Ochrana zálohovacích systémů proti Ransomwaru

Útoky Ransomwaru jsou stále častější a mnoho případů ukázalo, že obrana proti nim a následná rekonstrukce dat je velmi komplexní problém. Útoky jsou navíc stále sofistikovanější a už se netýkají pouze pracovních stanic a primárních úložišť, ale stále více se zaměřují i na destrukci záloh.

Zálohovací systémy stály nějakou dobu mimo útoky Ransomwaru, protože jsou většinou abstrahovány od infrastruktury zálohovacími programy, nicméně útočníci si toto úskalí útoku brzy uvědomili a začali působit i zde.  Zálohovací systémy a zejména deduplikační zálohovací úložiště stojí v současné době uprostřed velmi protichůdných požadavků. Na jedné straně je potřeba s co nejkratší latencí a s co největší propustností přijímat požadavky na uložení, změnu a vymazání zálohovacích dat, na druhé straně provádět výpočetně a diskově náročné deduplikační operace. Detekce malwaru na straně úložiště tuto situaci ještě více ztěžuje a komplikuje, protože útočník se snaží devalidovat veškeré zálohy, které se z počátku útoku snaží maskovat jako běžná provozní zátěž.

Rozeberme si tuto situaci technicky. Zálohovací úložiště má v popisu práce přijímat požadavky na vytvoření, změny a vymazání jednotlivých datových objektů. Není tedy možné z důvodu zabezpečení proti útoku odmítat požadavky na změny a vymazání dat, protože tyto požadavky jsou naprosto nezbytné pro správné zpracování retenčních a expiračních politik jednotlivých zálohovacích systémů. V případě klasických zálohovacích úložišť by zde tento článek mohl skončit, protože mnoho obranných mechanismů není. Naštěstí zálohovací úložiště ExaGrid řeší celou situaci jinak.

 

Zálohovací úložiště ExaGrid

ExaGrid od svého počátku využívá techniku dvou zón, Landing a Retenční zóny. Landing zóna se chová jako obyčejné diskové úložiště, které slouží pro co nejrychlejší zálohování a obnovy a je prezentováno zálohovacím prostředkům. Zároveň je ale vystaveno působení útoku se všemi zmíněnými důsledky. ExaGrid má ale také retenční zónu a ta není naopak žádným způsobem z infrastruktury přístupná. Velmi zjednodušeně řečeno: Retenční zóna je objektová knihovna deduplikátů a každý uložený soubor je popis, jak v případě potřeby znovu sestavit duplikovaný objekt. Tato vlastnost je pro ochranu proti Ransomwaru klíčová, protože změna objektu v Landing zóně neznamená změnu popisu v retenční zóně, ale vytvoření nového popisu při zachování původního.

S novou verzí OS ExaGrid je možné nastavit časový zámek retence a v případě napadení Ransomwarem zastavit její odpočítávání. Jakmile bude možné určit moment napadení, ExaGrid zajistí sestavení všech dat k požadovanému okamžiku. Systém se svým chováním podobá procesu Time Machine nebo databázovému Point to Time Restore. Zálohovací systém bude mít dostupná veškerá data před útokem a bude možné zahájit obnovy systémů, i když Ransomware provede částečně úspěšný útok i proti zálohovacímu úložišti.

 

Dva možné útoky na zálohovací úložiště

První a jednodušší možnost je pokus o smazání úložiště. Z pohledu útočníka je výhodou, že to je jednoduchá a velmi rychlá metoda útoku. Zde bude po útoku Landing zóna na některých místech prázdná, nicméně z retenční zóny je možné jednoduše sestavit poslední známá data, nebo se data  sestaví k požadovanému momentu před útokem.
 

 

Co je ransomware?

Ransomware je druh malwaru (škodlivého kódu), který po infikování oběti vynáší data, činí je nepřístupnými a snaží se je monetizovat. Kromě laterálního šíření je cílem ransomwaru snaha získat zajímavý obsah. Zkrátka vše, co může být použito jako výkupné pro danou oběť a co nejvíce znepřístupnit možný bod obnovy, tzn. zašifrovat zálohy, archivy apod. Vzhledem k tomu, že se jedná o velmi výdělečný obchod, jeho popularita se zvyšuje. S příchodem nových a nových systémů vzrůstá množství bezpečnostních zranitelností, které mohou být využity k napadení oběti a šíření škodlivého kódu.

obrazek1.png

Druhá možnost typu útoku je zašifrování dat. Tento útok je náročnější, nicméně je velmi účinný, protože znemožňuje obnovení dat pomocí funkcí “Undelete”, a ani čtení bloků na discích nevede k obnovení původních dat. Po útoku bude Landing zóna plná zašifrovaných souborů. V retenční zóně budou ale zálohy beze změny zachovány. Velmi příjemným vedlejším efektem principu fungování řešení ExaGrid je to, že budete varováni už během útoku. Prudce totiž stoupne změnovost záloh s nulovým stupněm komprese a deduplikace (kvalitní šifra se bez znalosti klíče jeví jako šum a výsledná data jsou nekomprimovatelná a nededuplikovatelná), což je zásadní varovný signál při Ransomware útoku.  ExaGrid tuto situaci detekuje a také reportuje. Připusťme ale, že jsme si varovných signálů nevšimli a Ransomware útok se úspěšně dokončí. Dojde k následující situaci. 

obrazek2.png

Landing zóna bude obsahovat validní jména objektů se zašifrovaným obsahem a retenční zóna bude obsahovat jména a popisy validních stavů. Na obrázku to jsou zálohy T1, T2 a zašifrovaného stavu T3.
Stejně jako v předchozím případě vypneme odpočítávání retence a zjistíme, který stav byl poslední platný před útokem a necháme sestavit objekty znovu k tomuto momentu. Na našem obrázku to může být čas T1 nebo T2. Exagrid sestaví obsah záloh k požadovanému momentu a můžeme začít proces obnov produkčních systémů.

Z hlediska bezpečnosti je velmi důležitá také ochrana integrity nastavení časového zámku. Pokud by byl Ransomware extrémně sofistikovaný, mohl by přenastavit nastavené retenční časy, nebo sám zahájit proces obnovy po útoku Ransomwaru. Aby toto nebylo možné, jsou předem nastavena striktní pravidla. Nastavení retence může změnit pouze specializovaný administrátorský účet se specifickým dvoufaktorovým ověřením. Samotný proces obnovy je společná aktivita předem definovaného administrátora na straně zákazníka a předem definovaného postupu zákaznické podpory společnosti ExaGrid. Je tedy nutná komunikace předem definovaných lidí.

 

Závěrem

Ochrana proti útoku Ransomwaru v řešení ExaGridu může působit neortodoxně, nicméně to je velmi elegantní řešení, které využívá standardní logiku post proces deduplikace do retenční zóny bez zásadních zásahů do procesu zpracování dat. Netrpí problémy, jako jsou výkonnostní propady při řetězení snapshotů, a zároveň dramaticky nezvyšuje nároky na zálohovací prostor. Obyčejně se zvýšení datové náročnosti pohybuje mezi 5-10% podle změnovosti a povahy dat.  Pro stávající zákazníky je jistě pozitivní, že i tato změna je součástí standardní podpory ExaGrid. Stávající zákazníci tak získají možnost ochrany před Ransomwarem zdarma v rámci SW updatu.

Autor: Richard Vršník, listopad 2020