Proteção de Backup Contra Ransomware com o Bacula Enterprise
Fale com a Bacula agora mesmo para descobrir por que o Bacula Enterprise é a solução de backup mais forte e segura do mercado contra Ransomware.
O Ransomware tem afetado seriamente milhares de organizações em todo o mundo, em mais de 150 países. A frequência dos ataques aumentou mais de 900% em 2020, e essa infeliz tendência dá indícios de que continuará até 2021 e 2022: com crescente sofisticação. Por exemplo, já existe um malware que realmente procura por sistemas de backup fracos e codifica os próprios dados do backup.
Uma estratégia completa de cibersegurança só pode ser alcançada usando um sistema de backup e recuperação que tenha a capacidade de ser devidamente assegurado: O Bacula Enterprise.
Para que uma empresa consiga proteger seus recursos contra ransomwares, é necessário que haja preparação prévia e reflexão. Tecnologias de proteção de dados, melhores práticas de backup e treinamento de pessoal são fundamentais para mitigar o perigo que os ataques de ransomware podem infligir aos servidores e computadores de backup de uma organização.
Uma das melhores proteções contra esses ataques é ter uma solução de backup de nível corporativo com a arquitetura certa, usar estratégias e melhores práticas de backup e assegurar que quaisquer backups em nuvem estejam adequadamente protegidos e disponíveis. Isso significa ter cópias atualizadas desses dados disponíveis em outros lugares. Um backup de dados, armazenamento e conformidade prática corretos podem ser a principal diferença entre a sobrevivência e a falha de uma empresa. Logo a seguir, estão as 7 melhores estratégias de proteção contra ransomware do sistema Bacula para servidores de backup:
Top 7 Estratégias de Proteção Contra Ransomware para Servidores de Backup
Importante: Os principais componentes do Bacula funcionam no Linux. Por favor, não subestime o significado disso quando se trata de segurança. Além disso, logo a seguir estão algumas outras considerações técnicas específicas para o ambiente de TI de sua empresa, que visam proteger seu servidor de backup contra futuros ataques de ransomware:
1. Use credenciais diferentes, exclusivamente para o armazenamento de backup
Essa é uma boa prática básica e, com a quantidade crescente de ataques de ransonware a servidores de backup, mais necessária do que nunca. O contexto do usuário que é usado para acessar o armazenamento de backup deve ser completamente confidencial e utilizado apenas para esse fim. Além disso, outros contextos de segurança não devem poder acessar o armazenamento de backup, exceto para a(s) conta(s) necessária(s) para as operações de backup propriamente ditas.
Evite trabalhar como root ou administrador. Use contas de serviço que sejam o mais restritas possível, sempre que possível. Por padrão, o Bacula implanta a autenticação no projeto e permite ao usuário implementar a maior separação possível das cargas de trabalho. Por exemplo, sua instalação padrão assegura que seus daemons funcionem com contas de serviço dedicadas.
2. Adicione o armazenamento offline à estratégia de backup
O armazenamento offline é uma das melhores defesas contra a propagação da criptografia de ransonware ao armazenamento de backup. Há uma série de opções de armazenamento offline (e semi-offline) que podem ser empregadas:
| Tipo de mídia | Pontos importantes |
| Backups em nuvem | Estes usam um mecanismo de autenticação diferente. Não estão diretamente ligados ao sistema de backup. |
| Snapshots do armazenamento primário | É melhor que tenham uma estrutura de autenticação diferente. Esses snapshots podem ser usados para a recuperação. |
| VMs replicadas | Melhor quando controlado por uma estrutura de autenticação diferente, como o uso de domínios diferentes, por exemplo, hosts vSphere e Hyper-V, e desligados. |
| Discos rígidos/SSD | É melhor separados, não montados, ou offline, a menos que estejam sendo lidos ou gravados. |
| Fita | É impossível ficar mais offline do que usando fitas que foram descarregadas de uma biblioteca de fitas. Elas também são convenientes para armazenamento externo. As fitas devem ser criptografadas. |
| Aparelhos | Os aparelhos, sendo caixas pretas, precisam ser devidamente protegidos contra o acesso não autorizado. É aconselhável aplicar uma segurança de rede mais rigorosa do que com servidores de arquivos regulares, pois os aparelhos podem ter mais vulnerabilidades inesperadas do que os sistemas operacionais comuns. |
3. Utilize tarefas de cópia de backup para ajudar a mitigar o risco
A tarefa de cópia de backup é um grande mecanismo para ter pontos de restauração criados em armazenamentos diferentes, e com regras de retenção distintas das tarefas de backup comuns. Quando os pontos anteriores que discutimos são incorporados, a tarefa de cópia pode ser um mecanismo valioso em uma situação de ransonware, porque possibilita o uso de diferentes pontos de restauração.
