Kopie zapasowe i przygotowania do ograniczeń związanych z COVID-19

Puste biuro może stanowić wyjątkowe ryzyko dla naszej infrastruktury IT. Oto kilka sposobów na przygotowanie się do zamknięcia biura i zwiększenia bezpieczeństwa IT. Twórca tego raportu – Linus Chang jest pracownikiem Backup Assist – rozwiązania do tworzenia kopii zapasowych systemów Windows. Omawia on wyzwania i problemy, które widzi w związku z utrzymaniem infrastruktury IT podczas pandemii wirusa, a także dzieli się z nami swoimi zaleceniami i rozwiązaniami.

Problemy wynikające z blokady

Wyjątkowe okoliczności związane z pandemią koronawirusa stanowią wyzwanie dla cyber-odporności naszych firm czy instytucji.
Problem 1: kto wymieni dyski z kopiami zapasowymi.

W wielu firmach, w których wykonuje się kopię zapasową, jest ona zapisywana np. na dysku USB, kasetach RDX lub taśmach, co w przypadku, gdy w biurze nie będzie nikogo, kto wymieniłby nośniki, na których kopia zapasowa jest zapisywana?

Jeśli wszyscy pracują z domu musimy pamiętać, że samo urządzenie do tworzenia kopii zapasowych pozostanie podłączone, a kopie zapasowe będą ciągle nadpisywane.

Jeśli zależy nam na utrzymywaniu kopii zapasowej poza siedzibą i / lub offline, musimy dokonać pewnych zmian (omówionych później), aby nasza strategia backupu miała szansę bytu i co najważniejsze spełniała swoje założenia.

Problem 2: gdy nie ma kota, myszy harcują!

Należy pamiętać, że w czasie ograniczeń w przemieszczaniu się i globalnego home office
zdecydowanie mniej osób korzysta z naszej infrastruktury na miejscu, możliwe jest więc, że pewne niepożądane działania zostaną wykryte po upływie dłuższego okresu czasu.

Oto niektóre z możliwych zdarzeń, które stanowią realne zagrożenie, gdy w pobliżu nie ma nikogo, kto mógłby śledzić wydarzenia na bieżąco.

Zagrożenie 1: do naszej sieci ma miejsce włamanie, czego następstwem jest zaszyfrowanie danych (atak ransomware).

Zagrożenie 2: Złodzieje włamują się do pomieszczeń naszej firmy, kradnąc sprzęt.

Zagrożenie 3: nieuczciwi pracownicy dokonują sabotażu (np. kasując wrażliwe dane)

Do tego należy dodać inne zagrożenia, jak pożar, czy zalanie…

Zdaniem autora pierwsze zagrożenie stanowi największe ryzyko w przypadku blokady COVID-19. W miarę jak coraz więcej osób zaczyna konfigurować „homeoffice”, coraz więcej firm będzie polegać na narzędziach zdalnego dostępu różnych firm. Wszelkie błędne konfiguracje zapór ogniowych lub problemy, takie jak słabe hasła, mogą potencjalnie ułatwić włamanie do naszej sieci.
Podobnie jak w przypadku każdego udanego ataku hakerskiego, wszelkie kopie zapasowe, które są online (to znaczy są podłączone lub dostępne z dowolnego komputera w sieci) są podatne na usunięcie.

Problem 3: wolniejsze wykrywanie zdarzeń ransomware

Zwykle wykrycie ataku ransomware jest… łatwe. Personel wchodzi do pracy, próbując zalogować się do swoich komputerów wszędzie widzi informację o zaszyfrowaniu danych. Jednak w obecnej sytuacji wiele firm nie pracuje lub pracuje w mniejszym zakresie niż zazwyczaj, jest ograniczona liczba operacji, więc nie ma nikogo, kto mógłby znaleźć infekcję. W sytuacjach związanych z pracą w domu ransomware może wyłączyć zdalny dostęp, tym samym nasza świadomość, o tym, co dzieje się w firmie jest poważnie ograniczona.

Twoje cele i wymagania dotyczące cyber-odporności

Nadrzędnym celem w zakresie odporności cybernetycznej jest odzyskanie systemu w przypadku niepożądanego zdarzenia. Następnie możemy podzielić ten ogólny cel na mniejsze:

Cel 1: Zabezpieczenie w postaci kopii zapasowej, niezbędnej do odzyskania utraconych danych i upewnienie się, że kopia zapasowa jest zabezpieczona przed hakerami, złodziejami i niesolidnymi pracownikami.
Cel 2: Utrata jak najmniejszej ilości danych.
Cel 3: Odzyskanie utraconych danych w możliwie najkrótszym czasie.

