guide till ett bättre återställningsskydd mot Ransomware

av | Cybersäkerhet, Datacenter

Under 2021 har det skett ett antal uppseendeväckande ransomwareattacker som skakat om även vanligtvis trygga och naiva svenskar. Nya sätt att få in skadlig kod i företags infrastruktur har överraskat och skrämt upp många företags IT-avdelningar och ledare. Ändrade arbetssätt i pandemins fotspår har öppnat nya ”möjligheter” för intrång och säkerhetsbrister har blivit svårare att identifiera. I korthet har konsekvenserna av cyberbrott klättrat på de flesta människors medvetandelista!

Du kommer bli drabbad

Ju snabbare du kommer till insikt om att du inte kommer bli förskonad och att det inte bara ”händer andra”, desto större chans har du och ditt företag att överleva.

Och det handlar oftare och oftare om just överlevnad. Eftersom många drabbade inte hade en plan för skydd och återställning så valde de att betala. Med konsekvensen att de ger den kriminella världen resurser att utveckla och förfina sina verktyg, men även höja priset för att lämna tillbaka din data.

Bilden är från Veeams webinar ”Cybersecurity experts talk: The Knowledge You Need to Beat Ransomware” https://www.veeam.com/videos/cybersecurity-beat-ransomware-17433.html?rwty

Återställningen

Idag kommer jag koncentrera mig på konsekvenserna, eller hur man undviker det jag vill kalla Insiktsbesvikelsen. Mina kollegor berättar i separata artiklar hur ni skyddar er mot att drabbas i första läget, men som ni vet är jag mer av en server-/lagringsarkitekt och koncentrerar mig på det jag kan bäst.

Och det är faktiskt inte svårt att sätta upp ett adekvat skydd mot konsekvenserna för en bråkdel av priset av att betala lösen! Här är några enkla steg för att drastiskt förbättrade era odds:

  1. Planera för återställning – En färdig strategi, regelbundet testad, för katastrofåterställning är enda kvittot på att ni kommer klara det.
  2. Designa för återställningen – Välj design samt hård- och mjukvara som klarar era krav på hur ofta ni behöver ta backup(RPO) och hur snabbt ni behöver vara igång igen(RTO)
  3. Automatisera – Ju mer av katastrofåterställningen som kan automatiseras, desto snabbare går det och desto fler mänskliga riskfaktorer undanröjes

Vägen till den perfekta lösningen

Att säga så låter pretentiöst, och kanske tas som en utmaning av kollegor i branschen. Men följande förslag bygger på min erfarenhet, är skalbara och relativt enkla att implementera.

Immutability

Innan vi börjar vill jag nämna Immutability, eller Object Lock. I korthet betyder det att under en period kan inte filen/objektet manipuleras. Inte ens med administratörsrättigheter kan det manipuleras, vilket gör det skyddat mot kryptering och borttagning. Och ligger det ”air-gapped”(fysiskt skiljt från primärlagringen), i t.ex. public cloud, så kan inte ens mediet förstöras. Funktionen finns vanligtvis i objektlagring, men varianter förekommer i andra lagringstyper.

Tiered Repositories

Kraven på åtkomst av backupdatat ändras givetvis med tiden. För att bygga en lösning som hanterar datalagring under alla livscykler så behöver skapa olika lösningar(tiers) som möter de olika kraven på bästa/billigaste sätt. Ni har säkert hört talas om 3-2-1-0.

I följande förslag har jag använt Veeams Scale-Out Backup Repository(SOBR), för jag tycker det är en vackrare lösning på Tiered Repositories.

Performance Tier

Här bör de dagliga jobben landa först och stanna max 14 dagar. Det är härifrån 99% av alla återställningar sker och med stor sannolikhet även en katastrofåterställning. Välj lösning efter datamängd och krav på RTO, men vill du ha Immutability till ett lågt pris (men med krav på lite mer komplexitet/kompetens) så väljer du en standardserver med snabbt disksystem och följer Veeams guide för att skapa ett Linux Hardened Repository https://helpcenter.veeam.com/docs/backup/vsphere/hardened_repository_deploy.html?ver=110

Historiskt har Veeam rekommenderat att INTE använda Deduplicating Appliances, som t.ex. StoreOnce, som performance tier. Men min erfarenhet är att med upp mot 20-30TB kritiskt data att skydda är prestandan tillräcklig för att blåsa upp (från deduplicerat) och återställa inom rimlig tid. Dessutom är Catalyst ett proprietärt protokoll som skyddar dig från automatiska krypteringar/raderingar och ger bra valuta för pengarna. Som om inte det vore nog så kommer StoreOnce Gen4+ i september med en ordentlig prestandaökning med hjälp av lite flashdisk! Och sen får vi se när Veeam får stöd för StoreOnce inbyggda Immutability…

Stora datamängder/RTO-krav och budget tycker jag bör titta på lösningar från Pure eller ExaGrid.

Har du under 5TB data att skydda och väldigt låga krav på prestanda kan du välja ett ful-NAS som Synology, men varken jag eller Veeam rekommenderar det, inte bara för den kassa prestandan.

Capacity Tier

Hit kopierar du och behåller datat upp till 30-60 dagar. Skall du använda Immutability så måste det vara ett objektlager. Kan du inte nyttja Public Cloud så finns möjligheten att sätta upp ett on-prem objext storage med t.ex. MinIO (https://min.io/) på standardservrar och disk. I bilden ser ni att bara AWS och S3 on-prem har Immutability, och det stämmer idag.

Archive Tier

Till sist har vi kyrkogården där sådant placeras som förmodligen aldrig kommer röras. Det är GFS-backuper(månads-/kvartals-/årsbackuper) som flyttas från Capacity Tier till en extremt billig lagring som vi kallar Archive Tier. Veeam har endast stöd för Immutability på AWS idag, men en Azure Blob Storage är ett bra och billigt alternativ.

Så, nu är ni 100% säkra mot Ransomware!

Eller inte. Givetvis är detta endast en pusselbit i helheten, och hur bra backuperna än går så finns det alltid anledning att testa, utveckla, uppdatera och förbättra sin katastrofplan efter nya förutsättningar.

Om du tycker ovanstående låter jättekrångligt eller sjukt tråkigt så kan jag trösta dig med att det finns idioter som jag som tycker det är kul med säkerhet. Hör av dig så löser vi det tillsammans!