Recurso patrocinado Para que tipo de desastre você prefere se preparar? Os furacões são destrutivos, mas você sabe quando um está chegando, dando-lhe tempo para tomar uma ação defensiva. Os terremotos variam em seu poder destrutivo, mas você nunca sabe quando eles vão atingir, o que significa que sua capacidade de se recuperar após o impacto é crítica.
Existe um corolário com ransomware aqui explica David Paquette , gerente de marketing de produto da Zerto, empresa de proteção contínua de dados da HPE. Os invasores de ransomware estão constantemente atacando sua organização em busca de vulnerabilidades e é apenas uma questão de tempo até que eles escapem de suas defesas de segurança.
É sua capacidade de recuperação que faz a diferença para sua sobrevivência. É por isso que as organizações precisam começar a pensar no ransomware em termos de recuperação de desastres, não apenas em termos simples de backup e recuperação, ele argumenta.
Cinco anos atrás, ele explica, a ameaça era “baby ransomware” focado em criptografar dados de arquivos. Além das defesas de perímetro e uma boa higiene de segurança, a proteção contra ransomware era “um caso de uso de backup”, com a restauração em nível de arquivo geralmente suficiente.
Agora, o ransomware e seus criadores se tornaram mais avançados, diz Paquette: ” Ele está se propagando em backups e criptografando-os ou excluindo-os. Está criptografando aplicativos inteiros, sites inteiros. E as consequências vão muito além de uma simples perda de dados.”
É importante entender que um grande parte da ameaça não é que dados e aplicativos não possam ser recuperados ou restaurados. Em vez disso, é o tempo que leva para facilitar a recuperação.
Pesquisas da gigante de seguros AIG mostram que as interrupções nos negócios devido ao ransomware geralmente duram de sete a dez dias. Mas algumas empresas podem sofrer interrupções de até 21 dias e, como diz Paquette, “muitas organizações não sobrevivem a isso”. ransomware. Está no centro das recomendações e manuais de organizações como a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e a Agência Europeia de Segurança Cibernética (ENISA).
Tradicionalmente, a defesa em profundidade equivale a várias camadas de segurança, com o objetivo de frustrar um invasor em vários pontos. Portanto, além das defesas de perímetro e da garantia de que os patches estejam atualizados, as organizações devem se concentrar no controle de acesso, escanear suas redes e software e, claro, garantir o backup de seus dados.
Quem está inovando mais rápido?
O problema, diz Paquette, é que a segurança cibernética é “a única indústria em que a escala da inovação está do lado do criminoso.” Portanto, temos que encarar o fato de que mesmo a organização mais bem defendida verá alguns ataques atingirem seus objetivos.
Uma vez que aceitamos isso, fica claro que a verdadeira defesa em profundidade significa essas múltiplas camadas de segurança precisam ser complementados com várias camadas de recuperação.
“Você precisa estar preparado para poder recuperar rapidamente e com perda de dados quase zero de várias cópias diferentes de dados, esperançosamente em diferentes plataformas , localizações diferentes e com imutabilidade”, diz Paquette.
Isso significa claramente que as práticas tradicionais de backup, contando apenas com fita off-site e off-line como destino final, não serão suficientes . Mas isso também significa que os métodos baseados em snapshots – frequentemente apresentados como a maneira mais eficiente de preservar arquiteturas de aplicativos baseados em VM – também ficam aquém.
“Técnicas de backup tradicionais, mesmo aquelas baseadas em snapshots tecnologias, não melhoraram o suficiente nos últimos 40 anos para fornecer a frequência ou pontos de recuperação ou a velocidade de recuperação necessária para o mundo digital de hoje”, explica Paquette.
Embora os instantâneos possam ser mais eficientes do que as soluções tradicionais de backup em massa, continua ele, elas ainda são disruptivas para os sistemas de produção, e é por isso que muitas organizações ainda optam por fazer o snapshot de suas VMs à noite. O que inevitavelmente significa o potencial de horas de perda de dados.
Mas o verdadeiro problema vem com grandes aplicativos abrangendo várias VMs. “Você está tirando um instantâneo de uma VM por vez e depois arquivando-a em algum lugar.” Mas a recuperação significa “Você tem que juntá-los todos como um quebra-cabeça para resolver esse aplicativo. O problema é que leva uma eternidade e não é consistente. Essa é uma grande razão pela qual as organizações levam de 10 a 12 dias para se recuperar do ransomware. ”
Ele cita o exemplo da gigante têxtil holandesa Tencate Protective Fabrics, cuja solução anterior capturou seus dados antes de ser atingida por ransomware. Mas ainda ficou com 12 horas de perda de dados e um atraso de duas semanas antes que pudesse voltar a funcionar, “porque eles estavam reconstruindo diretórios de arquivos tentando recuperar esses aplicativos”. Um ataque subsequente, uma vez instalada a tecnologia de proteção contínua de dados da Zerto, resultou em 10 segundos de perda de dados e um período de recuperação de dez minutos.
