أصبحت هجمات برامج الفدية أكثر تعقيدًا من أي وقت مضى. لم يعد المهاجمون يقومون بتشفير البيانات فحسب، بل يهددون بكشف البيانات الحساسة ابتزاز مزدوج و الابتزاز الثلاثي الهجمات. و برامج الفدية تستهدف الهجمات بشكل متزايد النسخ الاحتياطية وكذلك البيانات التشغيلية.
من وجهة نظر المهاجم.. لاستهداف النسخ الاحتياطية أمر منطقي. المنظمات التي يمكنها الاستعادة من النسخ الاحتياطية أقل احتمالاً للقيام بذلك دفع فدية. والآن، يتطلع المهاجمون إلى تحديد وحدات التخزين الاحتياطية وتعطيلها أو حذفها.
لمواجهة هذا، الموردين بنيت الحماية من برامج الفدية في النسخ الاحتياطي والتخزين. من خلال العمل في طبقة التخزين، تتلقى فرق الأمان تحذيرًا مبكرًا بشأن هجمات برامج الفدية ويمكنها منعها. لكن هذه الوظيفة لا تزال جديدة تمامًا. لذا، هل ينبغي أن يكون جزءًا من استراتيجية المؤسسة لمكافحة برامج الفدية؟
النسخ الاحتياطية لفيروسات برامج الفدية
تسللت هجمات برامج الفدية المبكرة إلى الشبكات والبيانات المشفرة، ثم طالبت بفدية مقابل مفاتيح فك التشفير.
لكن الشركات عززت إجراءات النسخ الاحتياطي الخاصة بها. وقد أضاف موردو النسخ الاحتياطي والاسترداد ميزات مكافحة برامج الفدية. وتشمل هذه كشف الشذوذواللقطات غير القابلة للتغيير، والتأكد من وجود نسخ احتياطية الهواء من أنظمة الإنتاج.
ونتيجة لذلك، يلاحق المهاجمون الآن النسخ الاحتياطية أيضًا. يتضمن ذلك حذف ملفات النسخ الاحتياطي، أو تشفيرها، أو مهاجمة واجهات برمجة التطبيقات (APIs) الخاصة ببرنامج النسخ الاحتياطي.
تعمل النسخ الاحتياطية وفقًا لجدول زمني، حيث يتم نسخ البيانات كل بضع ساعات أو بين عشية وضحاها، على سبيل المثال. وهذا يمنح المهاجمين فرصة لإصابة الأنظمة أو بدء التشفير بشكل جماعي قبل تشغيل النسخة الاحتياطية
تستغل مجموعات برامج الفدية أيضًا ميزات طريقة عمل أدوات النسخ الاحتياطي.
تعمل النسخ الاحتياطية وفقًا لجدول زمني، حيث يتم نسخ البيانات كل بضع ساعات أو بين عشية وضحاها، على سبيل المثال. وهذا يمنح المهاجمين فرصة لإصابة الأنظمة أو بدء التشفير بشكل جماعي قبل تشغيل النسخة الاحتياطية.
والنتيجة هي أن المؤسسة تأخذ نسخة احتياطية من البيانات التي تم تشفيرها بالفعل أو التي تحتوي على تعليمات برمجية ضارة. يمكن لمجموعات القرصنة بعد ذلك تنشيط هذه البرامج الضارة “القنابل الموقوتة” لاحقًا – أو ما هو أسوأ من ذلك، عندما تحاول الشركة الاستعادة من نسخة احتياطية مصابة.
ولسد هذه الفجوة، يعرض الآن عدد متزايد من الموردين الكشف عن برامج الفدية في طبقة التخزين. إذا اكتشف النظام علامات الهجوم، مثل حدث التشفير الشامل، فإنه يطلق لقطة جديدة غير قابلة للتغيير من البيانات وينبه فرق تكنولوجيا المعلومات أو الأمن قبل أن تسيطر البرامج الضارة.
يقول برنت إليس، كبير المحللين في شركة Forrester، الذي يقود مرونة التكنولوجيا: “إذا تمكنت من الاقتراب من بيئة الإنتاج للكشف والبدء في سير عمل اللقطة الثابتة، فستحصل على استجابة أسرع و”نطاق انفجار” أكثر محدودية”. أبحاث النسخ الاحتياطي والتخزين.
أساليب مكافحة برامج الفدية الخاصة بالموردين
بالنسبة لموردي وحدات التخزين، فإن الحماية الرئيسية ضد برامج الفدية تكون من خلال النسخ الاحتياطية غير القابلة للتغيير، وعادة ما تكون لقطات. يمكن إعداد صفائف التخزين للاحتفاظ باللقطات محليًا، في موقع خارج الموقع – مثل مركز بيانات ثانٍ – أو في السحابة العامة.
مثل اللقطات عادة ما تكون غير قابلة للتغييريمكن للشركات إعداد إجراءات روتينية معقدة للغاية لنسخها. يتضمن ذلك استخدام مناطق توفر سحابية متعددة، أو موفري خدمات سحابية متعددين إذا كانت متطلبات الميزانية والأمان تتطلب ذلك.
تكمن المشكلة في أن اللقطات تشغل مساحة أكبر من النسخ الاحتياطية التقليدية للبيانات فقط. ولا فائدة منها إذا كانت البيانات مصابة بالفعل قبل التقاط اللقطة.
ولمواجهة ذلك، انتقل الموردون إلى إضافة ميزة الكشف إلى أنظمتهم. تهدف الأنظمة إلى اكتشاف حدث تشفير جماعي، أو سلوك مشبوه آخر مثل عدد كبير من التغييرات على الملفات في النظام، أو زيادة مستويات العشوائية في أسماء الملفات والمحتوى. هذه علامات مبكرة على أن البرامج الضارة قد بدأت في تشفير البيانات.
