Ställ krav på era verktyg

Anders Stinger
Country Manager Nordics, Commvault
https://www.linkedin.com/in/andersstinger/

En modern backuplösning ger många fördelar i normal drift, till exempel snapshot-tekniken som möjliggör nästan omedelbar återläsning av data. Men när vi pratar ransomware kan även en backup var sårbar eftersom angriparen försöker kryptera allt data som hen kommer åt. I värsta fall blir även backuperna krypterade och obrukbara.

En metod som vi rekommenderar för att säkerställa tillförlitlig backup och återställning brukar kallas för 3-2-1. Den handlar om att ha tre tillgängliga kopior på sitt data, två som lagras lokalt (men på olika lagringsmedia) samt ytterligare kopia på en annan plats.

Den ordinarie backupen lagras i ert datacenter och kan användas för snabb återställning, medan den tredje kopian placeras på annan plats som en katastrofsäkring. Idag erbjuder oftast molnet den enklaste vägen att lösa detta praktiskt, men det krävs också att en sådan molnbackup är “offline”. Kopian får inte vara åtkomlig via Internet eller ett lokalt nätverk. Då finns ingen möjlighet att infektera den med ransomware även om en angripare skulle ha planterat skadlig kod på insidan.

Denna lösning, som brukar kallas “Air Gap”, är inte alls ny – backup på magnetband som tills inte för så länge sedan var helt dominerande ger just den logiska och fysiska isolering vi är ute efter här. Bandbackup är därför fortfarande en gångbar ingrediens i organisationens beredskapsplaner.

Tyvärr finns ingen absolut garanti ens för att en isolerad “Air Gap”-kopia är opåverkad av ett intrång. Den kan bli infekterad i samband med replikering av data. Om skadlig kod, t ex ransomware, inte upptäcks före nästa backuptillfälle kommer de krypterade filerna helt enkelt att kopieras med och bli en del av backupen.

Vid återställning av applikationer från alla typer av backup är det därför viktigt att också granska backupen så att den inte innehåller kod som angriparen planterat. Det kan nämligen ta månader från det att attacken inleds till att kryptering och efterföljande utpressning sätts i verket. Under den tiden hinner backup tas många gånger, inklusive slumrande skadlig kod.

Även i den dagliga driften har effektiv datahantering en betydande roll både när det gäller att förebygga och att upptäcka intrång och skadlig kod. Automatisk validering av backup är en finess som sparar tid och skapar trygghet om att ert data verkligen kan återskapas.

Rätt verktyg gör det också möjligt att automatiskt upptäcka avvikelser som skvallrar om ett pågående intrång: väl innanför brandväggen sätter inkräktaren sin skadliga kod i arbete, något som direkt lämnar spår efter sig.

Testa, testa, testa

Dagens IT-miljöer kan bli väldigt komplexa och varje organisation har unika förutsättningar. I flera kända fall av ransomware-attacker har det tagit flera veckor att återställa normal drift, till väldiga kostnader. Men med rätt beredskap behöver det inte ta så lång tid. Att öva på krisscenarion och att testa sina rutiner för återställning är en central del av beredskapen eftersom detta sparar tid och pengar i ett skarpt läge.

Just testning tror jag är den svagaste punkten i beredskapen hos många organisationer. De har för dåliga möjligheter att testa katastrofrutiner och återställning från backup. Ett vanligt hinder är att viktiga tester inte går att genomföra eftersom produktionsmiljön sätter stopp. Det kan handla om system som stödjer kärnverksamheten där den nedtid som testerna kräver inte är acceptabel. En annan typisk begränsning är att det krävs en komplett och med produktionsmiljön identisk testmiljö för att göra det realistiskt.

Commvaults plattform skiljer sig här genom att den möjliggör replikering och backuptagning på applikationsnivå, oberoende av den underliggande arkitekturen och de lagringssystem som används. Det ger som regel betydligt lägre systemkrav på testmiljön. Att testningen också kan ske utanför produktionsmiljön gör det dessutom möjligt att testa återställning så ofta som önskvärt.

Vill du komma ännu närmare verkligheten ska du lyssna på Commvaults webinar med en partner som berättar hur det kan gå till att återställa efter en ransomware-attack. Webinariet som är på engelska hittar du här.

Del 1: Nu är de ute efter er

Del 2: Vi har en plan!

Del 3: Skaffa koll på ert data – konsten att prioritera