Disponer de copias de seguridad en caso de ataque de ransomware es como recibir primeros auxilios en caso de emergencia; un primer paso importante para prevenir lo peor, pero que por sí solo no basta, porque las copias de seguridad suelen formar parte de las estrategias de ataque de los hackers. Localizarlas y borrarlas o cifrarlas suele ocurrir antes de que las víctimas se den cuenta siquiera de que hay un intruso. Para cuando la vigilancia informática da la voz de alarma, todas las copias de seguridad existentes ya han sido corrompidas. Sin embargo, existe un antídoto llamado “Backup Inmutable”.
Índice de temas
Las copias de seguridad suelen ser el primer objetivo de los hackers
Los atacantes, especialmente con el ransomware, intentan cifrar o eliminar las copias de seguridad; normalmente se decantan por lo segundo, ya que el cifrado consume demasiados recursos y, por tanto, es más notorio. Los extorsionadores también han aprendido que las copias de seguridad deben destruirse rápidamente para que aumente la disposición del cliente a pagar.
Por lo tanto, es aún más importante tener las llamadas copias de seguridad inmutables bajo la manga. Hay que sopesar si éstas deben mantenerse online y conectadas a la red, o exclusivamente air-gapped, es decir, fuera de línea y separadas de la red. Esto último requiere que las cintas o soportes extraíbles en los que se crean las copias de seguridad se coloquen manualmente en una cámara acorazada o se trasladen a un lugar seguro. Como alternativa, se instala un conmutador de red, se desconectan las copias de seguridad de la conexión de red 23 horas al día y sólo se restaura cuando se sacan las copias de seguridad fuera del sitio. El problema: los procesos manuales de este tipo siempre llevan más tiempo, se ejecutan con menos frecuencia debido a la cantidad de trabajo que conllevan y el método es más propenso a errores por descuido. Aunque el método es más fácil de aplicar, requiere personal adicional para comprobar continuamente que las cintas y los discos duros se cambien y se mantengan con regularidad. Cada día que no se hace esto, en caso de desastre, supone una importante pérdida de datos y un perjuicio económico para la empresa, además de la pérdida de confianza entre clientes y socios.
Múltiples copias de seguridad de datos para una protección multicapa
Hasta ahora, la regla 3-2-1-1-0 de Veeam se consideraba la regla básica de la protección de datos para proteger las copias de seguridad del ransomware o del acceso de terceros, deben crearse crear tres copias en dos soportes, uno de ellos externalizado, con el fin de tener una recuperación segura en caso de desastre. Debería ser posible recurrir al soporte externalizado en caso de daños físicos en el centro de datos, como una inundación o un incendio. Con la llegada del ransomware, se añadieron un 1 y un 0 a la regla original 3-2-1: una de las copias debe estar especialmente protegida contra el ransomware y, por lo tanto, air-gapped, como se ha descrito, o respaldada offline, o programada inmutable, como es posible en Linux con Immutable Flag. Null recuerda que hay que asegurarse de que la recuperación funciona a la perfección mediante pruebas y simulaciones periódicas.
Inmutabilidad también es la palabra clave: por definición, inmutabilidad significa impedir que se borren o modifiquen datos en la memoria. Esto implica almacenar una copia de los datos protegida contra escritura. Esta protección contra escritura debe configurarse de tal manera que, una vez instalada, no pueda ser modificada por administradores o usuarios estándar. El mecanismo se denomina Object Lock. De este modo, las copias de seguridad inmutables quedan protegidas del acceso de empleados deshonestos y/o delincuentes internos.
Cuando se implanta un sistema en línea, los responsables de IT deben contar con que el atacante pueda robar las credenciales de un administrador y luego atacar las copias de seguridad
El dilema de las copias de seguridad inmutables y la conexión en línea
Hay una característica que urge explicar. Dado que las copias de seguridad en el aire son propensas a errores y pérdidas de datos, el criterio de inmutabilidad incluye la conectividad online, porque la descarga en tiempo real afecta a dos parámetros importantes de cualquier recuperación de desastres: RPO (objetivos de punto de recuperación) y RTO (objetivos de tiempo de recuperación). Se trata de puntos de referencia fijados individualmente en cada organización que dictan la cantidad máxima de pérdida de datos que puede tolerarse en caso de emergencia y el tiempo máximo que la empresa puede estar fuera de servicio. También es más probable que sea posible la recuperación con copias de seguridad en línea que puedan lograrse dentro del intervalo de valores previamente definido.
