Ransomware telah berevolusi menjadi ancaman yang menipu, sangat terkoordinasi dan sangat canggih yang mampu melumpuhkan organisasi dengan ukuran berapa pun. Penjahat dunia maya sekarang mengeksploitasi bahkan alat TI yang sah untuk menyusup ke jaringan dan meluncurkan serangan ransomware. Dalam contoh yang mengerikan, Microsoft baru -baru ini mengungkapkan bagaimana para aktor ancaman menyalahgunakan alat bantuan jarak jauh bantuannya untuk menggunakan strain ransomware basta hitam yang merusak. Dan apa yang lebih buruk? Inovasi seperti ransomware-as-a-service (RAAS) menurunkan bilah untuk masuk, membuat serangan ransomware lebih sering dan jauh dari sebelumnya. Menurut Cybersecurity Ventures, pada tahun 2031, serangan ransomware baru diperkirakan setiap 2 detik, dengan kerusakan yang diproyeksikan mencapai $ 275 miliar astronomi per tahun.
Tidak ada organisasi yang kebal terhadap ransomware, dan membangun strategi pemulihan yang kuat sama, jika tidak lebih, penting daripada mencoba mencegah semua serangan di tempat pertama. Strategi kontinuitas bisnis dan pemulihan bencana (BCDR) yang solid dapat menjadi garis pertahanan terakhir dan paling kritis Anda ketika ransomware menerobos, memungkinkan Anda untuk bangkit kembali dengan cepat dari serangan, melanjutkan operasi dan menghindari pembayaran tebusan. Khususnya, biaya investasi dalam BCDR dapat diabaikan dibandingkan dengan kehancuran yang dapat menyebabkan downtime yang berkepanjangan atau kehilangan data.
Dalam artikel ini, kami akan memecah lima kemampuan BCDR penting yang harus Anda miliki untuk memulihkan diri secara efektif dari ransomware. Strategi -strategi ini dapat berarti perbedaan antara pemulihan cepat dan kegagalan bisnis setelah serangan. Mari kita jelajahi apa yang harus dilakukan setiap organisasi sebelum terlambat.
Ikuti aturan cadangan 3-2-1 (dan kemudian beberapa!)
Aturan cadangan 3-2-1 telah lama menjadi standar emas: menyimpan tiga salinan data Anda, menyimpannya di dua media yang berbeda dan menyimpan satu salinan di luar lokasi. Namun di zaman ransomware, itu tidak lagi cukup.
Para ahli sekarang merekomendasikan strategi 3-2-1-1-0. Extra 1 adalah singkatan dari satu salinan abadi – cadangan yang tidak dapat diubah atau dihapus. 0 Nol meragukan kemampuan Anda untuk memulihkan, dengan poin pemulihan yang diverifikasi dan diuji.
Mengapa upgrade? Ransomware tidak hanya menargetkan sistem produksi lagi. Ini secara aktif mencari dan mengenkripsi cadangan juga. Itulah mengapa isolasi, kekhasan, dan verifikasi adalah kuncinya. Penyimpanan cadangan berbasis cloud dan udara memberikan lapisan perlindungan penting, menjaga cadangan di luar jangkauan dari ancaman yang bahkan menggunakan kredensial admin curian.
Memiliki cadangan yang tidak dapat diabadikan memastikan titik pemulihan tetap tidak terikat, apa pun yang terjadi. Mereka adalah jaring pengaman Anda saat semuanya dikompromikan. Plus, tingkat perlindungan data ini membantu memenuhi peningkatan standar asuransi dunia maya dan kewajiban kepatuhan.
Kiat bonus: Cari solusi yang menawarkan arsitektur Linux yang keras untuk menyamarkan dan mengisolasi cadangan di luar permukaan serangan jendela yang umum.
Mengotomatiskan dan memantau cadangan terus menerus
Otomatisasi sangat kuat, tetapi tanpa pemantauan aktif, itu bisa menjadi titik buta terbesar Anda. Saat menjadwalkan cadangan dan mengotomatiskan verifikasi menghemat waktu, itu sama pentingnya untuk memastikan bahwa cadangan itu benar -benar terjadi dan mereka dapat digunakan.
Gunakan alat bawaan atau skrip khusus untuk memantau pekerjaan cadangan, memicu peringatan tentang kegagalan dan memverifikasi integritas titik pemulihan Anda. Sederhana: Monitor terus menerus atau berisiko mengetahui terlambat bahwa cadangan Anda tidak pernah mendukung Anda. Menguji dan memvalidasi titik pemulihan secara teratur adalah satu -satunya cara untuk mempercayai rencana pemulihan Anda.
Kiat bonus: Pilih solusi yang terintegrasi dengan sistem tiket Automation (PSA) Profesional untuk secara otomatis menaikkan peringatan dan tiket untuk cadangan cadangan.