4. Não confie em diferentes sistemas de arquivo para proteger o armazenamento de backup
Embora a existência de diferentes protocolos envolvidos possa ser outra forma de impedir a propagação de ransonwares, esteja ciente de que isso certamente não é garantia contra esses ataques. Mesmo que os ransonwares, ou vírus, de hoje não possam funcionar, digamos, em sistemas de arquivos ext4, os de amanhã com certeza vão conseguir. Portanto, confie na segurança adequada: o armazenamento de backup deve ser inacessível na medida do possível, e deve haver apenas uma conta de serviço em máquinas conhecidas que precisam ter acesso a eles. A localização dos sistemas de arquivos usados para armazenar dados de backup deve ser acessível apenas pelas contas de serviço relevantes. Não há nenhuma razão pela qual usuários finais de diferentes sistemas devam ter permissão para acessá-los. Usar outro conjunto de credenciais para permitir acesso a sistemas de arquivos compartilhados, por exemplo, para snapshots, ações offline, ou armazenamento em nuvem, é uma abordagem inerentemente insegura, e todas elas devem ser restritas exclusivamente à conta de serviço de backup.
5. Certifique-se de usar a regra 3-2-1-1
Seguir a regra 3-2-1 significa ter três cópias diferentes de seus dados, em dois meios diferentes, um dos quais está em um local externo. O poder dessa abordagem é que ela pode tratar de quase qualquer cenário de falha e não requer nenhuma tecnologia específica. Na era dos ransonwares, a Bacula recomenda que se acrescente outro “1” à essa regra, colocando um dos meios de comunicação offline. As opções de armazenamento offline listadas acima destacaram uma série de opções onde você pode implementar uma cópia offline ou semi-offline dos dados. Na prática, sempre que você faz backup de itens que não são do sistema de arquivos, já está perto de atingir essa regra. Portanto, fitas e armazenamento de objetos em nuvem são úteis para você. Colocar as fitas em um cofre depois que elas são gravadas é uma boa prática de longo prazo.
Os armazenamentos em nuvem podem agir como armazenamentos semi-offline a partir de uma perspectiva de backup. Nesse caso, os dados não são armazenados no local, e o acesso a eles requer protocolos personalizados e autenticação secundária. Alguns provedores de nuvens permitem que o objeto seja colocado em um estado imutável, o que satisfaria a exigência de evitar que eles sejam danificados por um invasor. Como em qualquer implementação de nuvem, uma certa quantidade de confiabilidade e risco de segurança é aceita confiando ao provedor da nuvem dados críticos. Mas, como fonte secundária de backup, a nuvem é muito convincente.
6. Cuidado com o uso de snapshots no armazenamento de backup
Os snapshots de armazenamento são úteis para recuperar arquivos apagados até um certo ponto no tempo, mas eles não são backups propriamente ditos. Os snapshots de armazenamento tendem a carecer de gestão avançada de retenção, relatórios, e todos os dados ainda são armazenados no mesmo sistema e, portanto, podem ser vulneráveis a qualquer ataque que afete os dados primários.
7. Assegure-se de que você pode realizar uma recuperação bare metal de todos os sistemas
A recuperação bare metal é feita de muitas maneiras diferentes. Muitas empresas simplesmente implantam uma imagem padrão, fornecem um software, e depois restauram os dados e/ou preferências do usuário. Em muitos casos, todos os dados já são armazenados remotamente e o sistema em si não é importante. No entanto, muitas vezes, essa não é uma abordagem prática e a capacidade de restaurar completamente uma máquina até um ponto no tempo é uma função crítica da implementação da recuperação de desastres. A capacidade de restaurar um computador criptografado por um ransomware a um ponto no tempo recente, incluindo quaisquer dados de usuários armazenados localmente, pode ser uma parte necessária de uma defesa em camadas. A mesma abordagem pode ser aplicada a sistemas virtualizados, embora geralmente haja opções preferíveis disponíveis no hypervisor.
