Proteja o seu backup contra ransomwares usando repositórios imutáveis

Os ransomwares são um tipo de malware que impede o acesso dos usuários aos seus arquivos. Isso por si só já é ruim, agora imagine o caos que é a infecção dos arquivos de backup por um ransomware. Uma situação dessa é um pesadelo porque o backup é a última barreira depois que o ransomware ultrapassou o firewall, o IPS, o antivírus e o próprio usuário. É o último bastião.

No ano passado o Superior Tribunal de Justiça (STJ) sofreu um ataque de ransomware. Na época, os jornais chegaram a noticiar que houve comprometimento dos backups, mas a notícia foi desmentida e isso realmente não aconteceu.

Nós, sysadmins, podemos interromper o ciclo de infecção e propagação dessa ameaça antes que ela alcance o nosso backup. A solução é muito simples: manter os nossos backups imutáveis, seja via software ou via hardware. Mas o que seria isso?

Todo backup é armazenado em um repositório que pode ser um HD, um pendrive, um compartilhamentos de rede, uma LUN montada, dentre outros. Ele pode estar online (montado) ou offline (desmontado). Um exemplo de repositório offline é o pendrive que está desconectado ou a LUN que não está apresentada ao host. Nesses casos, o ransomware não tem como infectar o backup simplesmente porque o os dados estão em um dispositivo inacessível. Não há proteção maior contra esse malware do que esse cenário.

Como fazer isso em pequenos ambientes (lá na frente falarei sobre os grandes)?

Inexistem formas elegantes de se fazer isso em ambientes mais simples, mas mesmo que deselegantes, ainda existem três formas.

1. Rotacionar os repositórios de backup

rotação

Parece algo complicado, mas é simples. Basta que você tenha pelo menos dois repositórios como HDs ou pendrives. Um dia você conecta o HD X e usa ele para fazer o backup No outro dia, você retira o HD X, conecta o HD Y e o usa para fazer o backup.  E assim por diante. Note que sempre um dos HDs estará offline, a salvo.

 

 

2. Configurar um script que automatize a montagem e desmontagem do repositório

Ícone de programação

Essa é uma técnica pouco eficaz porque, mesmo que o repositório esteja desmontado pelo script, ainda assim ele poderá ser acessado por outros meios. Um dos exemplos seria o ransomware inicializar a partição do backup por meio de um comando no gerenciador de discos do Windows. Outra maneira seria ele escanear a rede a procura dos compartilhamentos SMB e, por um azar, explorar o share que você desconectou via script.

Resumo

  Rotação de drives Script de automação
Nível de proteção Médio Baixo
Necessita de controle da execução e do monitoramento Sim Sim
Qual a probabilidade de não ser realizado Alta Baixa
Possibilidade do backup ser enviado para fora do site Sim Não
Exige conhecimento específico do SO ou de scripting Não Sim
É escalável Não Sim
É prático Não Sim
O backup está garantido 50% Não

Como fazer isso em médios e grandes ambientes?

Em ambientes mais sofisticados, existem soluções que prometem a imutabilidade dos dados, ou seja, uma vez que o backup tenha sido gerado, ele não poderá ser modificado (nem criptografado) por um ransomware. As alternativas são:

3. Uso de backup imutável na nuvem (off-site)

Nuvem azulEssa alternativa mata dois coelhos com uma cajadada só. Ela provê a proteção contra ransomwares e põe o backup off-site. O Amazon S3 oferece o backup imutável offsite e pode ser integrado ao Veeam Backup & Replication, que é a solução com que trabalho.

O backup off-site, especialmente aquele enviado para nuvens públicas, visa um armazenamento de longo prazo dos dados. Por isso, se o backup on-site for comprometido, o backup off-site será o último bastião do sysadmin para recuperar os dados da empresa.

Vale salientar que o uso da nuvem pública traz consigo alguns desafios como o tempo para realização do backup e do restore. Entender isso é fácil. Basta lembrar que o tráfego entre o datacenter da empresa e a public cloud é realizado via Internet.

