Cómo proteger las copias de seguridad de su empresa del ransomware
Las copias de seguridad son una parte esencial de cualquier plan de recuperación ante desastres de ransomware. En el caso de que una organización sea golpeada con ransomware, simplemente puede usar sus copias de seguridad para recuperar el sistema sin pagar un centavo a los malos.
Solo hay un problema: las copias de seguridad no son inmunes al ransomware. Las cepas de ransomware cada vez más avanzadas contienen mecanismos diseñados para buscar y cifrar copias de seguridad que se almacenan localmente y en la nube. Y, si las copias de seguridad de una empresa se cifran, es posible que no tenga otra opción que pagar el rescate.
En este artículo, le mostraremos cómo el ransomware puede afectar las copias de seguridad de una empresa y qué puede hacer para mantener sus copias de seguridad seguras.
¿Cómo encripta el ransomware las copias de seguridad?
Hay muchas formas en que el ransomware puede infectar un sistema, incluidos archivos adjuntos de correo electrónico, enlaces maliciosos, descargas automáticas, ataques RDP, herramientas MSP y otro software de terceros. Una vez que ha infectado un punto final, puede extenderse a cualquier copia de seguridad almacenada en dispositivos a los que se pueda acceder mediante escritura a través de protocolos estándar, como dispositivos NAS, servicios en la nube instalados localmente y dispositivos conectados por USB.
Hay algunas formas en que puede hacer esto:
Difundiéndose a través de la red
Muchos propietarios de pequeñas empresas comprenden el valor de las copias de seguridad, pero pueden no tener los recursos o la experiencia para crear y mantener una estrategia de continuidad completa. En cambio, pueden adoptar un enfoque ad-hoc, que puede implicar copiar manualmente archivos críticos en un disco duro externo, o automatizar copias de seguridad periódicas en un servidor de archivos conectado a la red.
Las copias de seguridad locales son importantes, pero no son una solución efectiva cuando se usan solas. Muchas variantes de ransomware son capaces de propagarse lateralmente a otras computadoras en la red y unidades de red mapeadas. Si el sistema se infecta, hay una buena posibilidad de que el ransomware se propague por la red y cifre la unidad que contiene las copias de seguridad de la organización.
Sincronización con almacenamiento en la nube
El almacenamiento en la nube es una forma conveniente de almacenar archivos, pero no es una forma efectiva de mantener copias de seguridad, especialmente cuando se trata de ransomware.
Muchos servicios de almacenamiento en la nube, como Dropbox, OneDrive y Google Drive, sincronizan automáticamente los archivos locales con los archivos almacenados en la nube. Si su negocio es golpeado con ransomware y los archivos en su red están encriptados, los archivos también estarán encriptados en la nube.
Algunos proveedores de servicios de almacenamiento en la nube ofrecen versiones de archivos, lo que significa que mantiene varias versiones de archivos. Si los archivos de su empresa están encriptados, simplemente puede revertir los archivos a una versión anterior sin encriptar. Sin embargo, esta característica no es compatible con todos los proveedores de almacenamiento en la nube y es posible que no esté habilitada de forma predeterminada.
Eliminar puntos de restauración del sistema
Restaurar sistema, la herramienta de recuperación incorporada de Windows, permite a un administrador revertir los cambios recientes en el sistema operativo y puede ser útil para revertir controladores y archivos del sistema a versiones anteriores. Desafortunadamente, Restaurar sistema no guarda copias de archivos personales, incluidos documentos, fotos y videos, lo que significa que no se puede usar para revertir el cifrado.
Incluso si Restaurar sistema podría ayudar a restaurar archivos personales, muchas cepas de ransomware, incluidas WannaCry, Cryptolocker y Locky, están diseñadas para detectar y eliminar deliberadamente instantáneas de volumen (las instantáneas que utiliza Restaurar sistema para la recuperación) utilizando comandos de línea de comandos.
A prueba de ransomware sus copias de seguridad
Un enfoque multicapa es la mejor manera de proteger las copias de seguridad contra el ransomware.
Las copias de seguridad locales son rápidas, eficientes y se puede acceder fácilmente cuando sea necesario. Sin embargo, como se mencionó anteriormente, las copias de seguridad locales son vulnerables al ransomware, que potencialmente puede extenderse a través de la red.
Si bien las soluciones de almacenamiento fuera del sitio son generalmente más lentas y menos convenientes, están más aisladas de la red de la compañía y, por lo tanto, se consideran más confiables. El uso de una combinación de copias de seguridad locales y externas proporciona lo mejor de ambos mundos.
