He estado investigando estrategias para la copia de seguridad protegida contra ransomware. Hay muchas cosas por ahí y en este foro. No he encontrado una solución joven. No he encontrado una sola solución que implemente lo que creo que necesito. He visto "soluciones" que no ofrecen protección contra ransomware. p.ej. almacenar copias de seguridad en la nube. Entiendo que el ransomware moderno está apuntando al sistema de respaldo. Creo que la solución debería ser de múltiples capas para que sea más fácil detectar los datos afectados por ransomware y más difícil para que el ransomware penetre en el sistema de respaldo.
Lo clave que no he visto en ninguna solución propuesta es la prueba. ¿Cómo puede alguien saber que cualquier estrategia específica funciona a menos que se pruebe con el ransomware conocido actual? Eso plantea la cuestión de obtener ransomware para fines de prueba legítimos y cómo se podrían realizar esas pruebas. A continuación se muestra una estrategia multifacética que creo que proporcionará protección contra el ransomware. No estoy diciendo que sea inexpugnable, pero debería ser robusto. Esta estrategia se centra en aislar los HD de copia de seguridad reales de la red y evitar que el ransomware infecte la máquina de copia de seguridad.
Propongo las siguientes protecciones:
-
Utilice una máquina de copia de seguridad separada con un sistema operativo Linux seguro cargado desde una CD / DVD ROM en la memoria RAM. Use la configuración del BIOS para reiniciar periódicamente Eliminar cualquier posible infección. En realidad cerrando la copia de seguridad máquina cuando no se requiere crea efectivamente un espacio de aire que ningún software puede penetrar.
-
Use una copia de seguridad intermedia HD expuesta a la red que lee datos de
máquinas cliente en la red (en lugar de ser escritas en). Esta no evitará que los datos se cifren en las máquinas cliente, sino que utilizan una La HD intermedia como DMZ proporciona otro obstáculo para el ransomware. -
Haga que los HDs de copia de seguridad reales sean invisibles para la red.
-
Realice periódicamente una copia de seguridad maestra en un HD conectado por USB como el
Opción de restauración de último recurso. Haciendo un buen respaldo conocido, almacenado
fuera de sitio elimina la posibilidad de pérdida total de datos. -
Use el análisis de patrones para detectar archivos cifrados en el DMZ HD. Un
Se requerirían excepciones de la lista blanca para hacer una copia de seguridad del cifrado normal. archivos. -
Use la detección de intrusos para detectar si el ransomware está intentando encontrar y escriba a la red expuesta DMZ HD.
-
Agregue retrasos de tiempo y alertas (¿correos electrónicos?) a
potencialmente destructivos
comandos en las máquinas de copia de seguridad. -
No permitir inicios de sesión de administración remota en la máquina de respaldo. Solo local en la máquina.
-
Haga que todos los archivos en los HD de copia de seguridad (incluido el DMZ HD) sean RW pero no X
.
Todo lo anterior son solo ideas. No son mis ideas. Al decir eso, no he encontrado / visto discusión sobre una defensa de múltiples capas utilizando una colección de técnicas específicamente diseñadas para proteger la copia de seguridad detrás de un DMZ HD. ¿Es esto algo que podría agregarse a una solución de código abierto existente como FreeNAS? ¿Ya es una característica?
Entonces, la pregunta es, ¿qué se considera la mejor práctica actual para detectar y proteger los datos de respaldo de un ataque de ransomware?