Melindungi cadangan dari ransomware [Q&A]

Penjahat dunia maya tahu bahwa pencadangan adalah garis pertahanan terakhir melawan ransomware, jadi penting untuk melindunginya dengan benar.

Di dunia yang ideal, mereka akan memiliki celah udara tetapi di era hiperkonektivitas saat ini yang terbukti agak tidak praktis. Kami berbicara dengan Bret Piatt, CEO CyberFortress, untuk membahas perlunya melindungi cadangan dan strategi untuk melakukannya.

BN: Sudah diterima dengan baik bahwa cadangan adalah garis pertahanan terakhir melawan ransomware, teknik apa yang digunakan penjahat dunia maya untuk menyerang cadangan?

BP: Mereka menjadi sangat canggih. Begitu mereka menembus jaringan, mereka menunggu selama berminggu-minggu, terkadang berbulan-bulan sebelum mereka mulai mengenkripsi data. Selama waktu itu mereka menyelidiki jaringan, seringkali menggunakan AI, untuk menemukan file cadangan. Oleh karena itu, sangat penting untuk tidak menyimpan cadangan di domain atau grup kerja yang sama dengan jaringan produksi.

Selain itu, mereka mungkin menggunakan serangan spear phishing pada admin untuk mengelabui mereka agar mengungkapkan kredensial akses mereka. Dengan menggunakan AI, mereka dapat mengumpulkan semua informasi yang mereka butuhkan dari sumber data di Internet untuk membuat email terdengar seolah-olah berasal dari atasan atau figur otoritas lain dalam administrasi. Plus, ini memungkinkan mereka untuk mengukur upaya phishing tombak mereka. Jadi, kecuali jika organisasi menggunakan autentikasi multi-faktor (MFA) — sebaiknya MFA yang kuat — mereka hanya perlu satu serangan spear phishing yang bagus agar semua cadangan mereka dihapus, bahkan jika disimpan di penyimpanan cloud.

BN: Apakah masuk akal untuk membuat celah udara fisik yang nyata antara cadangan dan jaringan produksi?

BP: Tidak juga. Tentu saja, organisasi dapat menyimpan cadangan mereka di tape, yang kemudian mereka simpan di fasilitas di suatu tempat di luar kantor, dan itu pasti memberikan perlindungan maksimal dari ransomware. Namun — kecuali Anda dapat memulihkan dengan cepat, ini hampir sama buruknya dengan tidak memiliki cadangan sama sekali. Pemulihan dari rekaman itu lambat, terutama jika Anda harus mengangkutnya dari lokasi di luar lokasi, dan itu menjadi masalah.

Banyak perusahaan besar menghadapi situasi ini, di mana ransomware telah mengenkripsi semua data mereka, dan meskipun mereka memiliki cadangan, mereka tidak mempersiapkan pemulihan yang cepat dengan baik. Mereka menghitung dan menentukan bahwa, dengan asumsi penjahat dunia maya benar-benar memberikan kunci enkripsi, akan lebih murah untuk membayar uang tebusan. Alasan mereka adalah mendekripsi data akan jauh lebih cepat daripada pemulihan, dan waktu henti tambahan akan berdampak buruk pada bisnis mereka.

Pipa Kolonial mungkin adalah contoh yang paling menonjol. Perusahaan hampir pasti memiliki cadangan, tetapi mereka memutuskan bahwa akan jauh lebih merusak menunggu pemulihan penuh daripada membayar uang tebusan jutaan dolar. Setelah itu, AS Tenggara mengalami kepanikan gas sebagai akibatnya — dan ini menjadi masalah keamanan nasional.

Tentu saja, membayar tebusan memiliki kelemahan tambahan, bahkan jika lebih cepat mendapatkan data kembali dengan kunci enkripsi. Setelah penjahat dunia maya mengetahui bahwa Anda telah membayar tebusan sekali, mereka menempatkan Anda sebagai tanda yang kemungkinan besar akan melakukannya lagi, dan mereka sudah tahu cara menembus pertahanan Anda. Faktanya, mereka mungkin memiliki ransomware yang bersembunyi di tempat lain di jaringan Anda, siap meledak menjadi serangan kedua. Sebuah studi baru-baru ini menunjukkan bahwa empat dari lima bisnis yang terkena ransomware yang membayar uang tebusan terkena lagi, seringkali oleh geng kriminal yang sama yang melakukannya pertama kali.

BN: Bagaimana TI dapat meniru celah udara fisik untuk melindungi cadangan saat disimpan di lingkungan cloud di luar kantor?

BP: Itu bisa dilakukan. Salah satu caranya adalah dengan menyimpan cadangan dalam format hanya-baca sehingga tidak dapat diubah dan tidak dapat dienkripsi. Itu memiliki tantangan teknisnya sendiri, tentu saja, tidak sedikit di antaranya adalah ruang penyimpanan, tetapi masih layak untuk dicermati. Teknik lain adalah menerapkan ‘hapus lunak’ sehingga, jika file cadangan dihapus, salinannya dibuang ke tempat sampah di domain lain.

Cara paling praktis adalah menyimpan cadangan di domain dan lokasi terpisah yang hanya dapat diakses menggunakan MFA yang kuat. Jangan mengandalkan kata sandi dan email atau verifikasi teks. Terlalu mudah untuk berkeliling. Anda benar-benar menginginkan beberapa bentuk perangkat keras seperti dongle atau identifikasi biometrik.

BN: Kesalahan apa yang dilakukan organisasi sehingga memperlambat atau mencegah mereka pulih sepenuhnya setelah serangan ransomware?

BP: Kesalahan terbesar adalah mengabaikan perencanaan pemulihan. Mengejutkan betapa banyak organisasi berpikir bahwa selama mereka memiliki cadangan, mereka terlindungi. Tapi bukan itu masalahnya sama sekali. Waktu henti sangat mematikan, jadi harus menjadi prioritas utama untuk pulih dengan cepat. TI perlu memprioritaskan beban kerja yang paling penting agar mereka melakukan pencadangan terlebih dahulu, dan mereka perlu memiliki rencana untuk memulihkan semua sumber daya yang menjadi sandaran mereka. Membuat aplikasi CRM itu kembali online tidak akan banyak berguna jika Active Directory masih down dan tidak ada yang bisa mengaksesnya.

Selain itu, meskipun mengenkripsi cadangan merupakan praktik terbaik untuk melindungi informasi yang dikandungnya, kunci harus disimpan di luar domain utama dalam layanan yang aman. Jika tidak, ketika serangan ransomware mengenkripsi data Anda, itu juga akan mengenkripsi kunci yang Anda perlukan untuk mengakses cadangan Anda, membuat Anda tidak berdaya.

BN: Seberapa sering organisasi harus menguji kemampuan mereka untuk pulih dan dalam bentuk apa tes tersebut harus diambil?

BP: Idealnya Anda akan melakukan simulasi penuh setidaknya setahun sekali, dengan uji permukaan meja sekali dalam tiga bulan. Sangat penting untuk menguji dan berlatih secara teratur. Saat Anda berada di tengah-tengah pemulihan dari serangan dan C-suite berusaha keras untuk memulihkan semuanya secepatnya, tim perlu tahu persis apa yang harus dilakukan dengan keyakinan bahwa sistem akan merespons seperti yang diharapkan. Anda tidak ingin melakukannya untuk pertama kali ketika itu benar-benar penting.

Kredit gambar: baburkina/depositphotos.com