Como vemos hoy en día, existen muchas amenazas basadas en ramsomware con ataques muy enfocados y sofisticados que se aprovecharán de cualquier tipo de vulnerabilidad que exista en la empresa. Por ello, es muy importante mantener respaldos y copia de los mismos en distintos sitios, medios o Cloud, para que en el caso de que ocurra alguna infección tengamos la oportunidad de recuperar los datos íntegramente desde donde se encuentren alojados sus respaldos, así como como también recuperar el destino que la empresa necesite, como por ejemplo sitios locales con VMware vSphere, Microsoft Hyper-V o también Microsoft Azure y Amazon AWS, entre otros proveedores.
Un ataque de ramsomware puede ser muy costoso para una empresa, tanto financiera como políticamente, ya que afecta la confianza de los clientes internos y externos de la organización. La mayoría de los ramsomware se distribuyen a través de Phishing, intentando hacerse pasar por correos legítimos internos de la empresa para convencer al usuario de descargar un archivo o abrir un documento infectado, logrando su infiltración en el equipo de cómputo. Los mecanismos de propagación de ramsomware dentro de la empresa son variados, pero lo más usado es a través de carpetas compartidas sin mucha seguridad y con versiones antiguas del protocolo, permitiendo la infección de computadoras o servidores remotos y la escalación de privilegios. Otras formas de infección recientes están asociados a los servicios de Remote Desktop Protocol (RDP), con lo cual, si la empresa utiliza esta forma de administración remota de servidores, se aprovechará alguna vulnerabilidad del protocolo para conseguir acceso al servidor e infectar la red.
Escalada de privilegios
La parte más peligrosa de una infección por ramsomware es la escalación de privilegios, ya que al conseguir un usuario con los privilegios necesarios para la administración de computadoras y/o servidores, lamentablemente los atacantes tendrán el control de todos los computadores, servidores y servicios asociados al usuario.
Por eso es muy importante mantener una política de uso de cuentas administrativas restringidas, como también una política de control de cambios de la plataforma y a su vez de contraseñas. Por tanto, veremos cómo Veeam puede ayudar a la empresa a conseguir una excelente protección de datos.
Primero algunas recomendaciones generales con respecto al ransomware
- Actualizaciones del sistema operativo y aplicaciones
- Usuarios y contraseñas
- Entrenamiento personal
- Acceso remoto
Es muy importante mantener TODOS los sistemas operativos actualizados, independientemente del fabricante. Lamentablemente, el ramsomware está enfocado a Microsoft Windows, pero también existe ramsomware para sistemas operativos Linux. Por lo tanto, como política de seguridad interna de la empresa, siempre se deben actualizar los sistemas operativos en caso de alguna vulnerabilidad, así como también, si es posible, realizar las actualizaciones de todas las aplicaciones que existen en el servidor o estación de trabajo, ya que muchas veces el acceso indebido a estas plataformas también puede realizarse a través de aplicaciones que no se encuentran actualizadas y mantienen algunas vulnerabilidades de ejecución remota de código que permitirán al atacante ejecutar un código para penetrar en el servidor y escalar privilegios con el fin de acceder a toda la plataforma.
La política de seguridad interna de la empresa también debe contemplar una aplicación exigente de contraseñas complejas, así como de nombres de usuarios, ya que en ciertos casos los atacantes utilizan métodos de fuerza bruta para intentar acceder al sistema en cuestión y luego infectar todo a su alcance.
El entrenamiento o educación del personal debe ser realizado para toda la empresa, no solo para los administradores de TI, ya que muchas veces la infección puede ser iniciada desde una estación de trabajo del personal que atiende al público o desde los servidores. De ahí la importancia de entrenar a los usuarios sobre la validación de los correos que reciben de distintas personas y no abrir cualquier archivo adjunto. Sabemos que tenemos a disposición muchísimas herramientas para prevenir que los archivos infectados lleguen a los usuarios finales, pero últimamente los atacantes que envían ransomware utilizan técnicas avanzadas para lograr la infección del sistema. Así, al tener entrenados a los usuarios del sistema, reduciremos aún más el riesgo de infección.
Remote Desktop Protocol o RDP es ampliamente usado por todos los administradores de TI y muchas veces este tipo de soluciones son publicadas en Internet para acceder directamente a los servidores, lo cual desde el punto de vista de seguridad no es una buena decisión, ya que si no se mantienen las actualizaciones necesarias, la probabilidad de infección por ransomware aumenta considerablemente. Es necesario que las empresas que mantienen este servicio en Internet bloqueen el acceso directo y se acceda de otras formas seguras a la red de la empresa o utilizar autenticación de 2 factores para el acceso vía RDP. Existen soluciones nativas de Microsoft para habilitar MFA o aplicaciones de terceros para incrementar la seguridad.