لا تستطيع أنظمة التخزين وحدها توفير الحماية الكاملة ضد برامج الفدية. تحتاج الشركات أيضًا إلى حماية قوية لنقاط النهاية، وأدوات لمكافحة التصيد الاحتيالي، وأدوات نسخ احتياطي قوية، واستراتيجية نسخ احتياطي واسترداد فعالة ومتدربة
يتمتع موردو النسخ الاحتياطية بالفعل بوظيفة الكشف عن برامج الفدية التي تقوم بفحص الملفات أثناء نسخها أو استيعابها في نظام النسخ الاحتياطي. يهدف وضع هذا في طبقة التخزين إلى تسريع هذه العملية.
يقول إليس من شركة Forrester: “المشكلة هي أنه ربما يتم تشغيل النسخ الاحتياطية كل نصف ساعة، أو كل ساعة، أو كل أربع ساعات”. “هناك تأخير في الكشف حيث يمكن أن يزيد نطاق المشكلة. لذلك، انتقل الاكتشاف إلى بيئات التخزين الأساسية حيث يكون لديهم عملية مستمرة لاكتشاف أنواع الملفات الضارة إذا كانت تخزينًا قائمًا على الملفات، أو اكتشاف الحالات الشاذة أو أخطاء الإنتروبيا في التخزين القائم على الكتلة.
ويقول إن حدث التشفير الجماعي يسجل معدلًا مرتفعًا للتغيير على حجم التخزين. وهذا يسمح لمصفوفات التخزين باكتشاف اللعب الخاطئ. لكن النقطة الأساسية هي أن الاكتشاف يجب أن يؤدي إلى لقطات “مفصلة” لتعظيم فرص إنقاذ البيانات، وإنشاء تنبيهات حتى تتمكن فرق الأمن من التصرف لاحتواء المشكلة.
يقدم الآن عدد من موردي وحدات التخزين هذه الأدوات، وغالبًا ما يستخدمونها الذكاء الاصطناعي (AI) للكشف عن الحالات الشاذة.
من بين الموردين الذين يتمتعون بوظائف مكافحة برامج الفدية، NetApp وPure Storage وDell EMC (في نطاق PowerStore الخاص بها) وIBM.
على سبيل المثال، تستخدم شركة Dell EMC بيانات PowerStore عند Rest Encryption بالإضافة إلى اللقطات للحماية من برامج الفدية. يقوم IBM Storage FlashSystem، وهو جزء من IBM Storage Virtualize، بإنشاء لقطات يتم فصلها تلقائيا عن بيئات الإنتاج.
تم دمج لقطات الوضع الآمن الخاصة بـ Pure في جميع منتجات المورد وإدارتها من خلال Pure1. يدعم المورد مصادقة متعددة العوامل والتحكم في الوصول “بأربع عيون” (يلزم وجود شخصين للسماح بحذف النسخة الاحتياطية). وفي الوقت نفسه، تدعي شركة NetApp أنها المورد الأول الذي يمتلك ميزة الكشف عن البرامج الضارة المدعومة بالذكاء الاصطناعي في طبقة التخزين، وتوفر نسخًا احتياطية غير قابلة للتغيير ولا تمحى.
يمكن استخدام هذه الأدوات جنبًا إلى جنب مع تدابير الوقاية من برامج الفدية في أدوات النسخ الاحتياطي والاسترداد من الموردين الذين يشملون Veeam وRubrik وCohesity وCommvault. ومن الجدير بالذكر أن بعض موردي البرامج، مثل MongoDB، يقدمون أيضًا لقطات غير قابلة للتغيير. وهذا يوفر حماية إضافية لطبقة المكدس الخاصة بهم.
التخزين كاستراتيجية لمكافحة برامج الفدية
ومع ذلك، لا تستطيع أنظمة التخزين وحدها توفير الحماية الكاملة ضد برامج الفدية. الشركات تحتاج أيضا قوية حماية نقطة النهاية وأدوات مكافحة التصيد الاحتيالي لتقليل فرص إصابة المؤسسة ببرامج الفدية. كما يحتاجون أيضًا إلى أدوات نسخ احتياطي قوية، واستراتيجية نسخ احتياطي واسترداد فعالة ومتدربة.
توفر الحماية من برامج الفدية على مستوى التخزين ميزة السرعة، ونظرًا لأن عمليات الفحص تتم باستمرار على بيانات الإنتاج، فإنها تقلل من المخاطر الموجودة في الفجوة بين النسخ الاحتياطية.
ولكن هناك أيضًا قيود، ليس أقلها بسبب قوة المعالجة المحدودة المتوفرة في صفائف التخزين. يمكن لأدوات النسخ الاحتياطي استخدام تحليلات أكثر تقدمًا، حيث يمكنها الوصول إلى وحدات معالجة كمبيوتر الخادم ويمكنها الاطلاع على البيانات بمرور الوقت. وهذا يسمح لهم ببناء صورة للسلوك الطبيعي لتلك البيانات، ومنع الهجمات المستقبلية.
ومن الناحية المثالية، سيستخدم مدراء تكنولوجيا المعلومات أدوات مكافحة برامج الفدية في التخزين والنسخ الاحتياطي. ويحذر إليس من أن “أداة واحدة لن تكون كافية”. “خط الدفاع التالي يقع في بيئة الإنتاج الخاصة بك، وذلك في نظام التخزين الخاص بك.”
