27 квітня 2025 р.
Bitwa o DANE, czyli aktywna ochrona BACKUPu przed ransomware
Ochrona danych znacząco ewoluowała w ostatnich latach – to nie opinia, a fakt. Ciężar dyskusji branżowych przesunął się z tematów deduplikacji, replikacji i continuous data protection (CDP), na kwestie związane z bezpieczeństwem, takie jak niezmienność kopii, reagowanie na incydenty oraz wykrywanie złośliwego oprogramowania. Zwłaszcza kwestia ochrony kopii zapasowych przed ransomware to w ostatnim czasie zagadnienie, które do czerwoności rozgrzewa specjalistów cyberbezpieczeństwa. Zwłaszcza, że skanowanie kopii zapasowych w poszukiwaniu złośliwego oprogramowania nie ma na celu zastąpić tradycyjnych narzędzi ochrony stacji końcowych - ma ono zapewnić dodatkową warstwę detekcji, gdzie ochrona backupu jest ostatnią sekwencją w wielowarstwowej ochronie danych.
W niniejszym artykule przedstawimy narzędzia zaimplementowane w systemie Veeam Data Platform aktywnie chroniące kopie zapasowe przed ransomware, które wyznaczają nowy branżowy standard w zakresie ochrony danych.
PRZED wykonaniem kopii zapasowej
Proaktywna ocena zagrożeń
W oparciu o framework MITRE ATT&CK i dane z Coveware wiemy, że cyberprzestępcy atakują kopie zapasowe po uzyskaniu dostępu do repozytorium backupu. Veeam to jedyny dostawca, który proaktywnie szuka podejrzanych zachowań przed wykonaniem kopii zapasowej. Służy do tego szereg narzędzi:
-
Skaner do rekonesansu (Recon Scanner) - wysyła alerty o potencjalnych zagrożeniach dla serwera kopii zapasowych, wykrywając podejrzane zdarzenia - takie jak nieznane adresy IP próbujące zdalnego dostępu czy zhakowane konta usiłujące wdrożyć ataki siłowe (brute force). Skaner ten pomaga również tworzyć chronologię zdarzeń, co jest kluczowe przy identyfikacji „czystych” punktów przywracania systemu.
-
Monitorowanie i analityka z AI - wykrywa anomalie w środowisku produkcyjnym przed wykonaniem kopii zapasowej, identyfikując nietypowe wzorce, np. dotyczące maszyn wirtualnych (VM), ataki siłowe na hiperwizory oraz podejrzaną aktywność SSH (Secure Shell). System wykorzystuje algorytmy sztucznej inteligencji do analizy dużych zbiorów danych i wykrywania subtelnych odchyleń od normalnych wzorców działania.
-
Veeam Incident API - umożliwia integrację narzędzi bezpieczeństwa firm trzecich z Veeam, np. SIEM od CrowdStrike. Daje to szerokie pole możliwości zapobiegania atakom na system backupu i kopie zapasowe, w tym: flagowanie potencjalnie zainfekowanych punktów przywracania, wykrywanie szyfrowania plików i wolumenów.
W TRAKCIE wykonywania kopii zapasowej
Wielowarstwowa detekcja w czasie rzeczywistym
Veeam skrupulatnie wykrywa i mityguje zagrożenia w czasie rzeczywistym podczas wykonywania kopii zapasowych:
-
Skaner IoC (Indicators of Compromise) - sprawdza, czy na maszynach nie działają szkodliwe narzędzia używane przez cyberprzestępców oraz wykrywa nowo zainstalowane narzędzia, nawet jeśli są to instrumenty "living off the land" (wykorzystujące standardowe urządzenia systemowe do złośliwych celów). Wskaźniki kompromitacji (IoC) to artefakty obserwowane w sieci lub systemie, które z dużym prawdopodobieństwem wskazują na włamanie lub inną złośliwą aktywność. Mogą to być konkretne sygnatury plików, adresy IP, nazwy domen, wartości rejestru czy ciągi znaków w plikach.
