Inicio > Sistemas de copias de seguridad para empresas > Protección de copias de seguridad contra el ransomware con Bacula Enterprise

Protección de copias de seguridad contra el ransomware con Bacula Enterprise

La creciente necesidad de protección en las copias de seguridad contra ransomware.

El ransomware ha afectado gravemente a miles de organizaciones en todo el mundo, en más de 150 países. La frecuencia de los ataques de ransomware aumentó más de un 900% en 2020 y se prevé que esta desafortunada tendencia continúe hasta 2021, y con una sofisticación cada vez mayor. Por ejemplo, ya existen algunos programas maliciosos que buscan sistemas de copia de seguridad débiles y encriptan los propios datos respaldados.

Para que una empresa proteja suficientemente sus copias de seguridad del ransomware, es necesario prepararse y reflexionar con antelación. La tecnología de protección de datos, las mejores prácticas en materia de copias de seguridad y la formación del personal son fundamentales para mitigar la interrupción de la actividad que los ataques de ransomware pueden infligir a los servidores y ordenadores de copia de seguridad de una organización.

Una de las mejores protecciones contra este tipo de ataques es contar con una solución de copia de seguridad de nivel empresarial de arquitectura correcta y utilizar estrategias de copia de seguridad con las mejores prácticas, y asegurarse de que cualquier copia de seguridad en la nube esté adecuadamente protegida y disponible. Eso significa tener copias actualizadas de esos datos disponibles en otro lugar. Las prácticas correctas de copia de seguridad de los datos, de almacenamiento y de cumplimiento pueden ser la principal diferencia entre la supervivencia y el fracaso de una empresa. A continuación, las 7 principales estrategias de protección contra el ransomware para los servidores de copia de seguridad:

Las 7 mejores estrategias de protección contra el ransomware para los servidores de copia de seguridad

He aquí algunas consideraciones técnicas específicas para el entorno informático de su empresa, con el fin de proteger su servidor de copias de seguridad contra futuros ataques de ransomware:

1. Utilizar diferentes credenciales, únicamente para el almacenamiento de las copias de seguridad

Se trata de una buena práctica básica y, con la creciente cantidad de ataques de ransomware a los servidores de copias de seguridad, es más necesaria que nunca. El contexto de usuario que se utiliza para acceder al almacenamiento de copias de seguridad debe ser completamente confidencial y sólo se debe utilizar para ese fin. Además, otros contextos de seguridad no deberían poder acceder al almacenamiento de copias de seguridad, excepto la(s) cuenta(s) necesaria(s) para las operaciones de copia de seguridad reales.

Evite trabajar como root o administrador. Utilice cuentas de servicio restringidas al máximo, siempre que sea posible. Por defecto, Bacula incorpora la autenticación en el diseño y permite al usuario implementar la mayor separación posible de las cargas de trabajo de producción. Por ejemplo, su instalación por defecto garantiza que sus demonios se ejecuten con cuentas de servicio dedicadas.

2. Haga que el almacenamiento fuera de línea (offsite storage) forme parte de la estrategia de copia de seguridad

El almacenamiento fuera de línea es una de las mejores defensas contra la propagación del cifrado del ransomware al almacenamiento de las copias de seguridad. Hay una serie de opciones de almacenamiento fuera de línea (y semi fuera de línea) que se pueden emplear:

Tipo de medio Lo importante
Copias de seguridad de destino en la nube Estos utilizan un mecanismo de autenticación diferente. No están conectados directamente al sistema de copia de seguridad.
Instantáneas de almacenamiento primario Mejor que tengan un marco de autenticación diferente. Estas instantáneas pueden utilizarse para la recuperación.
VMs replicadas Mejor cuando se controla mediante un marco de autenticación diferente, como el uso de diferentes dominios para, por ejemplo, los hosts de vSphere y Hyper-V, y el Powered off.
Discos duros/SSD Desconectados, desmontados o fuera de línea a menos que se esté leyendo o escribiendo en ellos.
Cinta No se puede estar más fuera de línea que con las cintas que se han descargado de una biblioteca de cintas. Éstas también son convenientes para el almacenamiento fuera de las instalaciones. Las cintas deben estar codificadas.
Aparatos Los electrodomésticos, al ser cajas negras, deben estar debidamente protegidos contra el acceso no autorizado. Es aconsejable una seguridad de red más estricta que con los servidores de archivos normales, ya que los aparatos pueden tener más vulnerabilidades inesperadas que los sistemas operativos normales.