Osiągnięcie tych celów w ramach ograniczeń związanych z blokadą COVID-19 jest możliwe przy odrobinie chęci i przygotowania.

Zalecenia i rozwiązania

Poniżej zalecenia Linusa dotyczące najlepszych sposobów na zachowanie funkcjonalności infrastruktury informatycznej w czasie zamknięcia biura COVID-19. Autor zaleca ich zastosowanie lub dostosowanie ich do własnych scenariuszy.

Zalecenie 1: upewnijmy się, że nasz „bazowy punkt przywracania” (baseline recovery point) znajduje się poza siedzibą i dodatkowo offline. Oraz, że data powstania (baseline recovery point) jest możliwie zbliżona z datą zamknięcia biura.
W przypadku większości firm ta kopia zapasowa powinna być pełną kopią zapasową systemu, która jest odłączona od komputera, przełączona w tryb offline i umieszczona poza siedzibą.

Dlaczego dobrze jest mieć bazowa kopia zapasową?

Ważne jest, aby przenieść tę kopię zapasową w tryb offline, ponieważ jeśli biuro jest bez nadzoru od tygodni, jest to dobra okazja dla hakerów do przeniknięcia do sieci i zniszczenia lub uszkodzenia kopii zapasowych. Pamiętaj, że haker nie może sabotować dysku twardego lub kasety RDX, która stoi na półce!

Zabranie kopii zapasowej poza firmę i przechowywanie jej w bezpiecznym miejscu może ograniczyć kradzież lub grabież.

Obraz systemu jest zazwyczaj najszybszym sposobem na pełne przywrócenie systemu.

Jak wykonać kopię baseline recovery point

Autor artykułu zaleca, aby ta kopia zapasowa była dodatkową kopią zapasową systemu, z którego obecnie korzystamy. Wystarczy skonfigurować kolejne zadanie ochrony systemu w programie BackupAssist i uruchomić ręczne tworzenie kopii zapasowej.

Oznacza to, że w razie opisanych powyżej przypadków możemy wrócić do punktu początkowego – kiedy to nasza organizacja rozpoczynała pracę zdalną.

Zalecenie 2: wykonaj automatyczne kopie zapasowe plików do chmury – aby zminimalizować potencjalną utratę danych.

Dlaczego kopie zapasowe w chmurze?

1. Kopie zapasowe w chmurze automatycznie znajdują się poza siedzibą twojej firmy
2. Ich wykonywanie minimalizuje potencjalna utratę danych
3. Nikt nie musi tego robić

W przeciwieństwie do innych sposobów tworzenia lokalnej automatycznej kopii zapasowej (na przykład do NAS lub DAS), istnieje wyższy poziom zabezpieczenia w przypadku próby włamania. Wiele ataków ransomware skanuje i wyszukuje urządzenia NAS. Kopie zapasowe przechowywane w chmurze są pod tym względem bezpieczniejsze (choć nie są całkowicie odporne na hakerów, jeśli hakerowi uda się ukraść dane uwierzytelniające do konta w chmurze. W tym momencie ważne staje się 2FA (uwierzytelnianie dwuetapowe) dla konta w chmurze).

Jak skonfigurować kopie zapasowe w chmurze?

Istnieje kilka różnych opcji – różnią się one w zależności od tego, czy chcemy wykonać kopię zapasową wszystkich plików, czy tylko tych najnowszych – które zmieniły się od momentu wykonania przywrócenia punktu początkowego (baseline recovery point). To z kolei zależy od tego, jak dużo mamy danych.

Poniżej przedstawiono różne opcje:

Opcja 1: wykonaj kopię zapasową wszystkich wybranych plików i aplikacji (niezależnie od ich wieku)

Jeśli korzystasz BackupAssist masz możliwość utworzenia kopii zapasowej w Amazon AWS S3 lub Microsoft Azure. Konfiguracja zadania wymaga tylko wskazania plików i folderów, których kopię zapasową chcesz utworzyć. Uwaga – wymaga to dodatku BackupAssist Cloud Offsite.

Jeśli wolisz skorzystać z innych opcji przechowywania w chmurze, możesz wykonać kopię zapasową pliku lokalnie, a następnie użyć aplikacji do synchronizacji plików, aby zsynchronizować je poza siedzibą:

Po pierwsze, stwórz nowy katalog, w którym możesz przechowywać kopię typu mirror swoich plików. Następnie skonfiguruj zadanie ochrony plików w programie BackupAssist, aby wykonać kopię zapasową wybranych plików i aplikacji w tym katalogu.

