Según el informe Tendencias de Protección de Datos 2023, el 85% de las 4200 organizaciones encuestadas sufrió al menos un ataque de ransomware en 2022. Lo más sorprendente fue que el 39% de los datos de producción de una organización fueron cifrados o destruidos durante el ataque y las víctimas apenas pudieron recuperar la mitad (55%) de los datos afectados. Dado que las ciberamenazas no muestran signos de disminuir, no es de extrañar que la mayoría de las empresas hayan adoptado tecnologías inmutables y de air-gap (entorno aislado) (es decir, almacenamiento resistente) para garantizar que sus esfuerzos de recuperación de datos no se vean obstaculizados por el ransomware. El objetivo de este blog es analizar las diferencias entre las tecnologías de backup aislado e inmutable, y cómo las organizaciones pueden aprovechar estas soluciones en su estrategia de ciberresiliencia.
Descripción general de las estrategias de ciberresiliencia
Paso 1: Garantizar que los objetivos de backup puedan sobrevivir
Durante décadas, el almacenamiento aislado (air-gap) para backups fue la opción más confiable que las empresas podían aprovechar para proteger sus activos críticos de la mayoría de las amenazas. El modelo Write Once, Read Many (WORM) a través de cintas o discos duros giratorios garantizaba que los datos, una vez expulsados y trasladados off-site, permitieran a las organizaciones recuperar sus datos en caso de desastre. El almacenamiento de datos resiliente como la cinta ha evolucionado desde entonces debido a que las empresas están aprovechando arquitecturas más seguras y enfoques de nube híbrida. La inmutabilidad se ha vuelto más común, ya que ofrece una funcionalidad similar a WORM, con menos sobrecarga para administrar los medios, pero que tradicionalmente no se puede alcanzar en la red. A la hora de crear estrategias de ciberresiliencia y recuperación ante desastres, tanto el air-gap (entorno aislado) como la inmutabilidad pueden tener sus pros y sus contras. Sin embargo, puede utilizar ambas tecnologías conjuntamente para disponer de una copia resiliente ultrasegura.
En primer lugar, siempre se ha recomendado, en caso de una interrupción en el sitio de producción, asegurarse de tener una copia secundaria que no se haya visto afectada. La tradicional “regla 3-2-1” recomienda 3 copias de sus datos, utilizando al menos 2 tipos de medios, con 1 copia off-site. Para la mayoría de las implementaciones de Veeam, sus datos de producción son [Copia 1, tipo de soporte = disco], los datos de backup en el repositorio local son [Copia 2, tipo de soporte = disco] y una tercera para la recuperación ante desastres off-site [Copia 3, tipo de soporte = disco, nube o cinta]. La mayoría de las organizaciones han adoptado esta práctica y han pasado de la Regla 3-2-1 a la Regla 3-2-1-1-0 para incorporar también la inmutabilidad y las pruebas debido a los mandatos y al riesgo cada vez mayor de las ciberamenazas. El 1-0 añadido a la regla sugiere que 1 copia esté “off-line” (inaccesible a través de un entorno aislado o inmutable) y 0 errores (probado y validado). Esto ayuda a garantizar el más alto nivel de recuperabilidad de datos ante cualquier tipo de desastre.
Paso 2 – Reducir las oportunidades de acceso
Ahora, todo se trata del acceso y de dificultar a los actores malintencionados no solo que puedan obtener acceso a los sistemas, sino también que intenten destruir los backups que necesita para la recuperación. Por lo tanto, le recomendamos que adopte una arquitectura ciberresiliente.
Aquí, todo en su sitio de producción tiene los controles de acceso adecuados. Puede monitorizar el entorno de producción en busca de actividades sospechosas y ejecutar informes para garantizar que todas sus cargas de trabajo estén protegidas y tengan un backup inmutable. A continuación, defina los roles de las cuentas de usuario para tener acceso al entorno de backup. Habilitar la autenticación multifactor (MFA) en su servidor de backup de Veeam puede ayudar a brindar un entorno más seguro que proteja a los usuarios de ver comprometida su seguridad. A continuación, utilice un
destino inmutable como primer soporte de backup para permitir la recuperación en caso de errores, ciberamenazas o borrados accidentales de datos. Lo más importante es probar estos backups con frecuencia para verificar el contenido de sus datos y para que no tenga problemas imprevistos al momento de la restauración. Estos dispositivos de almacenamiento pueden variar desde hardware especialmente diseñado, dispositivos de deduplicación y hardware integrado con S3. Finalmente, tenemos nuestra copia de terceros que debe estar off-site, cifrada Y fuera de línea o separada. Los desastres naturales y el acceso físico no autorizado de usuarios no son la única razón por la que es beneficioso mantener una copia aislada fuera de línea y remota. Es posible que la integridad de los datos, las disputas legales y las reglas de cumplimiento/retención de datos no sean eventos típicos de pérdida de datos, pero garantizan que tenga una copia de datos limpia que pueda utilizar para cualquier necesidad basada en los datos.
¿Qué es un backup aislado (air-gapped)?
