A WhiteHat partilha uma entrevista com o Diretor Técnico da Macrium, John Pendleton, para discutir a evolução do backup! Leia neste blog post o artigo na íntegra.
Porque é que as linhas entre segurança, backup e armazenamento se têm esbatido nos últimos anos?
A rentabilidade do resgate e roubo de dados é elevada. Isto está a conduzir a uma tendência em subida para ataques multicamadas no campo da cibersegurança.
Para combater este cenário, a proteção do sistema deve cobrir todos os componentes e as suas interfaces, as linhas devem ser confusas, caso contrário está exposto; uma única falha pode ser uma base para lançar o próximo passo de um ataque.
Um outro aspeto que se torna menos claro é que o software está agora dentro de cada componente de rede. Este software, chamado firmware, disponibiliza mais oportunidades de ataque.
São os backups de hoje mais vulneráveis do que há alguns anos atrás?
Um backup anula a vantagem de um atacante, pois os dados podem ser recuperados sem pagar o resgate. Isto levou a que a evolução do ransomware também procure encriptar ficheiros de backup. No entanto, a segurança de dados tem duas facetas principais: proteção contra perda e contra roubo. A ameaça está a evoluir para o roubo de dados, em particular para alvos de alto valor.
Neste caso, as cópias de segurança não oferecem proteção. Por outro lado, os backups dão uma proteção vital para PMEs ou dados pessoais onde o valor é maior para o dono do que evitar a divulgação. Além disso, note que as PMEs que possuem dados sensíveis estão expostas a um risco de exposição pública. Agora, com o RGPD, esse risco alarga-se a todas as empresas.
Como é que as soluções modernas abordam hoje a evolução do backup? Quais as formas como podem ajudar a detetar ameaças?
As técnicas gerais AV / IDS são aplicáveis neste espaço. Esta é uma área madura, e já muito foi escrito. No entanto, existem algumas técnicas de proteção específicas que podem ajudar. A nossa solução anti-ransomware, Macrium Image Guardian, protege contra o acesso inesperado ao conjunto de cópias de segurança.
Esta solução é menos vulnerável tanto a falsos positivos como a negativos e menos intensivo em recursos do que as técnicas anti-malware genéricas, mas não dá alertas para ransomware não ativado.
Mas proteção baseada em software pode proteger contra um ataque de acesso físico ou um sistema operativo comprometido e é fácil subestimar o esforço necessário para manter um atacante do lado de fora. O velho adágio de defesa em profundidade é muito relevante e deve manter os dados seguros.
Que características deve uma empresa procurar numa solução de segurança em backups?
Uma característica básica é a encriptação de cópias de segurança, dado o aumento de ataques, isto é importante. Uma boa prática de backup inclui manter os dados em mais do que um local. Mas devemos procurar soluções flexíveis para não ficarmos presos à solução da empresa que vende armazenamento na cloud.
É também importante ter os conjuntos de backup protegidos contra a encriptação (ou eliminação) por malware antes de serem sincronizados para um local remoto. Pode confiar nos mecanismos de segurança dos ficheiros do sistema operativo. No entanto, estes podem ser configurados de forma incorreta, por isso pode querer procurar uma camada adicional de proteção do conjunto de cópias de segurança. Esta pode ser uma solução focalizada que apenas protege conjuntos de backup, ou uma proteção mais generalizada.
Papel do software de cópia de segurança
No entanto, considerações não baseadas em características têm a mesma importância. Além disso, o software de backup chega ao fundo do Windows; se codificado sem rigor, pode ser usado como um vetor de malware, ou uma forma de comprometer o sistema. Procure empresas com boa reputação, pois este é também um bom indicador para práticas seguras. Um relatório de vulnerabilidades e um registo de resposta rápida a bugs é também um bom sinal.
Por outro lado, se o software vai funcionar perto ou dentro de ambientes operativos ou outros ambientes críticos, verifique se funciona sem ligação à Internet. Existe um risco novo a acrescentar à lista de preocupações de cibersegurança – o ataque à cadeia de abastecimento.
Ele põe em destaque a segurança do processo de construção, lançamento e patch. As TI ainda estão a aprender como lidar com isto. Estamos a analisar várias opções, incluindo uma lista de software alojadas por uma terceira parte de confiança mútua. Há muito a aprender com a comunidade de código aberto.
Além do software de backup em si, como podem as organizações proteger os seus sistemas de backup contra ataques?
Mantenha uma cópia sincronizada dos seus conjuntos de backup encriptados separada da sua rede principal. Além disso, seguir as melhores práticas de segurança é fundamental.