И целого бэкапа мало

Слово «шифровальщик» (а также ransomware, вымогатель и другие подобные слова), кажется, выучили уже даже малые дети – его каждую неделю по нескольку раз повторяют все компании, занимающиеся безопасностью, газеты, журналы и прочие медиа. Годом шифровальщиков было называли 2016-й, потом оказалось, что 2017-й оказался в этом плане еще ярче. В 2018-м и 2019-м вроде стало поспокойнее, но наступил 2020-й – и про вымогателей снова слышно буквально отовсюду.

У нас на корпоративном блоге про шифровальщиков написаны десятки материалов – и почти в каждом есть три универсальных совета:

1. Используйте хорошую защиту.
2. Не скачивайте всякие подозрительные файлы с подозрительных сайтов и не открывайте подозрительные почтовые вложения в письмах от подозрительных людей. И еще научите этому сотрудников.
3. Делайте бэкапы.

И периодически я слышу возражения примерно следующего характера: «Это все, конечно, хорошо и правильно, но зачем мучиться с защитой и обучением сотрудников, если можно просто бэкапиться почаще?» Дескать, все равно так и так бэкапы делаем, а если пошифрует – то быстренько восстановимся, и никакие шифровальщики нам не страшны.

Но это так не работает. И вот почему.

Из бэкапа надо уметь восстанавливаться

Делать бэкапы полезно, правильно и нужно. Но пробовали ли вы восстанавливать инфраструктуру компании из резервной копии? Это может оказаться совсем не так просто, как кажется, – и чем больше машин и разнородной инфраструктуры, тем сложнее все восстановить. Опытные айтишники наверняка сталкивались с ситуациями, когда – в тот момент, когда бэкап наконец понадобился – оказывалось, что восстановить из него получается не совсем все, не совсем так, как надо, и совсем небыстро. А иногда вообще не получается.

Те, кто наступил на все грабли резервного копирования, регулярно проверяют целостность бэкапов, периодически репетируют воскрешение сервера из мёртвых на стейджинге и вообще следят за тем, чтобы восстановление не заняло слишком много времени, если вдруг что-то случится. А те, кто никогда не пытался восстанавливаться из своих бэкапов, могут смело считать, что бэкапов у них нет вообще. Слишком велик шанс, что нормально восстановиться не получится, если раньше это делать никогда не пробовали.

С восстановлением из бэкапа есть ещё другая проблема: если сервер, на котором лежит резервная копия, живет внутри периметра сети, то шифровальщик пошифрует его вместе со всеми остальными компьютерами в этой сети – и плакали планы по восстановлению.

Мораль: сегментируйте сеть, делайте бэкапы с умом, репетируйте восстановление из них почаще. Тогда есть надежда, что в случае чего получится быстро всё откатить и продолжить работать.

Восстановление – это простой. А простой – это очень много денег

Если компания большая (а это автоматически значит, что ещё и довольно разношерстная в плане используемых устройств), то быстро восстановиться, скорее всего, не получится. Даже если бэкап нормальный и даже если бросить все силы на восстановление из него – это всё равно займет довольно много времени.

А значит, на это время остановится бизнес. А стало быть, все эти недели – да, скорее недели, чем дни, – компания будет работать вхолостую. Некоторым достаточно представить себе, в какие суммы обойдется такой простóй, чтобы сразу же заплатить кибервымогателям выкуп (что делать я категорически не советую). И всё равно простоя не избежать, потому что в момент расшифровать и запустить все системы и сервисы не получится, даже если злодеи будут так любезны и предоставят дешифратор. Да и вообще велик шанс, что расшифровать не удастся ничего, ни при каких условиях.

Мораль простая: чтобы избежать вынужденного простоя из-за шифровальщиков, надо избежать заражения шифровальщиком. То есть что? Правильно: позаботиться о защите и обучении!

Современный вымогатель хуже шифровальщика

Раньше вымогатели в основном пытались атаковать конечных пользователей – и просили за расшифровку порядка 300 долларов в криптовалюте. Но с тех пор злоумышленники, которые промышляют шифрованием, выяснили, что намного интереснее атаковать организации – и выкуп можно потребовать больше, и платит бизнес охотнее. Причём на то они и злоумышленники, чтобы атаковать даже те компании, от работы которых зависят человеческие жизни, – в этом году пошифровали немало больниц, а недавно пострадала компания из цепочки поставок вакцины от коронавируса.

И ведь они не просто шифруют – они проникают в сеть, закрепляются там и воруют все данные, до которых получается дотянуться. Дальше анализируют, разбираются – и начинают шантажировать не только шифрованием, но и утечками. Дескать, не заплатите – опубликуем личные данные ваших клиентов или какие-нибудь технологические секреты. Для компании это если не смертельно, то уж точно оставит черное пятно на репутации на долгое время. К тому же после такой утечки бизнесу придется иметь весьма неприятные разговоры с регулирующими органы, отвечающими за соблюдение GDPR и других подобных законов.

И от того, что проникший в сеть злоумышленник сольёт в Интернет корпоративные секреты или личные данные пользователей, никакой бэкап не спасёт. Более того, если вы храните бэкапы в каком-нибудь месте, куда инсайдеру довольно легко пробраться – например, в облаке, – тем больше вероятность, что из этого бэкапа и украдут всё то, чем потом будут шантажировать.

Мораль: бэкапов явно недостаточно. Что делать?

Три кита безопасности

Тут мне придется повториться, потому что никаких универсальных таблеток от шифровальщиков не изобрели, и делать надо по большому счету все то же, что и раньше. Бэкапиться все равно надо — без этого, конечно, никуда. Но делать это надо правильно, с учебными тревогами и репетициями, с пониманием, как часто вы бэкапитесь и куда. Чтобы все задействованные сотрудники знали, что именно им нужно делать, чтобы побыстрее перезапустить бизнес.

Но также надо использовать подходящую защиту – и не только реактивную, но и проактивную, и вообще стараться охотиться на угрозы до того, как они успели закрепиться в сети. Не менее важно и обучать сотрудников основам безопасности – и неплохо бы еще регулярно проверять их знания. То есть все то же, что и раньше: бэкапы, защита, обучение. Какого-то одного пункта мало – нужны все, и вместе они могут претендовать на звание оптимальной стратегии по защите от вымогателей