Сьогодні зловмисники атакують не лише основні системи компаній, а й резервні копії. У кращому випадку бізнес залишається з «гарячим» бекапом, у гіршому — без жодного варіанту відновлення. Які стратегії справді працюють: незмінні копії, «холодні» сейфи з дисками чи їх поєднання? Ми поспілкувалися з інженерами компанії De Novo й з білими хакерами на цей рахунок. І вишенька на торті — хто бекапує бекап Google, і яким чином.
Сьогодні зловмисники атакують не лише основні системи компаній, а й резервні копії. У кращому випадку бізнес залишається з «гарячим» бекапом, у гіршому — без жодного варіанту відновлення. Які стратегії справді працюють: незмінні копії, «холодні» сейфи з дисками чи їх поєднання? Ми поспілкувалися з інженерами компанії De Novo й з білими хакерами на цей рахунок. І вишенька на торті — хто бекапує бекап Google, і яким чином.
Дочитайте до кінця — там будуть корисні поради щодо збереження даних для вашого бізнесу.
У класичних схемах резервні копії зберігаються в мережі й можуть бути змінені або видалені навіть адміністратором. Це робить їх уразливими. Звісно, є й механізми для запобігання такого сценарію, наприклад, системи контролю привілеїв (PAM) тощо. Але все це потребує додаткових зусиль.
Одним з найефективніших і водночас найпростіших у реалізації підходів — створення immutable (незмінних) бекапів у хмарах. Таку опцію надає, зокрема, компанія De Novo. Це резервні копії, які неможливо видалити чи відредагувати до завершення заданого терміну зберігання (наприклад, 30 днів).
Механіка проста: копія створюється на стореджі, який програмно блокує будь-які зміни. Це реалізується шляхом підтримки системою резервного копіювання функціональності зберігання файлів із резервними копіями так, що навіть адміністратор не може видалити файли раніше ніж визначена дата зберігання такого файлу. Навіть якщо зловмисники отримають доступ до інфраструктури або акаунтів, ці дані залишаються недоторканими (сховище не дасть змінити або видалити файли з резервними копіями навіть з правами адміністратора).
«Фішка» ще й у тому, що такі бекапи можна «вимикати», роблячи їх фізично недоступними для системи. Тобто хакери навіть не знатимуть про їхнє існування. Така концепція ще називається «повітряний позір» (air gap).
У De Novo ця технологія реалізована у продукті Hardened Backup Repository — окремій дисковій підсистемі з віртуальними ресурсами, захищеними від будь-яких змін.
Білий хакер Андрій Баранович (Sean Townsend) не вважає, що immutable-бекапи — універсальне рішення: «Якщо це софтова реалізація, її можна зламати, якщо апаратна, то скористатися вікном, коли сторедж відкритий на запис і записати туди сміття. Насправді не стикався жодного разу. Тож це, скоріше, екзотика».
Але, як розповідає Сергій Стоян, інженер De Novo, Hardened Backup Repository спроєктований таким чином, що навіть злом софтової реалізації не дасть змогу змінити або видалити дані (файли з резервними копіями).
«Тому використання такого сховища максимально мінімізує ризики зміни або видалення резервних копій», — підкреслюють в De Novo.
З іншого боку вони застерігають, що чисто апаратна реалізація незмінного зберігання даних (резервних копій) теж містить «софт», так званий мікрокод, який теж можуть зламати. Про це свідчать численні повідомлення про виправлення пов’язані з безпекою апаратних сховищ даних.
«Тому різниця між апаратним та програмно-апаратним рішенням полягає в тому, де розташований „софт“ — в середині апаратного сховища або назовні», — додає Сергій Стоян.
Тобто виходить, що навіть суперзахищені бекапи можуть постраждати?
De Novo: «У теорії так, проте, можна знизити цю вірогідність до прийнятних значень. Адже, скажімо, завжди є ризик, що, Земля зіштовхнеться з величезним астероїдом, проте ми не зважаємо на це, плануючи бізнес-стратегії. Так й з бекапами — за умови правильного підходу вірогідність злому стає такою, що їй можна знехтувати».
Як каже відомий хактивіст Sean Townsend, глобальна проблема безпечного зберігання даних в іншому: «Люди просто розучилися робити бекапи. Якщо у вас копії зберігаються онлайн у тій самій мережі, це лише „гарячий“ бекап. Він рятує від технічних збоїв, але не від хакерів».
За словами Таунсенда, класичний і перевірений варіант — «холодні» бекапи. Це стопка вінчестерів або касет, які ніколи не підключені до мережі й зберігаються у сейфі. Бажано у двох примірниках і у двох різних місцях.
Тим часом Сергій Стоян із De Novo підкреслює, що такий підхід — перевірена часом класика, адже зберігання даних на стрічкових накопичувачах, що розмішені в окремому приміщенні й фізично відокремлені від основної системи, практикується з 50-х років минулого століття.
«Робити такі бекапи регулярно й дисципліновано — дуже важко. Це потребує пекельної дисципліни. Але саме це захистить у випадку навіть найжорсткішої атаки», — додає Таунсенд.
Але є важливий нюанс такого підходу, який важливо пам’ятати. «Питання в тому, що у випадку фізичного відокремлення носіїв даних значно знижується оперативність відновлення систем після атак та збоїв. Тому надійний „дідівський“ метод підходить не всім. Натомість сучасні рішення для Immutable backup дають змогу поєднати надійність зі швидкістю реакції», — підкреслює експерт компанії De Novo.
У чому слабкі місця обох підходів
«Прилетить ракета в датацентр — і привіт. А сейф із дисками — теж треба охороняти. У будь-якому випадку, бекап — це не тільки технічне, а й організаційне питання», — пояснює Баранович.
Бекап це взагалі не зовсім про захист даних, розмірковує білий хакер Микита Книш.
«Бекап — це більше про доступність», — підкреслює він.
І щоб забезпечити цю доступність на випадок втрати, можна створити резервну копію.
«Але проблема не в тому, що компанії не роблять резервні копії (більшість нормальних, за його словами, все ж таки їх робить), а в тому, що вони роблять локальні резервні копії. Тобто якщо систему проломили, то і сама резервна копія теж буде видалена», — розповідає білий хакер Микита Книш.
Він стверджує, що стикався з таким недбалим зберіганням резервних копій під час атак на державну інфраструктуру рф.
«Якщо казати про їхню судову систему: там працювала основна база даних, і до неї підключені кластери для зберігання резервних копій. Здавалося б, все надійно. Але коли хакер зламує систему, він може запустити шифрувальник не лише на основному сервері, а й на бекапах. На практиці зазвичай спершу шифрують саме резервні копії, а вже потім — основну систему», — надає білий хакер приклад з практики.
Тому Книш говорить із Таунсендом майже в унісон: потрібно зробити бекап і відключити його від інтернету. Це єдиний дієвий сценарій. Бо за його словами, якщо бекапи є в системі, не важливо, видимі вони чи ні, хакер їх обов’язково знайде. Він може заволодіти привілеями адміна й побачити всі файли системи.
Книш підкинув хорошу ідею. Подивитися на процес сучасного бекапування через призму стартапу SpinBackup. Це сервіс, який дає змогу робити резервні копії корпоративного Google Диска. «Коли мені вперше розповіли про цей проєкт, я здивувався: „Хто взагалі буде робити бекап Google?“. Але виявилося, що це український стартап, і над ним працював український фахівець із Харкова, який нині є консультантом із безпеки в Google», — пригадує Книш.
Суть у тому, що сервіс створює резервну копію вже наявної резервної копії — тобто «бекап бекапу». Це може здатися дивним, але в реальності воно працює так:
Сервіс підключається через API до Google Диска, робить копію всіх даних і… відключається. Тобто він працює за принципом «розриву доступу»: дані збережені у SpinBackup, але більше ніяк не пов’язані з основним акаунтом. Це фактично аналог того, якби ви зробили копію на окремий жорсткий диск і від’єднали його від комп’ютера.
«Ось вам наочний приклад того, як має працювати резервне копіювання», — підсумовує білий хакер.
Незмінні бекапи самі по собі не гарантують стовідсоткової безпеки. Найкраща стратегія — поєднувати різні підходи: мати й захищені «immutable»-копії, і «холодні» бекапи офлайн.
Бо, як каже Таунсенд:
«Чи можна зробити нормальний бекап і відновитися після атаки? Так. Але це питання не тільки технологій, а й політики й дисципліни».
Наприкінці — три простих поради бізнесам, як правильно робити бекапи:
Вони захищені від видалення або модифікації протягом заданого терміну зберігання. Навіть у випадку компрометації акаунтів чи інфраструктури копії залишаються недоторканими. Це додатковий рівень безпеки, який зводить сценарій «шифрування + знищення» даних майже до нуля.
Носії (касети чи диски) мають зберігатися у сейфі, бажано у двох примірниках у різних місцях. Тут згадаємо концепцію «3-2-1-1», яка говорить, що слід мати 3 копії даних на 2 різних носіях, 1 копію поза основним майданчиком і ще 1 копію в незмінному (immutable) форматі. Такий підхід захищає від апаратних збоїв, помилок користувача, кібератак і програм-вимагачів.
Ключове правило — такий носій ніколи не має бути онлайн. Це класичний, хоч і дисциплінарно складний метод, який рятує навіть у випадку фізичного знищення інфраструктури.
Бекап — це не лише технологія, а й політика. Потрібно регулярно перевіряти відновлюваність копій, контролювати доступ, автоматизувати політику зберігання та мати чіткі інструкції для кризових ситуацій. Без дисципліни навіть найдорожча технологія не врятує.