Entonces, ¿cómo Veeam nos ayuda a protegernos del ransomware?
A continuación, veremos distintas formas que Veeam permite realizar para lograr una protección de datos, como, por ejemplo:
- Regla 3-2-1
- Consola Veeam
- Repositorios Linux
- Respaldos inmutables en S3
- Replicación de máquinas y respaldos
- Respaldos en cinta
- Respaldos offline
- Veeam Cloud Providers con Insider Protection
- Repositorios con alianzas de tecnología
- Veeam ONE Ransomware Alert
- Veeam SureBackup con análisis de antivirus habilitado
- Secure Restore
La regla 3-2-1 es la pauta que hoy en día se debe cumplir en relación con la protección de datos. 3-2-1 significa: 3 copias en 2 medios diferentes y 1 fuera del sitio, lo cual permite realizar la recuperación de los datos desde cualquier punto en caso de desastre.
Como ya mencioné, una de las formas de distribución de ransomware es explotar las vulnerabilidades de RDP. En el caso de Veeam, usted siempre puede instalar la consola de Veeam en su computadora para administrarla remotamente sin la necesidad de utilizar RDP. Si necesita más información:
https://helpcenter.veeam.com/docs/backup/vsphere/backup_console.html?ver=100
Scale-Out Repository y Capacity Tier
Con Veeam cumplirá esta importante regla realizando algunas de las siguientes opciones:
Veeam permite administrar servidores Linux para asignarles el rol de Repositorio, donde una buena práctica es utilizar el repositorio de destino de réplicas de respaldos a través del Backup Copy Job que posea el sistema operativo Linux, en caso de que el repositorio primario sea Microsoft Windows, así al tener distintos sistemas operativos con los roles de Repositorio, el ransomware no podrá infectar la infraestructura de respaldo y por consiguiente afectar los archivos.
https://helpcenter.veeam.com/docs/backup/vsphere/linux_server.html?ver=100
Además se puede utilizar la integración con XFS para realizar el FAST CLONE:
https://helpcenter.veeam.com/docs/backup/vsphere/backup_repository_block_cloning.html?ver=100
Con Veeam Scale-Out Backup Repository (SOBR) y Capacity Tier habilitado, la empresa podrá enviar los respaldos eficientemente hacia el almacenamiento compatible con el protocolo S3, que soporta Object Lock, con el objetivo de que todos los archivos enviados queden inmutables, es decir, que no sea posible ninguna modificación ni eliminación de los datos inclusive por el administrador del sistema. Una de las configuraciones recomendadas es mantener una cantidad de días que se hayan declarado en la política de seguridad o mantener los datos inmutables al menos una semana (7 días), para que, en caso de alguna infección, esta no afecte los respaldos realizados por Veeam Backup & Replication. Así, después será posible realizar la recuperación completa desde S3.
** Revisar la documentación de Veeam para la compatibilidad de S3 y Object Lock.
También hay que recordar que Veeam permite realizar replicación de Máquinas Virtuales como también de los respaldos realizados con la plataforma, con estas características a través de Trabajos de Réplica o Trabajos de Backup Copy que nos permitirá mantener copias de nuestros datos en distintos sitios o utilizar uno de nuestros miles de Veeam Cloud Service Providers que ofrecen el servicio de DRaaS y/o BaaS, (Disaster Recovery as a Service y/o Backup as a Service), lo que les permite realizar réplicas de sus máquinas virtuales como también de sus respaldos sin la necesidad de realizar la inversión de un sitio nuevo.
Los respaldos en Cinta Magnética o Tape son necesarios siempre, ya que sea por regulaciones legales o cumplimientos internos de la empresa, los cuales permiten conseguir una protección de datos adicional en contra de infecciones de ransomware. Como sabemos, Veeam permite utilizar Tapes para llevar los respaldos generados a este medio, soportando Cintas WORM (Write Once Read Many), lo que permite tener un nivel adicional de protección de datos en contra al ransomware. Además, el respaldo a cinta de Veeam es flexible con el fin de generar políticas de respaldos para enviar una copia diaria o de acuerdo con la política de seguridad de la empresa.
Respaldos Offline
Por otra parte, con Veeam usted puede realizar respaldos offline con Rotated Hard Drives o con discos que puede ser intercambiados, consiguiendo que el repositorio de los respaldos tolere los cambios de discos y realice nuevamente la cadena de respaldos que sean necesarias. Con esto es posible cambiar los discos y almacenarlos en un lugar adecuado que no afecte su utilización.