3. Utilice los trabajos de copia de seguridad para ayudar a mitigar el riesgo

El trabajo de copia de seguridad es un gran mecanismo para tener puntos de restauración creados en un almacenamiento diferente y con reglas de retención distintas a las del trabajo de copia de seguridad normal. Cuando se incorporan los puntos anteriores, el trabajo de copia de seguridad puede ser un mecanismo valioso en una situación de ransomware porque hay diferentes puntos de restauración en uso con el trabajo de copia de seguridad.

4. No confíe en diferentes sistemas de archivos para proteger el almacenamiento de las copias de seguridad.

Aunque contar con diferentes protocolos puede ser otra forma de evitar la propagación del ransomware, tenga en cuenta que esto no es en absoluto una garantía contra los ataques de ransomware a las copias de seguridad. Aunque el ransomware o los virus de hoy no puedan funcionar en, por ejemplo, los sistemas de archivos ext4, los de mañana sí podrán hacerlo. Por lo tanto, confíe más bien en una seguridad adecuada: el almacenamiento de las copias de seguridad debe ser inaccesible en la medida de lo posible, y sólo debe haber una cuenta de servicio en las máquinas conocidas que necesite acceder a ellas. Las ubicaciones del sistema de archivos utilizadas para almacenar los datos de las copias de seguridad deberían ser accesibles únicamente por las cuentas de servicio correspondientes. No hay ninguna razón para que los usuarios finales de diferentes sistemas tengan permiso para acceder a ellas. Utilizar otro conjunto de credenciales para permitir el acceso a los sistemas de archivos compartidos, por ejemplo para las instantáneas, los recursos compartidos fuera de línea o el almacenamiento en la nube es un enfoque intrínsecamente inseguro: todos ellos deberían estar restringidos exclusivamente a la cuenta de servicio de copia de seguridad.

5. Asegúrese de utilizar la regla 3-2-1-1

Seguir la regla 3-2-1 significa tener tres copias diferentes de sus datos, en dos soportes distintos, uno de los cuales está fuera de las instalaciones. El poder de este enfoque es que puede hacer frente a casi cualquier escenario de fallo y no requiere ninguna tecnología específica. En la era del ransomware, Bacula recomienda añadir otro «1» a la regla en la que uno de los medios está fuera de línea. Las opciones de almacenamiento fuera de línea enumeradas anteriormente pusieron de relieve una serie de opciones en las que se puede implementar una copia fuera de línea o semi fuera de línea de los datos. En la práctica, siempre que realice una copia de seguridad en objetivos que no sean sistemas de archivos, ya estará cerca de cumplir esta regla. Por lo tanto, las cintas y los objetivos de almacenamiento de objetos en la nube le resultarán útiles. Colocar las cintas en una cámara acorazada después de haberlas escrito es una práctica recomendada desde hace tiempo.

Los objetivos de almacenamiento en la nube pueden actuar como un almacenamiento semiautomático desde la perspectiva de las copias de seguridad. Los datos no están in situ y el acceso a ellos requiere protocolos personalizados y una autenticación secundaria. Algunos proveedores de la nube permiten poner los objetos en un estado inmutable, lo que satisfaría el requisito de evitar que sean dañados por un atacante. Como ocurre con cualquier implementación de la nube, se acepta una cierta cantidad de riesgo de fiabilidad y seguridad al confiar al proveedor de la nube los datos críticos, pero como fuente de copia de seguridad secundaria la nube es muy convincente.

6. Cuidado con el uso de las instantáneas de almacenamiento en las copias de seguridad

Las instantáneas de almacenamiento son útiles para recuperar archivos borrados en un momento dado, pero no son una copia de seguridad en el verdadero sentido. Las instantáneas de almacenamiento suelen carecer de una gestión avanzada de la retención y de la elaboración de informes, y todos los datos siguen almacenados en el mismo sistema, por lo que pueden ser vulnerables a cualquier ataque que afecte a los datos primarios.