Po drugie, zainstaluj wybraną aplikację do synchronizacji w chmurze, aby zsynchronizować ten katalog z chmurą. Typowe opcje obejmują aplikację OneDrive, Dysk Google, Dropbox i narzędzia do synchronizacji OwnCloud.

Na koniec, jeśli chcesz mieć trzecią kopię swoich plików, użyj BackupAssist 365, aby pobrać kopię plików w chmurze z powrotem do lokalnego miejsca docelowego. BackupAssist 365 obsługuje obecnie pobieranie plików z OneDrive, OneDrive dla Firm i SharePoint.

Opcja 2: wykonaj kopię zapasową tylko najnowszych plików za pomocą robocopy.

Można tworzyć kopie zapasowe ostatnio zmienionych plików na dysku lokalnym za pomocą Robocopy. Następnie wykonać kopię zapasową tej kopii w chmurze. Ten dwustopniowy proces radykalnie zmniejsza ilość kopii zapasowej danych – oszczędzając czas i koszty przechowywania.

Może to być świetna opcja, jeśli mamy duży zestaw danych i potrzebujemy SZYBKICH kopii zapasowych w chmurze. W końcu przesyłanie 1 GB danych jest znacznie szybsze niż 500 GB. Najpierw musimy wykonać lokalną kopię zapasową tych plików, a następnie wykonać kopię zapasową lokalnej kopii zapasowej w chmurze.

Ta opcja używa narzędzia „robocopy” w celu kopiowania ostatnio zmienionych plików do lokalnego katalogu kopii zapasowej.

Skrypt robocopy – ten skrypt będzie działał dla większości przypadków (pisownia oryginalna):

robocopy E:\Work D:\LocalBackup /e /sec /maxage:20200311 /r:3

In this example –
E:\Work is our source directory
D:\LocalBackup is your local backup directory
/s says to copy subdirectories
/maxage:20200311 says back up everything since 11th March 2020. Modify this to your needs.
/r:3 means retry a file up to 3 times, and otherwise skip it. You need this parameter to avoid robocopy trying to retry a million times.

Następnie możemy skonfigurować BackupAssist Cloud, w taki sposób aby utworzyć kopię zapasową lokalnego katalogu kopii zapasowej w chmurze.
Instrukcje, jak to zrobić, znajdują się w dokumentacji Cloud Backup. Zalecamy również uruchomienie skryptu robocopy jako skryptu poprzedzającego tworzenie kopii zapasowej. Instrukcje dodawania skryptu do BackupAssist znajdują się w dokumentacji skryptów.

Jeśli nie korzystamy z BackupAssist, możemy stworzyć skrypty i skorzystać z narzędzia do synchronizacji w chmurze (jak wspomniano powyżej). Następnie możemy użyć BackupAssist 365, aby ponownie pobrać te pliki do innej lokalizacji.

Zalecenie 3 – aktywuj powiadomienia SMS w CryptoSafeGuard

Trzecie zalecenie, które przedstawiono, to aktywacja funkcji SMS w CryptoSafeGuard. CryptoSafeGuard automatycznie skanuje kopię zapasową zestawu danych w poszukiwaniu dowodów uszkodzenia plików przez oprogramowanie ransomware. Funkcja SMS jest bardzo przydatna, ponieważ oznacza, że otrzymamy powiadomienie, jeśli CryptoSafeGuard znajdzie podejrzaną aktywność.

Uwaga: Będzie to wymagało subskrypcji BackupCare.

Zalecenie 4 – wyłącz komputery i urządzenia, które nie muszą być włączone

Pamiętajmy, że każde urządzenie w sieci jest potencjalnym punktem wejścia dla osób niepowołanych. Jedynym sposobem na ograniczenie możliwości ataku jest zmniejszenie śladu w sieci.

Dlatego wyłączmy wszystko, co nie musi być dostępne podczas blokady. W szczególności chodzi o:

– izolowanie routerów i switch’ów – przełączanie ich w tryb offline

– komputery, które nie będą dostępne zdalnie lub nie będą potrzebne do obsługi zdalnego dostępu

– urządzenia takie jak drukarki

– dostęp Wi-Fi dla gości

Źródło:https://www.backupassist.com/blog/backups-and-covid-19-lockdown