Ahora bien, a primera vista, este hecho contrasta con el ransomware como amenaza, porque cuando se implanta un sistema en línea, los responsables de IT deben contar con que el atacante pueda robar las credenciales de un administrador y luego atacar las copias de seguridad. Con el almacenamiento inmutable, esto hace que sea aún más importante incluir todo el sistema en la implementación porque: si las copias de seguridad no se pueden eliminar dentro de una solución de software para copias de seguridad y recuperación, lo mismo no es necesariamente cierto para un entorno de nube. Incluso con sistemas locales, es concebible que personas con derechos de administrador puedan entrar y eliminar la protección contra escritura o borrar sistemas. Por lo tanto, cada sistema debe protegerse en su totalidad y los permisos de cambio y escritura deben gestionarse de forma restrictiva desde el principio.
Un enfoque alternativo muy sencillo es, por ejemplo, la externalización a un proveedor de servicios en la nube a través del acceso Cloud Connect. En este caso, las copias de seguridad se cifran automáticamente y se externalizan al proveedor de servicios. Si el proveedor de servicios ofrece la denominada protección interna, las copias de seguridad estarán a salvo de ransomware o administradores malintencionados. Además, algunos proveedores de servicios pueden ofrecer interesantes opciones de recuperación, como la posibilidad de restaurar las cargas de trabajo directamente en el centro de datos del proveedor de servicios. Otra alternativa es utilizar el almacenamiento de objetos en nubes públicas. Con algunos proveedores, las copias de seguridad también se pueden almacenar de forma inmutable, por ejemplo, a través de S3 Object Lock en AWS u otros proveedores que ofrecen esta función. Dependiendo del ancho de banda disponible y de los objetivos de RTO mencionados anteriormente, las copias de seguridad locales e inmutables pueden ser esenciales.
Inmutabilidad mediante copias de seguridad físicamente disociadas
Si se prefiere utilizar copias de seguridad físicas subcontratadas, no es necesario adquirir un nuevo hardware, sino que se pueden utilizar servidores normales y también asequibles económicamente, especialmente protegidos. Un servidor de este tipo está aislado de la red en la medida de lo posible y es posible conectarse al mismo a través de un sistema de gestión remota y administrarlo. Sin embargo, esta posibilidad está desactivada para que el acceso remoto no sea posible, ni para los administradores ni para los piratas informáticos. La posibilidad de acceso seguro a través de inicios de sesión SSH (Secure Shell), también está bloqueada. La única opción que queda es conectarse al servidor localmente a través del teclado y el monitor, práctica común desde hace muchas décadas. El acceso sigue siendo posible sólo de esta manera anticuada, pero probada, y por lo tanto está muy claro quién puede acceder. En este caso, sólo el servicio de copia de seguridad en el contexto del usuario debería poder comunicarse con el mundo exterior para aceptar copias de seguridad. Esto reduce la posibilidad de un ataque externo en esta breve ventana de tiempo de transferencia de datos. Sin embargo, las copias de seguridad protegidas por la bandera inmutable sólo pueden ser borradas como root y no por el usuario bajo el cual se ejecuta el servicio de copia de seguridad. Las copias de seguridad protegidas de este modo cumplen los requisitos de almacenamiento inmutable establecidos por las bolsas de valores y los reguladores financieros estadounidenses (SEC, FINRA y CFTC). Sólo debe evitarse el sabotaje local mediante incendio, robo o uso de la fuerza.
Cada autoridad, institución y empresa deberá guiarse en esta aplicación por sus objetivos autoimpuestos en forma de RTO. En particular, los métodos anticuados retrasan considerablemente la velocidad, ya que ésta depende de la rapidez con que se puedan recuperar las cintas adecuadas de la cámara acorazada, transferirlas al disco y restaurarlas antes de que comience la recuperación propiamente dicha. Esto es bastante engorroso, y las copias de seguridad inmutables son la solución más elegante en este caso, ya que pueden traerse a la red bajo demanda. También ofrecen la ventaja de que, una vez en línea, pueden utilizarse inmediatamente para la recuperación. A diferencia de las cintas físicas, por ejemplo, que se recuperan de la cámara acorazada, se transfieren y se devuelven sólo una vez a la semana, las copias de seguridad inmutables pueden crearse a intervalos mucho más cortos. Si todos estos aspectos se incluyen en la recuperación ante desastres, los datos pueden protegerse de tal forma que estén en gran medida a salvo del ransomware.