Con esto en mente, la forma más fácil de realizar copias de seguridad a prueba de ransomware es aplicar la regla 3-2-1, que estipula que una empresa debe:
Guarde al menos tres copias de sus archivos.
Almacene las copias en al menos dos tipos diferentes de medios de almacenamiento.
Almacene al menos una copia fuera del sitio.
Recuerde usar siempre nombres de usuario y contraseñas únicos para todos los sistemas de respaldo (¡y todo lo demás para el caso!).
Guarde al menos 3 copias
Cuantas más copias de seguridad tenga una empresa, menor será el riesgo de perder datos. Las empresas deben tratar de mantener al menos tres copias de sus datos. Si se pierde una copia debido a ransomware, robo, error técnico o desastre natural, los líderes empresariales pueden estar seguros de que habrá otras copias a las que recurrir.
Almacene al menos dos copias en diferentes dispositivos.
Todos los dispositivos fallan tarde o temprano. Diversificar los medios de almacenamiento minimiza el riesgo de que las copias de seguridad fallen al mismo tiempo. Cuando almacene copias de seguridad localmente, use al menos dos tipos diferentes de medios de almacenamiento, como una unidad local, un servidor de archivos, un dispositivo NAS o una unidad de cinta.
Almacene al menos una copia fuera del sitio
Para una protección máxima, al menos una copia de las copias de seguridad debe estar completamente aislada de la red y preferiblemente almacenada fuera de línea, donde estará a salvo del ransomware.
Hay algunas opciones diferentes para almacenar copias de seguridad de la empresa fuera del sitio. Los sistemas de copia de seguridad en cinta pueden parecer una solución algo desactualizada, pero siguen siendo una opción popular gracias a su rentabilidad, escalabilidad y estabilidad de archivo. Los sistemas de copia de seguridad en cinta generalmente no están conectados a ninguna red y, por lo tanto, no pueden verse afectados por el ransomware.
Los servicios de copia de seguridad en la nube ofrecen una solución más moderna para crear y mantener copias de seguridad externas. Los servidores de copia de seguridad en la nube se encuentran en instalaciones seguras y hechas a medida que generalmente incluyen controles ambientales, fuentes de alimentación de respaldo, sistemas de extinción de incendios y más. Si el ransomware o un desastre local elimina las copias de seguridad locales de su empresa, puede usar copias de seguridad en la nube para volver a funcionar.
Almacenamiento en la nube frente a copias de seguridad en la nube
Es importante tener en cuenta que los servicios de almacenamiento en la nube y los servicios de respaldo en la nube no son lo mismo. Los servicios de almacenamiento en la nube están diseñados para hacer precisamente eso: almacenar archivos. Es posible que no ofrezcan versiones de archivos, lo que hace que las copias de seguridad sean vulnerables al ransomware, y por lo general no le permiten retener la estructura de su sistema de archivos, lo que significa que si alguna vez necesita recuperar su sistema, tendrá que organizar todos sus datos por mano.
Los servicios de respaldo en la nube, por otro lado, se realizan teniendo en cuenta la recuperación ante desastres y la continuidad del negocio. Le permiten retener la estructura de su sistema de archivos y, por lo general, incluyen características útiles como el control de versiones de archivos, informes de estado, opciones de programación y mejores métodos de encriptación para transferir datos. Cuando se trata de proteger sus respaldos con ransomware, los servicios de respaldo en la nube son la mejor opción.
Gestión de Acceso
Independientemente de los medios de almacenamiento que su empresa elija utilizar, es importante restringir el acceso solo a aquellos con una necesidad comercial legítima. Esto implica ser muy selectivo respecto de quién tiene las credenciales de inicio de sesión para los servidores de archivos y los servicios de respaldo, así como limitar el acceso físico a los respaldos en el sitio a través del almacenamiento seguro y la administración de acceso. Limitar el acceso a las copias de seguridad ayuda a reducir la superficie de ataque del ransomware y minimiza las posibilidades de que la información confidencial de la empresa caiga en las manos equivocadas.
Mitigar los efectos del ransomware
Una estrategia de respaldo robusta es un ingrediente crítico para mitigar los efectos del ransomware.
Sin embargo, como con cualquier dato, las copias de seguridad también pueden verse afectadas por el ransomware. El uso de una combinación de copias de seguridad locales y externas ayudará a reducir el riesgo de que el ransomware afecte las copias de seguridad de su empresa y coloque a su empresa en una posición más sólida para minimizar el tiempo de inactividad en caso de una infección.