Essa diferença é porque a abordagem da Zerto se concentra na replicação no nível do hipervisor. Ele se concentra em dois componentes, o leve Virtual Replication Appliance e o Zerto Virtual Manager, que permitem e gerenciam “replicação quase síncrona em nível de bloco”. A instalação total é de cerca de 16 MB. Alterações – ou pontos de verificação no jargão de Zerto – são armazenadas em um diário por até 30 dias, o que significa que os administradores podem retroceder a qualquer ponto durante esse período.
Ser leve ajuda na recuperação
Crucialmente, isso praticamente não tem impacto nos recursos do datacenter primário, de acordo com Paquette. “Você está lendo o IO diretamente e, em seguida, replicando-o para um site secundário. Isso não toca o lado da rede, não toca o lado do armazenamento, você está usando os recursos de um site secundário.”
Esse site secundário – e cópias adicionais – podem estar no local ou na nuvem. “É o que chamamos de replicação de um para muitos. Você está apenas transmitindo os mesmos dados duas vezes para lugares diferentes, por precaução.”
Ao mesmo tempo, os dados podem ser copiado para um repositório na nuvem, como Azure ou AWS: “Você está usando cópias imutáveis que não podem ser alteradas, elas estão usando bloqueio e gravação de objetos. Portanto, mesmo que esse site secundário esteja comprometido, você tem uma terceira cópia disponível , que definitivamente não é comprometido, porque é imutável.”
Quando o Zerto é configurado, um administrador pode designar as VMs que compõem um determinado aplicativo como um Grupo de Proteção Virtual e elas são, então, replicados juntos. “Então, quando chegar o momento da recuperação, basta selecionar o ponto de verificação e todas essas VMs voltam no mesmo momento.”
Além disso, Zerto oferece várias maneiras de retenção e recuperação de dados. “Zerto DR é suas primeiras linhas de recuperação, para obter a recuperação mais rápida possível”, explica Paquette. Para um “bloqueio de criptografia básico ou recuperação em nível de arquivo. Você usa a replicação local Zerto para restaurar em segundos.”
Se VMs ou aplicativos forem afetados, a recuperação pode ser local ou de um site secundário . Se aplicativos ou sites inteiros forem criptografados, “você recupera de um site secundário, talvez um terceiro site”. Por fim, há a opção de recuperar a partir da cópia imutável dos dados.
Backup para SaaS e nativos de nuvem
Embora as VMs ainda representem a grande maioria das cargas de trabalho corporativas, elas não constituem a totalidade. A Zerto também oferece backup para SaaS e oferece proteção contínua de dados para cargas de trabalho nativas da nuvem, como aplicativos Kubernetes, e para cargas de trabalho Amazon EC2.
Os dados SaaS tornaram-se cada vez mais atraentes para hackers, principalmente porque os usuários geralmente baixam a guarda, assumindo que o fornecedor da nuvem é responsável pela proteção de dados – uma responsabilidade que eles raramente assumem.
Mais imediatamente, desde sua aquisição pela HPE no ano passado, a oferta da Zerto está em o processo de integração ao HPE GreenLake, o que significa que os usuários poderão ativar os serviços de DR da Zerto juntamente com o HPE Recovery Service por meio de um único console e sob o mesmo modelo de consumo semelhante à nuvem.
Isso disse, Paquette destaca um fator importante que não pode ser totalmente entregue à automação – testar seus procedimentos de recuperação. Isso é essencial para garantir não apenas que o ferramental faça o que deveria em uma emergência, mas que a equipe humana também faça o que deveria. Em cenários tradicionais, isso geralmente significa escolher um horário fora do pico. Para um varejista, executar um teste de recuperação em um fim de semana em fevereiro pode ser muito diferente de enfrentar um desastre real durante a alta temporada de compras em novembro e dezembro.
A resposta de Zerto é sob demanda ambiente de sandbox que permite que as organizações imitem o ambiente de produção. Isso significa que as equipes podem executar simulações de recuperação em horários de pico e em frequências mais altas.
O sandbox também sustenta o teste pós-ataque de uma recuperação ao vivo, para garantir que os dados recuperados não repropaguem malware. “Ninguém em sã consciência deve se recuperar sem testar esses dados… a última coisa que você quer é ter o mesmo problema imediatamente ou reintroduzir malware e detoná-lo novamente em algumas semanas.”
Mas essa é a natureza do ransomware. É um desastre que pode e vai ocorrer a qualquer momento. É improvável que mesmo a organização mais bem defendida seja completamente imune a todos os ataques, e um processo de restauração falho pode agravar o dano. Potencialmente fatal. Então, para ter alguma esperança de se recuperar, você precisa entender sua posição de recuperação antes de ser nocauteado.