Un air-gap (entorno aislado) es una forma de aislar sus datos críticos mediante la separación de una copia ya sea físicamente (retirando la cinta de la unidad) o haciendo que no sea accesible desde la red (por ejemplo, puertos de red o rutas inhabilitadas). Hay muchos beneficios de los backups aislados, entre los que se incluyen:
Protección contra ransomware y otro malware, ya que estos backups no son accesibles desde el servidor de backup o cualquier otro lugar de la red. Para que los actores malintencionados puedan corromper estos datos, una persona necesitará estar físicamente presente y tener las credenciales de acceso adecuadas para eliminar los datos. Si estos backups se expulsan/aíslan adecuadamente y se cuidan (por ejemplo, con control de temperatura, suciedad/polvo, humedad, etc.), las posibilidades de que falle la recuperación son bajas.
Prevención de accesos no autorizados y filtraciones de datos con cifrado. Al considerar cualquier backup, pero especialmente aquellos que están en un entorno aislado o de alguna otra forma off-site, se vuelve aún más importante que los dispositivos o soportes estén cifrados. Imagine tener que hacer un backup de su controlador de dominio sin cifrado y que un actor malintencionado restaure su backup en su propio servidor. Ahora pueden recolectar tranquilamente sus credenciales para prepararse antes de un ataque a sus sistemas de producción. El cifrado de los backups (especialmente los remotos) es un paso fundamental para proteger los datos sensibles de la empresa frente al acceso de usuarios no autorizados.
Preservación de la integridad de los datos, lo que garantiza que los contenidos no hayan sido alterados de forma maliciosa. Tanto la precisión como la consistencia son cruciales no solo para el cumplimiento normativo, sino también para una recuperación confiable. Para las organizaciones del sector de la salud, el Gobierno, las finanzas, etc., mantener diferentes tipos de datos a largo plazo puede variar desde años hasta indefinidamente y, en algunos casos, requiere mantener una cadena de custodia segura. Dependiendo del cumplimiento normativo a nivel estatal o federal, estos requisitos, si no se cumplen, pueden tener un impacto legal que puede resultar en fuertes multas para las organizaciones que no pueden producir los datos de manera completa y precisa.
Backups inmutables
Un backup inmutable es una copia de datos que tiene controles de acceso basados en roles y otros tipos de autenticaciones y no puede modificarse o eliminarse hasta que haya transcurrido un tiempo determinado. Sin embargo, no está “off-line” como lo está un backup air-gap (entorno aislado), ya que aún está conectado y es accesible desde la red. Hay varios proveedores de tecnología que aprovechan este tipo de inmutabilidad ya sea en las instalaciones locales o en la nube y pueden incluir el bloqueo de objetos, snapshots seguras y el repositorio reforzado de Veeam. Para obtener más información, consulte este post del blog.
Comparación de backups air-gap (entorno aislado) y backups inmutables
Dado que un backup inmutable aborda algunos de los mismos objetivos de “supervivencia” que un backup aislado, existen similitudes y diferencias. Ambos ofrecen resistencia contra el ransomware y cumplimiento de las normativas relacionadas con los datos, pero aquí es donde comienzan a diferir:
Un backup aislado tradicional, como una cinta, puede conllevar un coste adicional para la gestión de los soportes y el trabajo con los proveedores para almacenarlos adecuadamente. Esto también es válido para el almacenamiento inmutable, ya que puede crecer exponencialmente si cambian las políticas de datos.
Los objetivos de tiempo de recuperación (RTO) también son una variable en función del medio de almacenamiento utilizado. Por ejemplo, un cliente que probó sus velocidades de restauración desde la nube hasta las instalaciones locales tenía notables limitaciones de red que hacían más lenta la recuperación del mismo conjunto de datos que había recuperado previamente de la cinta. Tardaban semanas en comparación con los pocos días a los que estaban acostumbrados cuando recuperaban desde las cintas. Aumentar las velocidades de descarga era una opción, pero requería que hicieran una revisión de su red actual por un costo adicional. Por el contrario, otra organización fue capaz de realizar restauraciones directamente en el proveedor de la nube pública y ahorrar semanas de inactividad tras un incidente cibernético cuando perdieron el acceso a su infraestructura local como consecuencia de una investigación forense. Para ellos, esperar a que se completara la investigación les habría costado un mes de tiempo de inactividad.
En ambos casos, los clientes fueron capaces de crear una estrategia de resiliencia de datos que funcionó para ellos. Sin embargo, no se trata de una situación de uno u otro y uno no debería reemplazar al otro. Muy similar a cómo las réplicas de VM no son copias de seguridad y viceversa. Ambas tecnologías existen para ayudar a las organizaciones a recuperar datos más rápidamente, y utilizar las dos en conjunto solo aumenta las posibilidades de éxito de la recuperación después de un evento cibernético.
Proteja sus datos con Veeam
Según el informe Tendencias de ransomware 2023, el 82% de las 1200 organizaciones que habían sufrido ciberataques ahora usan tecnologías cloud inmutables, mientras que el 64% usan discos inmutables y la cinta sigue siendo relevante, con un 14% que afirma su uso en su estrategia de protección de datos. A medida que las organizaciones buscan adoptar estrategias de protección de datos más resilientes frente a las ciberamenazas, Veeam continúa formando sólidas asociaciones con proveedores de hardware y nube para facilitar la adopción de repositorios de backup inmutables, soluciones air-gap (entorno aislado) o (como mejor práctica) ambas soluciones. Con la última versión de la v12, que incluye inmutabilidad con Microsoft Azure, Direct to S3 con inmutabilidad y mejoras en cinta, una organización puede adoptar rápidamente la adición de otra capa defensiva para ayudar contra el ransomware.
Véalo usted mismo haciendo clic en el siguiente enlace u obtenga más información sobre cómo puede asociarse con Veeam.