También, como por ejemplo, para los tiempos que estamos viviendo hoy, muchas personas están realizando Home Office en donde posiblemente no poseen todas las contramedidas de seguridad como tienen en las oficinas corporativas de la empresa. Por lo tanto, con Veeam Agent for Windows en su versión de Workstation es posible configurar un respaldo a dispositivos removibles, como por ejemplo un disco USB, donde permitirá realizar el respaldo cuando el dispositivo sea conectado y desconectarlo cuando termine la operación de respaldo, así evitamos que en caso de infección de ransomware, el respaldo de la estación de trabajo quede aislado y no sea cifrado por el malware.
Otra forma de protección con nuestros Veeam Cloud Service Providers que proveen los servicios de DraaS y BaaS, es la habilitación de una característica llamada Insider Protection, que permite mantener una copia de los respaldos enviados al proveedor por una cantidad de días en caso de eliminación ya sea por accidente o una acción malintencionada. Con esta característica, en el caso de tener un sitio o entorno comprometido con ransomware, se permitirá realizar la recuperación de los respaldos a través del proveedor de servicios de Veeam.
Además, como es de conocimiento de muchos clientes de Veeam, tenemos alianzas que proveen integraciones como Hardware de Deduplicación, donde Veeam puede utilizar de mejor manera los protocolos propietarios de cada solución, como, por ejemplo, Catalyst en el caso de HPE, lo que permite a Veeam utilizar el mismo protocolo propietario sin la necesidad de utilizar otra tecnología, es decir, al hablar el mismo idioma, se aísla la comunicación de los datos entre Veeam y el Hardware de Deduplicación para guardar los datos protegidos. Menciono lo anterior debido a que aún no existe un tipo de ransomware que entienda o hable el protocolo propietario de nuestras alianzas; por tanto, al aislar la comunicación, estamos protegiendo los datos del ransomware.
https://helpcenter.veeam.com/docs/backup/vsphere/deduplicating_storage_appliances.html?ver=100
Veeam One y Sure Backup
Veeam ONE es una solución que se encuentra dentro de Veeam Availability Suite o se puede comprar por separado, una de las características que posee es un mecanismo de detección de una posible actividad de ransomware lo que también permitirá saber si existe alguna máquina virtual que está siendo cifrada por algún malware y ser capaz de notificar esta actividad anormal en la máquina o múltiples máquinas. Con ello es posible realizar acciones como por ejemplo, si se activa esta alarma en alguna máquina virtual, ejecutar un script para que realice alguna acción sobre la máquina.
Algo muy importante es que cada cliente que posea Veeam Backup & Replication en su edición Enterprise o Enterprise Plus debe obligatoriamente configurar DataLabs para usar SureBackup o SureReplica ya que con estas características podrán validar el contenido de sus respaldos en su sitio local.
SureBackup realizará el encendido de la máquina virtual o máquinas virtuales en un ambiente aislado para evitar conflictos de dirección IP y nombres. Ya con las máquinas virtuales encendidas, validará si el sistema operativo de estas inicia normalmente, luego realizará un análisis con el antivirus de preferencia, comprobará el heartbeat de la máquina y si alguna aplicación configurada como una base de datos SQL inicia sus servicios, para finalizar con un reporte vía correo.
¿Por qué es tan importante mantener SureBackup habilitado? Simple: porque usted podrá garantizar la recuperación de los datos ya que estará realizando automatizadamente las pruebas de recuperabilidad de sus respaldos, así como también un reinicio de la máquina, que en el caso que tenga algún problema al iniciar, tendrá el conocimiento de actuar proactivamente con la máquina productiva. La configuración de la integración con antivirus es muy sencilla:
Los antivirus que ya vienen preconfigurados son:
- Symantec Protection Engine
- ESET
- Kaspersky Security 10
- Windows Defender
Y si desea agregar otro antivirus solo debe realizar la configuración indicada en:
https://helpcenter.veeam.com/docs/backup/vsphere/av_scan_xml.html?ver=100
Y podrá ver el estado de la ejecución:
Y por último, una característica clave es Secure Restore, donde al realizar algún tipo de recuperación como:
- Instant VM Recovery
- Entire VM Recovery
- Virtual Disk Restore
- Restore to Microsoft Azure
- Restore to Amazon EC2
- Ec2 Instance Disk Export
…Nos permitirá realizar un análisis integrado con su antivirus corporativo antes de realizar la recuperación, para evitar ciertos malware que se activan en ciertas fechas o algunos malware que no sean reconocidos en ciertas fechas o la heurística del antivirus no lo detecte, ya que no existe la firma o base de datos del antivirus. Es por ello que, con Veeam, usted podrá utilizar esta forma de recuperación segura y realizar acciones en el caso de encontrar alguna infección o no, por ejemplo:
Como podemos ver en este artículo, hemos comentado algunas de las características que Veeam posee para ayudar a protegernos del ransomware, es por eso que lo invito a realizar alguna o todas las opciones que se ajusten a su empresa o negocio.