Like Us
Follow UsPe finalul anului 2024, presa din România a fost plină de articole despre atacuri ransomware. Cele mai notabile cazuri au fost cele de la Primăria Sectorului 5, grupul Electrica, Spitalul Clinic de Urgență, Chirurgie Plastică, Reparatorie și Arsuri București, procesatorul 2Invoice însă lista este apăsător de lungă. De cele mai multe ori, atacurile au avut succes, iar sistemele IT au fost criptate. Din fericire, unele organizații au reușit să restaureze sistemele informatice și să evite plata răscumpărărilor solicitate, însă au fost și cazuri în care datele au fost exfiltrate și făcute publice pe darkweb.
Ransomware-ul a devenit o amenințare tot mai gravă în ultimii ani, afectând inclusiv instituții publice, furnizori de servicii medicale, bănci și companii de curierat. Atacurile ransomware au crescut in 2023 cu 60%, în timp ce atacurile de tip malware au cunoscut un trend în urcare cu aproape 1.650%, iar cele de spargere a infrastructurilor IT&C au un trend de creștere cu peste 600% în decursul anului acesta față de anul trecut, relevă date guvernamentale analizate de publicația Profit.ro. Nu avem date oficiale pentru România despre evoluția ransomware în 2024, însă majoritatea analiștilor consideră că a fost atins un nivel record.
Pentru că riscurile asociate nu pot fi ignorate, tot mai multe organizații investesc în protecție antiransomware pentru a evita pierderea temporară/permanentă a datelor critice, întreruperea activității, dar și daune semnificative aduse reputației. Prin soluția inovativă PowerProtect Cyber Recovery, Dell Technologies asigură multiple straturi de protecție antiransomware și un grad înalt de automatizare, garantând reziliența împotriva atacurilor cibernetice, inclusiv împotriva celor provenite din interiorul organizației.
Care sunt cele mai relevante măsuri de protecție antiransomware?
Am sintetizat mai jos cele mai importante măsuri de protecție antiransomware, esențiale pentru asigurarea unui mediu de business sigur. Acestea sunt pilonii oricărei strategii eficiente de securitate cibernetică, menite să minimizeze riscurile și să asigure continuitatea operațională.
Backup automat și securizat, pentru activele cheie
Pentru a putea recupera datele după un atac ransomware (fără a plăti răscumpărarea), este necesară o copie securizată a aplicațiilor și datelor. Identificarea activelor cheie de protejat și automatizarea procesului de backup sunt esențiale, dar trebuie să vă asigurați și că datele de backup nu pot fi criptate sau șterse de hackeri. Un alt element cheie al securității este criptarea datelor, atât în tranzit, cât și în repaus, și limitarea accesului utilizatorilor la date. Dacă prea multe persoane pot accesa și șterge date, sau pot reatribui roluri administrative, atacatorii pot compromite chiar și acreditările de nivel scăzut și le pot folosi pentru a distruge datele sau pentru a bloca alți administratori din mediul de backup.
Actualizări permanente
Dincolo de alegerea unei soluții de backup securizate, protecția completă înseamnă actualizarea regulată a aplicațiilor și aplicarea patch-urilor de securitate pentru a preveni vulnerabilitățile. În cazul soluțiilor de backup on-premises, responsabilitatea de a aplica actualizările și patch-urile revine echipelor IT, dar lipsa de resurse și bugetele reduse pot duce la întârzieri. De aceea, tot mai multe organizații aleg soluțiile Software as-a-Service (SaaS). Acestea automatizează protecția datelor, eliminând atât necesitatea de a gestiona manual actualizările și patch-urile, cât și procesele suplimentare și costurile pentru hardware adițional.
Izolarea automată a amenințărilor
Atacurile ransomware au loc de obicei în perioadele în care nu este nimeni la birou, în weekendurile prelungite sau de sărbătorile naționale. E important deci să puteți răspunde automat la acestea, fără a depinde de personalul IT. Primul pas este izolarea resurselor infectate, atât în mediul principal, cât și în cel de backup, oprind backup-ul datelor de pe mașinile sau serverele infectate și prevenind recuperarea datelor din snapshot-urile afectate. Restaurarea fișierelor cu cod malițios poate duce la reinfectarea mediului principal, compromițând procesul de recuperare. Integrarea de soluții de SOAR (Security Orchestration, Automation, and Response) permite izolarea rapidă a datelor infectate și gestionarea atacurilor fără intervenție manuală.
Identificarea comportamentelor, activităților și datelor atipice
După izolarea resurselor afectate, trebuie să înțelegeți ce s-a întâmplat în timpul atacului. Informațiile relevante pot fi obținute prin monitorizarea accesului și detectarea activităților neobișnuite la nivelul datelor. Analiza accesului permite identificarea acțiunilor malițioase, precum accesul neautorizat sau ștergerea datelor, oferind detalii despre utilizatorii și API-urile implicate, locația și momentele accesării. Activitățile de ștergere sau criptarea în masă a datelor pot fi detectate prin algoritmi de învățare automată, care generează alerte automate. Alertele pot fi trimise către aplicații SIEM (Security Information & Event Management) pentru a sprijini detectarea atacurilor ransomware și pentru a ajuta echipele de investigație să identifice alte surse de date infectate.