Conclusão
Para a máxima proteção do seu backup contra ransomwares e ameaças similares, o principal conselho da Bacula Systems é que sua organização esteja em total conformidade com as melhores práticas de backup e recuperação de dados listadas acima. Os métodos e ferramentas descritos anteriormente são usados regularmente pelos clientes da Bacula Systems.
O Bacula é o único no setor de backup e recuperação ao proporcionar níveis de segurança extremamente altos, e um fator especialmente importante na resistência do Bacula a ataques, é a sua arquitetura de segurança superior. Essa arquitetura de alta segurança consiste em alguns dos principais elementos de design de segurança, dos quais alguns são listados abaixo:
◾ O módulo central do Bacula funciona no Linux, ao contrário de muitos outros fornecedores
◾ O cliente que fará o backup nunca tem conhecimento de metas de armazenamento e não tem credenciais para acessá-las
◾ Os sistemas de armazenamento e Storage Deamon são sistemas dedicados, estritamente seguros, permitindo apenas o tráfego relacionado com o Bacula (e o acesso administrativo) e nada mais.
◾ O “Director” do Bacula (módulo de administração central), é um sistema dedicado com o mesmo acesso restritivo
◾ O Director do Bacula inicia toda a atividade e, em particular, entrega credenciais de acesso único aos clientes e, junto com isso, só permite a atividade relacionada ao próprio Bacula
◾ O Bacula Enterprise não oferece acesso direto dos clientes ao armazenamento, pois isso não está no protocolo. Assim, até mesmo um cliente comprometido não pode acessar nenhum dado de backup, nem para ler, sobrescrever, modificar ou apagar.
◾ O Bacula tem autenticação multi-fator (MFA).
Logo a seguir, estão alguns pontos importantes adicionais que nossos clientes disseram que tornam o Bacula especialmente atraente para eles, muitas vezes no contexto da proteção contra ransomwares:
◾ Conformidade com o FIPS 140-2
◾ Verificação da confiabilidade dos dados de backup existentes
◾ Detecção de Corrupção Silenciosa de Dados
◾ Cifra de criptografia de dados (AES 128, AES192, AES256 ou blowfish) e algoritmo digest
◾ Uso automático do TLS para todas as comunicações da rede (também pode ser desativado)
◾ Verificação de arquivos previamente catalogados, permitindo uma capacidade Tripwire like (detecção de invasão do sistema)
◾ Autenticação de senha CRAM-MD5 entre cada componente (daemon)
◾ Criptografia configurável das comunicações TLS(SSL) entre cada componente
◾ Dados configuráveis (em volume) criptografados com base em cliente por cliente
◾ Cálculo das assinaturas MD5 ou SHA1 dos dados do arquivo, se solicitado
◾ Sistema de Arquivos com Criptografia do Windows (EFS)
◾ Recurso de volume em disco imutável para promover maior proteção contra ransomwares
◾ Opção de integração com diretório LDAP como arquitetura central para promover proteção extra
◾ Suporta quase todos os tipos de armazenamento em fita
◾ Criptografia de Storage Daemon
◾ Integração SIEM
◾ Módulo de segurança dedicado ao Windows
◾ Proteção automática contra malware (backup, restaurar, verificar)
◾ Métricas de segurança melhoradas e enriquecidas
◾ Módulo de integração de monitoramento SNMP
◾ Suporte de imutabilidade NFS (Netapp SnapLock)
O Bacula Enterprise também adere à importante “regra 3-2-1-1” oferecendo uma compatibilidade especialmente ampla com diferentes tecnologias de fita, nuvens e outros meios de armazenamento externo. Além disso, a ferramenta de recuperação bare metal do Bacula está disponível tanto para servidores Linux quanto Windows, e permite que uma organização realize uma recuperação segura e confiável em caso de desastre.
Para empresas sem soluções avançadas de backup de dados, a Bacula Systems recomenda que essas organizações realizem uma revisão completa de sua estratégia de backup e a avaliem adotar uma solução moderna de backup e recuperação. Fale conosco agora para saber como a Bacula pode ajudar você.