7. Asegúrese de que puede recuperar todos los sistemas desde bare metal

La recuperación de Bare Metal se lleva a cabo de muchas maneras diferentes. Muchas empresas simplemente despliegan una imagen estándar, aprovisionan el software y luego restauran los datos y/o las preferencias de los usuarios. En muchos casos, todos los datos ya están almacenados a distancia y el sistema en sí mismo carece de importancia. Sin embargo, en muchos casos este no es un enfoque práctico y la capacidad de restaurar completamente una máquina a un punto en el tiempo es una función crítica de la implementación de la recuperación de desastres. La capacidad de restaurar un ordenador cifrado por el ransomware a un punto reciente en el tiempo, incluyendo cualquier dato del usuario almacenado localmente, puede ser una parte necesaria de una defensa en capas. El mismo enfoque puede aplicarse a los sistemas virtualizados, aunque suele haber opciones preferibles disponibles en el hipervisor.

Conclusión

Para una máxima protección de su copia de seguridad contra el ransomware y otras amenazas similares, el firme consejo de Bacula Systems es que su organización cumpla plenamente con las mejores prácticas de copia de seguridad y recuperación de datos enumeradas anteriormente. Los métodos y las herramientas indicados anteriormente son utilizados por los clientes de Bacula Systems de forma habitual.

Bacula es único en el sector de las copias de seguridad y la recuperación de datos por ofrecer niveles de seguridad extremadamente altos, y un factor especialmente importante en la resistencia de Bacula a los ataques es su arquitectura de seguridad superior.  Esta arquitectura de alta seguridad consta de algunos elementos principales de diseño seguro, de los cuales se enumeran algunos a continuación:

◾ El cliente al que se le hace la copia de seguridad nunca conoce los objetivos de almacenamiento y no tiene credenciales para acceder a ellos
◾ Los hosts de almacenamiento y Storage Deamon son sistemas dedicados, estrictamente asegurados, que sólo permiten el tráfico relacionado con Bacula y el acceso del administrador, nada más.
◾ El «Director» de Bacula (módulo central de gestión), es un sistema dedicado con el mismo acceso restrictivo
◾ El Director de Bacula inicia toda la actividad y, en particular, entrega las credenciales de acceso de una sola vez a los clientes y junto con esto sólo permite la actividad relacionada con Bacula
◾ Bacula Enterprise no proporciona acceso directo de los clientes al almacenamiento; no está en el protocolo. Así, incluso un cliente comprometido no puede acceder a ningún dato de la copia de seguridad, ni para leer, ni para sobrescribir, ni para modificar, ni para borrar.

He aquí algunos factores clave adicionales que nuestros clientes nos han dicho que hacen que Bacula sea especialmente atractivo para ellos, a menudo en el contexto de la protección contra el ransomware:

◾ Conformidad con FIPS 140-2
◾ Verificación de la fiabilidad de los datos respaldados existentes
◾ Detección de la corrupción silenciosa de datos
◾ Cifrado de datos (AES 128, AES192, AES256 o blowfish) y el algoritmo de compendio
◾ Uso automático de TLS para todas las comunicaciones de la red (también se puede desactivar)
◾ Verificación de los archivos previamente catalogados, lo que permite una capacidad similar a la de Tripwire (detección de intrusiones en el sistema)
◾ Autenticación por contraseña CRAM-MD5 entre cada componente (daemon)
◾ Cifrado configurable de las comunicaciones TLS(SSL)entre cada componente
◾ Cifrado configurable de los datos (en el volumen) en función del cliente
◾ Cálculo de firmas MD5 o SHA1 de los datos del archivo si se solicita
◾ Sistema de archivos encriptados de Windows (EFS)
◾ Función de volumen de disco inmutable para una mayor protección contra el ransomware
◾ Opción de integración del directorio LDAP de la arquitectura central para una protección adicional

Bacula Enterprise también responde a la importante «regla 3-2-1-1» ofreciendo una compatibilidad especialmente amplia con diferentes tecnologías de cinta, la nube y otros medios de almacenamiento externo. Además, la herramienta de recuperación Bare Metal de Bacula está disponible tanto para servidores Linux como Windows, y permite a una organización realizar una recuperación de desastres segura y fiable.

Para las empresas que no disponen de soluciones de copia de seguridad de datos de nivel avanzado, Bacula Systems insta a estas organizaciones a realizar una revisión completa de su estrategia de copia de seguridad y evaluar una solución moderna de copia de seguridad y recuperación. Contacte con nosotros ahora para saber cómo puede ayudarle Bacula.