Automatizarea recuperării datelor
După un atac ransomware, procesul de recuperare a datelor este diferit de disaster recovery. Dacă dezastrele naturale distrug toate datele deodată, ransomware-ul criptează datele treptat. Unele fișiere pot fi criptate înainte ca backup-urile să fie realizate, făcând dificilă găsirea unei copii curate a acestora într-un singur backup. De cele mai multe ori, departamentele IT sunt nevoite să restaureze datele dintr-un punct anterior infectării, după care să caute manual versiuni mai recente ale fișierelor individuale. Procesul de recuperare poate fi simplificat prin adoptarea unei infrastructuri native în cloud și soluții de automatizare, la costuri accesibile. Acestea includ deseori și funcții de scanare, prin care se elimină automat conținutul malițios din snapshots.
PowerProtect Cyber Recovery, soluția avansată pentru protecție antiransomware
PowerProtect Cyber Recovery asigură protecție antiransomware avansată, prin izolarea fizică și logică a datelor critice într-un cyber vault (seif) dedicat. În cadrul acestuia, învățarea automată și analizele inteligente sunt folosite pentru identificarea activităților suspecte și recuperarea datelor sigure, pentru ca organizațiile să își poată relua rapid activitatea.
În cazul unui atac cibernetic asupra unei organizații, Dell PowerProtect Cyber Recovery ajută la reducerea timpului de nefuncționare cu 75%, și contribuie la reducerea timpului dedicat recuperării datelor și sistemelor cu 80%, potrivit unui studiu Forrester Consulting realizat în 2023.
Dell PowerProtect Cyber Recovery atinge aceste performanțe prin următoarele componente-cheie:
Izolarea datelor prin Cyber Recovery vault
Cyber Recovery vault izolează datele critice într-o zonă protejată a centrului de date sau într-un mediu cloud sau multicloud. Seiful este izolat suplimentar și protejat printr-un air gap operațional, evitând interfețele de management care ar putea fi compromise. Cyber Recovery vault păstrează integritatea originală a datelor prin copii imutabile protejate prin retention lock.
Administratorii pot seta cât timp vor să păstreze aceste copii, majoritatea organizațiilor aleg un termen de o lună, timp în care datele sunt „blocate”. După ce perioada de păstrare a datelor este stabilită, acestea nu pot fi modificate sau șterse, indiferent de acțiunile utilizatorilor sau ale sistemelor. Monitorizarea și raportarea sunt disponibile direct din cadrul seifului și pot fi partajate în afara acestuia prin diverse metode securizate.
Analiză bazată pe AI cu CyberSense
PowerProtect Cyber Recovery este prima soluție de protecție antiransomware care integrează toate funcțiile CyberSense. Atunci când un atac ransomware pătrunde în centrul de date, CyberSense permite identificarea datelor corupte. Această tehnologie avansată folosește învățarea automată pentru a analiza peste 100 de statistici bazate pe conținut, identificând semne de potențial ransomware sau alte tipuri de corupere a datelor, cu o precizie de până la 99,99%.
CyberSense detectează ștergerile masive de date, criptarea completă și parțială, și alte modificări suspecte în infrastructura de bază (inclusiv Active Directory, DNS, etc.), fișierele utilizatorilor și bazele de date, rezultate din atacuri sofisticate. În plus, permite crearea de alerte personalizate pe praguri, iar dacă sunt detectate semne de corupere a datelor, dashboard-ul de alerte și rapoartele forensice post-atac facilitează diagnosticarea rapidă a magnitudinii și impactului atacului.
Recuperare și remediere automată
PowerProtect Cyber Recovery accelerează restaurarea sistemelor critice prin proceduri automatizate, integrate în procesul de răspuns la incidente. După un incident de securitate, echipa de răspuns analizează cauza principală, iar CyberSense generează rapoarte forensice care identifică nu doar amploarea atacului, ci și cele mai recente backup-uri curate. Când mediul de producție este pregătit, soluția Dell asigură instrumentele de management și tehnologia necesare pentru recuperarea propriu-zisă a datelor, într-un mod rapid și sigur.
Planificare și Design prin Dell Professional Services for Cyber Recovery
Dell Professional Services for Cyber Recovery ajută la identificarea sistemelor critice ale afacerii, la crearea de hărți de dependențe pentru aplicații și servicii, și la proiectarea infrastructurii necesare pentru recuperarea lor. De asemenea, serviciul definește cerințele de recuperare, propune alternative de design și selectează tehnologiile necesare pentru analizarea, găzduirea și protejarea datelor, oferind totodată un plan clar de implementare și un business case (justificare).
Pentru mai multe informații despre ce înseamnă protecție antiransomware prin Dell PowerProtect Cyber Recovery contactați cel mai apropiat reprezentant sau partener NOD.
