مدیریت دسترسی بوده و دقت زیادی را در فرایند انتخاب افرادی که به Credentialهای مربوطه دسترسی خواهند داشت، میطلبد. محدودسازی دسترسی به Backupها، سطح حمله را برای باجافزارها کاهش داده و از افتادن اطلاعات حساس شرکت به دست افراد ناخواسته جلوگیری میکند.
کاهش اثرات باجافزار
یک استراتژی Backup-گیری قوی مولفهای حیاتی برای کاهش اثرات باجافزار است. با این حال، همانند هر داده دیگری، Backupها نیز میتوانند به باجافزار آلوده شوند. استفاده از ترکیبی از Backupهای محلی و خارج از محل، به کاهش خطر آلوده شدن Backupها به باجافزار کمک کرده و کسبوکار شما را در موقعیتی قرار میدهد که زمان از کار افتادگی را در صورت وقوع آلودگی کمینه کند.
[۱] Remote desktop protocol
[۲] یک نرمافزار Third party، نرمافزاری است که توسط شرکتی غیر از شرکت تولیدکننده سیستم عامل کامپیوتر ایجاد شده باشد.
[۳] End point
[۴] Laterally
[۵] File versioning
[۶] Restore points
[۷] offsite