-
Analiza entropii - skanuje bloki danych pod kątem losowości (entropii), szukając zaszyfrowanych danych, linków Tor (używanych do dostępu do sieci Tor i usług w Darknecie) i notek z żądaniem okupu. Entropia w kontekście cyberbezpieczeństwa odnosi się do stopnia losowości lub nieprzewidywalności danych. Zaszyfrowane dane wykazują zazwyczaj wysoki poziom entropii, co może wskazywać na działanie ransomware. System Veeam analizuje zatem rozkład wartości bajtów w danych, obliczając ich entropię matematyczną (np. używając algorytmów Shannon entropy), aby wykryć bloki danych, które zostały zaszyfrowane.
-
Indeksowanie plików - wykorzystuje analizę opartą na sygnaturach do skanowania bazy danych Veeam w poszukiwaniu znanych rozszerzeń złośliwego oprogramowania. Proces ten tworzy indeks zawierający metadane o wszystkich plikach w kopii zapasowej, co pozwala na szybkie wyszukiwanie podejrzanych elementów bez konieczności przywracania całych wolumenów danych.
-
Niezmienne kopie zapasowe (Immutable Backups) - zapewniają możliwość odzyskania danych nawet po skutecznym ataku ransomware. Niezmienność w kontekście kopii zapasowych oznacza, że dane po zapisaniu nie mogą być modyfikowane, usuwane ani w żaden sposób zmieniane przez określony czas, nawet przez administratorów czy osoby z uprawnieniami. Można w tym celu użyć Linux Hardened Repository (utwardzone repozytorium) lub Veeam Cloud Connect z repozytorium od autoryzowanego Service Provider’a Veeam.
PO wykonaniu kopii zapasowej
Zapewnienie szybkiego i czystego odzyskiwania
Ataki typu ransomware nie byłyby tak częste, gdyby narzędzia cyberbezpieczeństwa wyłapywały wszystko, co wiąże się z naruszeniem danych. To na tę chwilę nieosiągalne, a więc organizacje muszą przygotować się na najgorsze. Jest jednak światełko w tunelu, w postaci rozwiązań, które pozwalają minimalizować straty po skutecznym cyberataku:
-
Recon Blast Radius - identyfikuje rzeczywisty zakres ataku ransomware, wykrywając uszkodzone lub niezaszyfrowane pliki i tworząc oś czasu zdarzeń. ,,Blast Radius" to termin określający zasięg wpływu ataku - czyli które systemy, aplikacje i dane zostały nim dotknięte. Narzędzie to pomaga zidentyfikować, jak daleko rozprzestrzenił się atak i jakie dane zostały naruszone lub zaszyfrowane, co jest kluczowe dla skutecznego planowania odzyskiwania.
-
Threat Hunter - zaawansowane narzędzie służące do skanowania punktów przywracania w poszukiwaniu złośliwego oprogramowania, dzięki czemu tylko „czyste” kopie zostaną użyte do odtwarzania. Threat Hunting (polowanie na zagrożenia) to proaktywne podejście do wykrywania zagrożeń, które mogły ominąć istniejące systemy bezpieczeństwa. Veeam Threat Hunter wykorzystuje zaawansowane techniki analizy behawioralnej i uczenia maszynowego do identyfikacji potencjalnych zagrożeń, które mogą być ukryte w kopiach zapasowych.
-
Skanowanie oparte na regułach YARA – to technika wyszukiwania wskaźników kompromitacji, poprzez wykrywanie dotychczas pominiętego złośliwego oprogramowania lub ataków typu zero-day. YARA (Yet Another Recursive Acronym) to narzędzie używane przez badaczy bezpieczeństwa do identyfikacji i klasyfikacji próbek złośliwego oprogramowania. Reguły YARA pozwalają na tworzenie opisów bazujących na wzorcach tekstowych lub binarnych, które mogą być wykorzystywane do identyfikacji ransomware. Veeam zaimplementował YARA, umożliwiając administratorom tworzenie niestandardowych reguł dostosowanych do różnych środowisk IT.