4. Uso de backup imutável on-premise (on-site)

Prédio de escritórios azul

Essa opção garante a proteção contra o malware além de altas velocidades de backup e restauração. Eu digo isso porque, por pior que seja a LAN, certamente ela será mais veloz que o melhor dos links de Internet. Afinal, a velocidade da Internet será limitada pela velocidade da LAN.

O repositório do backup on-premise pode estar nos discos locais de um servidor do datacenter ou em LUNs apresentadas por um storage. Como nesses cenários o espaço disponível não costuma ser grande, já que é caro, não dá pra ter muitos pontos de restauração. Por essa razão, dizemos que essa alternativa é mais apropriada para retenções de curto prazo, as vezes de apenas alguns dias. Na prática, esses backups costumam ser os mais demandados.

O Linux já possui nativamente essa funcionalidade. Você pode ler sobre ela neste post. Por ser uma ferramenta do sistema operacional, diversos softwares de backup do mercado, como o Veeam (v11 em diante), conseguem usufruir dela.

5. Uso de snapshots de storages

Storage pretoOs snapshots de storage, também chamados de instantâneos, não são bem uma forma de backup porque ficam armazenados no próprio storage onde estão os arquivos de produção. Na realidade eles até podem ficar em outro equipamento quando usamos a replicação entre storages, mas infelizmente esse não é um cenário comum nas empresas brasileiras.

Você pode configurar o storage para criar snapshots das LUNs ou dos groups automaticamente. Cada snapshot será um ponto de restauração que poderá ser restaurado em poucos segundos para o estado anterior à infecção por ransomware. Tanto a geração do instantâneo quando a restauração dele leva poucos segundos mesmo que a quantidade de dados restaurados seja na casa dos terabytes. Além disso, os storages que possuem o recurso de deduplicação ainda beneficiam os snapshots com essa funcionalidade, economizando espaço em disco.

6. Fitas (tapes)

Quando as fitas não estão sendo gravadas ou escritas, elas estão totalmente offlines. Os mais puristas dirão que as fitas carregadas no drive ou mesmo na tape library estão online. Dizem isso porque esses dispositivos estão com as suas interfaces de gerenciamento conectadas à rede. Eu sou um desses puristas hehehehe. Pra mim, fita segura é fita no armário.

7. Replicação de máquinas virtuais

Você pode replicar suas máquinas virtuais automaticamente por meio de diversas soluções do mercado que suportam esses recursos no vSphere e no Hyper-V. Como as VMs replicadas estarão desligadas no seu destino, o seu conteúdo não poderá ser sequestrado, exceto se o ransomware atacar o sistema de arquivos onde as réplicas das VMs estão contidas, o que não é difícil de acontecer. Por isso, dentre todas as opções que apresentei neste post, essa é a mais vulnerável.

Resumo

 

Imutável na nuvem

Imutável on-premise

Storage Snapshot

Tapes

Replicação de VMs

Nível de proteção

Alto

Alto

Médio

Alto

Baixo

Possibilidade do backup ser enviado para fora do site

Sim

Não

Não

Talvez

Talvez

Tempo para fazer um  backup

Alto

Baixo

Baixíssimo

Médio

Depende

Tempo para fazer uma restauração

Alto

Baixo

Baixíssimo

Médio

Depende

Existência de custos com softwares

Sim

Não

Não

Não

Não

Exige conhecimento especializado

Sim

Não

Sim

Sim

Sim

É Escalável

Sim

Não

Não

Sim

Talvez

É prático

Sim

Sim

Sim

Não

Sim

Para finalizar

O que abordamos neste post foram técnicas de backup imutável ou de coisas que se assemelham a elas. Essas estratégias fazem parte de um todo que engloba outras ações como dispor de um bom e bem configurado firewall e antivírus, de uma boa segmentação de rede, do uso responsável das credenciais do domínio, dentre outros. Em um momento mais oportuno iremos mais a fundo sobre esse tema.

Se você ficou com dúvidas ou até mesmo não entendeu algum trecho ou algum termo deste post, deixe o seu comentário. Prometo responder 🙂

(Visitado 92 vezes, 92 visitas hoje)
Spread the love

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *