Необходимость уровней бэкапов при кибератаке

Данные компании – ключевой актив любого бизнеса. Они содержат информацию, необходимую для её нормальной работы. Потеря данных вследствие кибератак нарушает деятельность компании, влечёт серьёзные финансовые потери и подрывает доверие клиентов. Поэтому компании крайне важно встретить возможную атаку во всеоружии и максимально быстро вернуться к нормальной работе.

Что такое кибератаки и какими они бывают

Кибератаками называют действия злоумышленников, направленные на уничтожение или похищение информации, хранящейся на компьютерах, в базах данных, на серверах или в сетях. Кибератаки организуют как хакеры-одиночки, так и киберпреступные группировки. В некоторых случаях они сотрудничают с государственными структурами в рамках информационных войн.

Основные виды кибератак:

• установка вредоносного программного обеспечения;
• DoS и DDoS-атаки;
• фишинг;
• использование программных уязвимостей;
• Drive-by атаки;
• SQL-инъекции;
• MITM;
• Брутфорс-атаки.

Установка вредоносного ПО

Наиболее распространённый вид кибератак – заражение системы вредоносными программами.

Всем известные вирусы внедряются в файловые систему компьютеров для совершения разнообразных злонамеренных действий. Заразные сетевые черви способны вызывать целые информационные эпидемии. Троянские программы маскируются под штатные.

Программы-вымогатели Ransomware блокируют доступ к системе или шифруют чувствительные для пользователя или организации данные, требуя у них выкуп за возврат доступа.

Программы-шпионы способны собирать конфиденциальную информацию о намеченной жертве: адрес, местоположение работы, пароли и логины аккаунтов, банковские данные, видеозаписи.

Бэкдоры (back door– «чёрный ход») перехватывают у законного владельца административные права на управление компьютером.

Adware-программы перенаправляют запросы браузера нарекламные сайты, а также запускают накомпьютере рекламные баннеры иобъявления.

Программы-майнеры предназначены для захвата вычислительных ресурсов компьютера с целью добычи криптовалюты.

К счастью, надёжная антивирусная программа способна обезопасить грамотного пользователя от вышеперечисленных неприятностей.

DoS и DDoS

Denial of Service и Distributed Denial of Service (распределённый отказ в обслуживании) – атака на сервер с помощью генерации огромного количества запросов к нему. Они делают его недоступным для законопослушных пользователей и организаций. В результате нарушается работа государственных и бизнес-структур, а рядовые граждане лишаются привычных источников информации. Разница между DoS и DDoS – в количестве компьютеров, участвующих в атаке. В последнем случае их может быть сотни и тысячи.

Фишинг

Фишинг – побуждение пользователей к переходу и работе на поддельных сайтах и сервисах, внешне очень похожих на настоящие. Цель – хищение персональных данных (логина и пароля) ничего не подозревающего пользователя. За этим может последовать получение доступа к его банковским счетам.

Использование программных уязвимостей

Разработчики программного обеспечения непрерывно совершенствуют его, устраняя обнаруженные слабые места в выпускаемых обновлениях. Но о программных уязвимостях узнают и злонамеренные хакеры, иногда даже раньше разработчиков. Они организуют атаку Zero-Day («нулевого дня») ещё до появления официальных корректирующих обновлений. Злоумышленники могут использовать программные уязвимости не только конкретной программы, но и поставщиков стороннего программного обеспечения к ней Software Supply Chain Attacks («атаки на цепочку поставок ПО»).

Drive-by атака

Drive-by атака – несанкционированная пользователем установка на его компьютер вредоносных скриптов Cross-Site Scripting («межсайтовый скриптинг). Они подготавливают почву для последующей кибератаки. В отличие от других видов кибератак, Drive-by атака не инициируется действиями пользователя: достаточно простого посещения сайтов. При этом внедрённые скрипты собирают информацию о пользователях или перенаправляют их на фальшивую страницу-клон.

Другие виды кибератак

SQL-инъекция – попытка изменить корректный запрос к базе данных на вредоносный. Цель – получить доступ к данным, после чего изменить или удалить их.

Man-in-the-Middle («человек посередине») – попытка незаметного внедрения в трафик между двумя узлами связи. Но злоумышленники не смогут воспользоваться похищенными данными, если их передача происходила по защищённым протоколам.

Брутфорс-атаки – попытка вломиться (brute-force– «грубая сила») в систему или на сайт пользователя элементарным перебором комбинаций пароля. Ограничение количества попыток входа или двухфакторная аутентификация – эффективная защита от таких атак.

Способы защиты

Негативные последствия кибератак можно минимизировать при грамотном подходе к обеспечению безопасности. Из вышесказанного очевидна необходимость регулярного обновления используемого программного обеспечения. Само собой разумеется, использование надёжной антивирусной программы и отказ от работы с посторонними флеш-накопителями.

Надёжные пароли и многофакторная аутентификация

Первая линия обороны от кибератак – надёжные пароли. Легкомысленное отношение к их выбору может дорого обойтись в прямом смысле слова. Крайне нежелательно составлять пароль из простых клавиатурных комбинаций и использовать один код для нескольких сервисов. Многие сайты учитывают человеческое легкомыслие, не позволяя пользователям создавать слишком простые пароли.

Рекомендуется пользоваться предлагаемыми менеджерами паролей. Они исключают необходимость запоминания и последующего ввода множества паролей. Исключение составляет единственный пароль – к самому менеджеру. Кроме автоматического ввода, менеджер придумывает сложные надёжные пароли. Некоторые менеджеры позволяют хранить и автоматически подставлять данные банковских карт и страховых полисов.

Всё больше сайтов и сервисов предлагают своим пользователям доступ по многофакторной (MFA) аутентификации. Для входа пользователь должен предоставить более одного доказательства своей личности. В наиболее распространённом случае двухфакторной (2FA) аутентификации после проверки пароля или PIN-кода следует проверочный звонок на личный смартфон.

Защита корпоративных данных

Для защиты корпоративных данных рекомендуется:

• шифрование информации, в первую очередь конфиденциальной;
• разграничение доступа сотрудников к корпоративным данным по принципу минимально необходимого;
• регулярные тренинги сотрудников по кибербезопасности.

Многоуровневая система резервного копирования

МСРК – способ защиты данных, предусматривающий создание нескольких копий резервируемых («бэкап») данных, причём на разных носителях и в разных местах. Такой подход нацелен на сохранение контроля за важной информацией буквально во всех случаях жизни. К главным принципам МСРК относятся.

• Наличие не менее двух копий резервируемых данных (всего три, включая оригинал).
• Хранение резервных копий на двух разных физических носителях, например, на жёстких дисках и сервере.
• Хранение одной из резервных копий в отдалении («с воздушным зазором») от основного местоположения, чтобы обезопасить её в форс-мажорных обстоятельствах рукотворной (пожар) или стихийной (землетрясение) катастрофы. Эта отдалённая локация не подключена к интернету с тем, чтобы исключить возможность её компрометации по удалённому доступу.

Альтернативное название представленной МСРК – метод резервного копирования 3-2-1. Затраты на его развёртывание вполне оправданы существенным снижением вероятности потери или повреждения информации вследствие кибератак.

Схемы нескольких уровней бэкапов

Бэкап (резервное копирование) – создание копий основных данных защищаемой системы для их оперативного восстановления в случаях кибератак, сбоев аппаратуры или программного обеспечения и, даже, стихийных бедствий (см. выше). Резервное копирование осуществляется регулярно с тем, чтобы хранимые данные не теряли актуальности.

К основным типам бэкапов относятся полный, инкрементный и дифференциальный.

Полный бэкап – создание резервной копии всей информации. Он запускается при начальном резервном копировании данных системы, или при существенных изменениях в ней. Таковыми, например, являются обновление базы данных или изменение конфигурации сервера. Полный бэкап занимает значительное время, и производится обычно еженедельно или ежемесячно.

Инкрементный бэкап (добавочное резервное копирование) сохраняет только файлы, изменённые после последнего копирования – полного или предыдущего инкрементного. Очевидно, что инкрементный бэкап требует гораздо меньше времени на выполнение. Поэтому его можно запускать ежедневно, или даже чаще. Но для возможного восстановления данных, кроме последней полной копии, потребуются также все последующие инкрементные.

Дифференциальный бэкап (разностное резервное копирование) сохраняет только файлы, изменённые после последнего полного бэкапа. Для возможного восстановления данных, кроме последнего дифференциального, потребуется также последняя полная резервная копия. Дифференциальный бэкап, занимая больше времени для создания, чем инкрементный, быстрее восстанавливает данные. Аналогично инкрементному, он обычно выполняется каждый день.

Резюмируя, можно констатировать, что полный бэкап – самый длительный при создании, но простой при восстановлении данных. Инкрементный бэкап – самый быстрый, но относительно сложный для восстановления. Дифференциальный бэкап занимает промежуточное положение между ними.

Сочетание описанных типов бэкапов позволяет обеспечить оптимальную систему резервного копирования. Полный бэкап – его основа, инкрементный обеспечивает актуальность данных, а дифференциальный — упрощенное восстановление, не требующее запоминания последовательности нескольких инкрементных копий. Описанный комбинированный подход обеспечивает минимизацию риска потерь и возможность иметь актуальные резервные данные.

Для полноты картины отметим, что существует ещё один тип бэкапа – зеркальный. Речь идёт о полной копии («зеркале») защищаемой информации. Эта копия синхронизирована со своим оригиналом: все изменения в нём (включая негативные) отражаются в зеркале, поэтому в нём всегда хранится актуальная информация. Очевидно, что для восстановления утерянных (как в оригинале, так и в зеркале) данных приходится прибегать к другим из рассмотренных выше бэкапов.

Практические аспекты многоуровневого резервного копирования

Потенциальные преимущества многоуровневого бэкапа становятся реальностью при его грамотной организации. Ниже рассматриваются некоторые её практические аспекты.

Выбор резервируемых данных

В начале работы рекомендуется полный аудит информации с целью определения резервируемых данных. Как правило, это:

• базы данных, содержащие информацию о клиентах, продуктах и производимых операциях;
• данные о настройке операционных систем, конфигурации серверов и другая подобная информация для скорейшего восстановления работоспособности системы;
• рабочие документов – контракты, соглашения, отчёты, инструкции и т. п.

Резервное копирование баз данных часто производится встроенными утилитами MySQL Backup и SQL Server Management Studio. А для серверного бэкапа подойдёт Windows Server Backup– встроенный компонент операционной системы Windows Server.

Выбор места хранения бэкапов

Локальные серверы хороши для больших объемов данных. Они, однако, уязвимы к кибератакам и стихийным бедствиям. Внешние жёсткие диски – более экономичный вариант, а облачные хранилища – более надёжный. Как правило, используется сочетание локальных и облачных решений.

Частота резервного копирования

На периодичность бэкапов влияет и специфика резервируемых данных. Критически важная информация должна копироваться ежедневно, а для относительно стабильных данных можно установить период в неделю или месяц. График резервного копирования может, например, состоять из ежедневного инкрементного бэкапа, ежедневного дифференциального и ежемесячного полного.

Заключение

Регулярное создание бэкапов в рамках МСРК – оправданная инвестиция в стабильность и будущее бизнес-компании. Их разработку и настройку следует доверить профессионалам в области защиты информации.