A 2023-as adatvédelmi trendekről szóló jelentés szerint a szervezetek 85 % – a szenvedett el legalább egy kibertámadást az előző tizenkét hónapban; ez az előző évben tapasztalt 76%-hoz képest növekedést jelent. A kibertámadásokra való felkészültség és a helyreállíthatóság jobb megértése érdekében egy független kutatócég vakfelmérést végzett 1200 olyan elfogulatlan IT-vezető körében, akiknek a szervezete 2022-ben legalább egy zsarolóvírus-támadást szenvedett el – ebből 350 európai.
Ez a kibertámadást elszenvedett szervezetek körében végzett második éves felmérés, amelynek középpontjában a kibertámadásra való felkészülésben és/vagy annak elhárításában részt vevő négy különböző szerepkör nézőpontjának összehasonlítása áll:
- Biztonsági szakemberek,
- CISO vagy más IT-vezetők,
- IT-üzemeltetési szakemberek
- és biztonsági rendszergazdák.
A teljes 2023-as Ransomware Trends Report elérhető a https://vee.am/RW23 oldalon.
"Az IT biztonság közösségi összefogást igényel" ... de a szervezetek nincsenek még egységes platformon
Bár sok szervezet mondhatja, hogy „a zsarolóvírus működési katasztrófa lehet”, és ezért a kibertámadásokat is bevonja az üzletmenet-folytonossági vagy katasztrófa-helyreállítási (BC/DR) tervezésébe, a kibervédelmi csoportok közötti tényleges interakció sok kívánnivalót hagy maga után.
A többiek pedig vagy javítani szeretnének rajta, vagy még nem rendelkeznek programmal.
A felmérés szerint két területen van összhang: a költségnövekedés és a játékszabályok terén. 2023-ra a kibervédelmi megelőzés költségei 5,3%-kal, míg a biztonsági helyreállítás költségei 5,4%-kal nőttek. Ezen túlmenően, amikor az IT Incidens Kezelő Csoportokról és arról kérdezték a válaszadókat, hogy a szervezetek hogyan tervezik a helyreállításra való felkészülést, a leggyakoribb válaszok a következők voltak:
- Tiszta biztonsági másolatok, amelyek feltételezhetően olyan adatokat tartalmaznak, amelyek "túlélhetők" a támadások ellen, és nem tartalmaznak rosszindulatú kódot.
- A biztonsági mentések helyreállíthatóságának ismétlődő ellenőrzése.
A kiberbiztosítás segíthet ... persze ha elérhető az adott piacon
Világviszonylatban a váltságdíjak 77%-át biztosítási úton fizették ki 2023-ban, Európában pedig a kibernetikai bűncselekmények áldozatainak 82%-a fizetett biztosítási úton. A kiberbiztosítások azonban egyre nehezebbé és drágábbá válnak, a szervezetek 12%-a nyilatkozott úgy, hogy a zsarolóvírusok mostanra kifejezetten kikerültek a biztosításaikból. Míg a kiberbiztosítással rendelkezők jelentős változásokat tapasztaltak a legutóbbi kötvénymegújításkor:
A váltságdíj kifizetése nem biztosítja a helyreállíthatóságot
Meglepő lehet, hogy a válaszadók többsége kifizette a váltságdíjat annak ellenére, hogy a Biztonsági Szabályzata a váltságdíj elutasítását írta elő, akár a vállalati vezetés, akár egy kormányzati rendelet alapján. Ez azt jelenti, hogy még a váltságdíj kifizetése sem jelent garanciát a helyreállításra.
Sajnálatos módon a globális statisztika, miszerint a szervezetek 16%-a tudta helyreállítani magát fizetés nélkül, a tavalyi felmérés 19%-ához képest csökkent.
A sikeres helyreállítás alapja a biztonságos mentés
A kibertámadások legalább 93%-ában a bűnözők megpróbálták megtámadni a biztonsági másolatok tárolóit, ami gyakorlatilag kizárja a váltságdíj kifizetésén kívül minden más lehetőséget.
Amikor először támadják meg egy szervezet informatikai rendszerét, két lehetősége van: vagy fizet vagy visszaállít a biztonsági másolatról. A biztonsági mentési megoldás megtámadásával a támadó lényegében elveszi az áldozatai egyik választási lehetőségét.
A jó biztonsági mentés titka a másolat változtathatatlanságban (immutability) rejlik
Vannak más bevált gyakorlatok is, mint például a biztonsági mentési hitelesítő adatok biztosítása, a biztonsági mentések szkennelésének automatizálása, vagy a biztonsági mentések tényleges visszaállíthatóságának automatikus ellenőrzése stb., de a legfontosabb taktika annak biztosítása, hogy a biztonsági mentési tárolókat ne lehessen törölni vagy megrongálni. Ezt jelenti a „megváltoztathatatlanság” vagy immutabuility, és ez az adatvédelem teljes életciklusa során megvalósítható:
És ha a „túlélő” adathordozóról van szó, nehéz „hozzáférhetetlenebb” médiát választani, mint egy szalagkazetta, amelyet kivesznek a meghajtóból és fizikailag elkülönítve egy polcon tárolnak. Valójában az adatok 47%-át még mindig szalagra írják az adatvédelmi stratégiák alapján.
A helyreállíthatóság titka a hordozhatóság
Mint bármely más katasztrófa (pl. tűz, árvíz, tornádó) esetén, az egyik legfontosabb stratégiai döntés az, hogy „hová fogunk helyreállni?” – ami azt jelenti, hogy ha a termelési szerverek sérülnek, újakra lesz szükség. Míg a nagyobb szervezetek több adatközponttal rendelkezhetnek, amelyekben „hidegtartalék” szerverek állnak készenlétben, sok szervezet nem rendelkezik ilyennel, így nem meglepő, hogy a felmérésben részt vevők többsége hibrid tervvel rendelkezett:
Megjegyzendő, hogy az adatközponton belüli szerverek helyreállításának szándéka magában foglalhatja a következőket:
- Készenlétben álló hidegtartalék szerverek, például a kettős adatközpontos modell.
- Új szerverek beszerzése, ha a piaci körülmények lehetővé teszik.
- Az eredeti szerverek egyszerű törlése és újbóli felhasználása, feltéve, hogy nincsenek zárolva a törvényszéki vagy bűnüldözési szervek számára.
Mivel a két statisztika összege jóval meghaladja a 100%-ot, példamutató, hogy a legtöbb szervezet BC/DR és kiberbiztonsági stratégiája a válsághelyzettől függően mindkét helyszíntípust magában foglalja.
A visszaállítás során ne történhessen úja fertőzés
Az orvosok „Ne árts” mottójához hasonlóan a helyreállítás során fontos, hogy a rosszindulatú szoftverek vagy a ransomware-rel fertőzött adatok ne kerülhessenek vissza a termelési környezetbe. Más katasztrófák (pl. tűzvész/árvíz) esetén a biztonsági másolatokban, replikákban és pillanatfelvételekben lévő adatok érvényesek, validak, és ezekkel azonnal megkezdhető a helyreállítás. Sajnos a kiberhadviselés számos összetett problémája közül az egyik, hogy a váltságdíjkövetelés beérkezése előtti adatok is valószínűleg veszélybe kerülhettek.
Ezért fontos, hogy a helyreállítási folyamat során alaposan átvizsgáljuk az adatokat.
Ez nem mindig könnyű feladat, attól függően, hogy az adatvédelmi megoldás kínál-e integrációt az észlelési technológiákkal (a biztonsági mentés, a visszaállítás vagy mindkettő során), valamint valamilyen „staging” vagy „sandbox” lehetőséget. A felmérés keretében a ransomware áldozatok a következő válaszokat adták:
- 44% először egy elszigetelt tesztterületre vagy sandbox-ba állította vissza a rendszert, mielőtt visszaállította volna a termelésbe.
- 35% visszaállította a termelésre, majd azonnal átvizsgálta.
- 12% helyreállította, majd egyszerűen monitorozta a működést.
- 9%-nak nem volt eszköze az újrafertőződés megelőzésére.
Záró megjegyzések a kutatás alapján
A felmérésben szereplő 1200 kibertámadási tapasztalatból levont tanulságok alapján a legtöbb szervezet ma már néhány kulcsfontosságú technológiát alkalmaz a következő támadásra való felkészülés érdekében:
Ezért fontos, hogy a helyreállítási folyamat során alaposan átvizsgáljuk az adatokat.
Ez nem mindig könnyű feladat, attól függően, hogy az adatvédelmi megoldás kínál-e integrációt az észlelési technológiákkal (a biztonsági mentés, a visszaállítás vagy mindkettő során), valamint valamilyen „staging” vagy „sandbox” lehetőséget. A felmérés keretében a ransomware áldozatok a következő válaszokat adták:
- Változtathatatlan (immutable) tárolás lemezeken, felhőkben és fizikailag elzárt adathordozókon a biztonságos másolat érdekében.
- Hibrid IT-architektúrák az alternatív platformokra történő helyreállításhoz.
- Szakaszos helyreállítás, a folyamat alatti újrafertőződés megelőzése érdekében.
A Veeam álláspontja
A Veeam úgy véli, hogy a biztonságos adatmentés a legjobb védelmi vonal a zsarolóprogramok ellen. A Veeam elkötelezett amellett, hogy segítsen a szervezeteknek minimalizálni az állásidőt és az adatvesztést, hogy soha ne kelljen váltságdíjat fizetniük.
A Veeam egyedülálló kínálatot biztosít a legtöbb helyreállítási lehetőségre a piacon, emellett valóban hordozható adatformátumot kínál, amely lehetővé teszi a helyreállítást, bármilyen platformok között: a fizikai tárolóból virtuálisba, különböző felhő tárolók között, vagy akár a felhőből egy on-premise adatközpontba is. A zsarolóvírus-probléma megoldására nincs egyetlen csodafegyver, ezért a Veeam többszintű megközelítést alkalmaz a zsarolóvírus elleni védelem és helyreállítás terén.
A Veeam Software-ről
A Veeam az adatbiztonság, az adatok helyreállítása és az adatok szabadsága révén biztosítja a szervezetek számára a rugalmasságot a hibrid felhő tárolók számára. A Veeam Data Platform egyetlen megoldást kínál felhő-, virtuális, fizikai, SaaS- és konténerizált inrastruktúra (Kubernetes) környezetekhez, amely a vállalkozások számára biztosítja, hogy alkalmazásaik és adataik védettek és mindig elérhetőek legyenek, ezzel is biztosítva az üzletmenet-folytonosságot.
A Veeam világszerte több mint 450 000 ügyfelet véd, köztük a Fortune 500-as lista 82%-át és a Global 2000-es lista 72%-át. A Veeam globális ökoszisztémájához több mint 35 000 technológiai partner, viszonteladó, szolgáltató és szövetségi partner tartozik.