-
Orkiestracja przywracania i cleanroom – automatyzacja w zakresie odzyskiwania całych systemów po ataku czy awarii na bazie detalicznego Disaster Recovery Planu. Orkiestracja odnosi się do automatyzacji i koordynacji odzyskiwania systemów w odpowiedniej kolejności i z odpowiednimi zależnościami. ,,Cleanroom" (czyste środowisko) to izolowane środowisko, w którym można bezpiecznie przywrócić i przetestować potencjalnie zainfekowane systemy bez ryzyka dalszego rozprzestrzeniania się złośliwego oprogramowania.
Integracja cybersecurity z Veeam Data Platform
Rozbudowane możliwości ochrony backupu są najbardziej efektywne, gdy zaangażowane są równolegle różnorodne narzędzia cybersecurity. Integracja z VDP umożliwia przekazywanie zdarzeń bezpośrednio do narzędzi i dashboardów, których używa na co dzień zespół bezpieczeństwa, co daje najlepsze efekty.
Oto jak może wyglądać proces wykrywania incydentu bezpieczeństwa po integracji:
-
Veeam lub narzędzie EDR1/XDR2 wykrywa podejrzane zachowanie na maszynie przed lub podczas tworzenia kopii zapasowej.
-
Zdarzenie jest przekazywane do narzędzia SIEM (Security Information and Event Management) organizacji. SIEM to systemy zbierające i analizujące dane z różnych źródeł w celu wykrywania zagrożeń i anomalii bezpieczeństwa. Veeam Data Platform integruje się z wiodącymi rozwiązaniami SIEM, takimi jak Splunk, CrowdStrike Falcon, IBM QRadar, Microsoft Sentinel, Elastic Security i ArcSight. Integracja ta umożliwia centralne monitorowanie i korelację zdarzeń bezpieczeństwa.
-
Automatycznie uruchamia się playbook (scenariusz automatyzacji), który wyzwala natychmiastowe przywrócenie podejrzanej zainfekowanej maszyny do środowiska cleanroom w celu uzyskania tzw. „drugiej opinii” z Veeam Threat Hunter. Playbooki to wcześniej zdefiniowane sekwencje działań, które są wykonywane automatycznie w odpowiedzi na określone zdarzenia lub alerty.
-
Jeśli skan wskazuje, że wszystko jest w porządku, oznacza zdarzenie jako fałszywy alarm (false positive).
-
Jeśli skan potwierdza złośliwe oprogramowanie, Recon Blast Radius skanuje maszyny, aby lepiej zrozumieć oś czasu i zakres dotkniętych danych.
Zaangażowanie Veeam w cyberbezpieczeństwo rozciąga się na pełny „cykl życia danych”. Od momentu przed wykonaniem kopii zapasowej, poprzez proces tworzenia kopii, aż po etap po wykonaniu kopii zapasowej - Veeam zapewnia ochronę danych na każdym etapie. To kompleksowe podejście nie tylko minimalizuje ryzyko i wpływ cyberataków, ale także zapewnia, że organizacje mogą szybko i efektywnie odzyskać dane.
Zaawansowane technologie skanowania i proaktywne strategie Veeam czynią go najbardziej zaawansowanym rozwiązaniem do ochrony danych. Integrując zaawansowane narzędzia i zapewniając niezmienność backupu, Veeam pomaga organizacjom być o krok przed cyberzagrożeniami, zapewniając odporność danych i niezakłócone działanie.
1EDR (Endpoint Detection and Response) to narzędzia do wykrywania i reagowania na zagrożenia na punktach końcowych, takich jak komputery, serwery czy urządzenia mobilne.
2XDR (Extended Detection and Response) rozszerza możliwości EDR na inne obszary infrastruktury IT, takie jak sieci, chmury czy aplikacje.
Autor artykułu i redakcja: Natalia Dutkiewicz
Weryfikacja merytoryczna: Tomasz Magda
Chcesz wypróbować Veeam Data Platform i przekonać się jak może wyglądać skanowanie bezpieczeństwa kopii zapasowych? Napisz do nas lub przetestuj naszą usługę.