Lindungi infrastruktur cadangan Anda dari ransomware dan ancaman internal
Infrastruktur cadangan Anda harus diisolasi, dikeraskan, dan dikendalikan dengan ketat untuk mencegah akses atau gangguan yang tidak sah. Anda harus:
- Kunci lingkungan jaringan cadangan Anda.
- Host server cadangan Anda di segmen jaringan area lokal yang aman (LAN) tanpa akses internet masuk.
- Izinkan komunikasi keluar dari server cadangan hanya untuk jaringan vendor yang disetujui. Blokir semua lalu lintas keluar yang tidak disetujui menggunakan aturan firewall yang ketat.
- Mengizinkan komunikasi hanya antara sistem yang dilindungi dan server cadangan.
- Gunakan firewall dan daftar kontrol akses berbasis port (ACL) pada sakelar jaringan untuk menegakkan kontrol akses granular.
- Terapkan enkripsi level agen sehingga data dilindungi saat istirahat, menggunakan kunci yang dihasilkan dari frasa sandi aman yang hanya Anda kendalikan.
- Menegakkan kontrol dan otentikasi akses yang ketat.
- Menerapkan Kontrol Akses Berbasis Peran (RBAC) dengan peran yang paling tidak diutamakan untuk teknisi Tier 1.
- Pastikan otentikasi multifaktor (MFA) untuk semua akses ke konsol manajemen cadangan.
- Pantau log audit secara terus menerus untuk eskalasi hak istimewa atau perubahan peran yang tidak sah.
- Pastikan log audit tidak dapat diubah.
Tinjau secara teratur untuk:
- Peristiwa terkait keamanan seperti login yang gagal, eskalasi hak istimewa, penghapusan cadangan dan penghapusan perangkat.
- Tindakan administratif seperti perubahan pada jadwal cadangan, perubahan pengaturan retensi, pembuatan pengguna baru dan perubahan pada peran pengguna.
- Tingkat keberhasilan/kegagalan cadangan dan cadangan cadangan dan tingkat keberhasilan/kegagalan cadangan.
- Tetap waspada terhadap risiko yang serius.
- Konfigurasikan peringatan otomatis untuk pelanggaran kebijakan dan peristiwa keamanan tingkat tinggi, seperti perubahan yang tidak sah untuk kebijakan retensi cadangan.
Uji pemulihan secara teratur dan sertakannya ke dalam rencana DR Anda
Cadangan tidak ada artinya jika Anda tidak dapat memulihkannya dengan cepat dan sepenuhnya, dan itulah sebabnya pengujian reguler sangat penting. Latihan pemulihan harus dijadwalkan dan diintegrasikan ke dalam rencana pemulihan bencana Anda (DR). Tujuannya adalah untuk membangun memori otot, mengungkapkan kelemahan dan mengkonfirmasi bahwa rencana pemulihan Anda benar -benar bekerja di bawah tekanan.
Mulailah dengan mendefinisikan tujuan waktu pemulihan (RTO) dan Objective Titik Pemulihan (RPO) untuk setiap sistem. Ini menentukan seberapa cepat dan seberapa baru data Anda yang dapat dipulihkan perlu. Pengujian terhadap target tersebut membantu memastikan strategi Anda selaras dengan harapan bisnis.
Yang penting, jangan membatasi pengujian untuk satu jenis pemulihan. Simulasi pemulihan level file, pemulihan bulat-logam penuh dan failovers cloud skala penuh. Setiap skenario mengungkap kerentanan yang berbeda, seperti penundaan waktu, masalah kompatibilitas atau kesenjangan infrastruktur.
Juga, pemulihan lebih dari sekadar tugas teknis. Libatkan pemangku kepentingan di seluruh departemen untuk menguji protokol komunikasi, tanggung jawab peran dan dampak yang dihadapi pelanggan. Siapa yang berbicara dengan klien? Siapa yang memicu rantai komando internal? Setiap orang harus mengetahui peran mereka ketika setiap detik dihitung.
Mendeteksi ancaman lebih awal dengan visibilitas level cadangan
Ketika datang ke ransomware, kecepatan deteksi adalah segalanya. Sementara titik akhir dan alat jaringan sering mendapatkan sorotan, lapisan cadangan Anda juga merupakan garis pertahanan yang kuat dan sering diabaikan. Memantau data cadangan untuk anomali dapat mengungkapkan tanda -tanda awal aktivitas ransomware, memberi Anda awal yang kritis sebelum kerusakan yang meluas terjadi.
Visibilitas level cadangan memungkinkan Anda untuk mendeteksi tanda-tanda seperti enkripsi mendadak, penghapusan massal atau modifikasi file yang abnormal. Misalnya, jika suatu proses mulai menimpa konten file dengan data acak sambil meninggalkan semua cap waktu yang dimodifikasi utuh, itu adalah bendera merah utama. Tidak ada program yang sah yang berperilaku seperti itu. Dengan deteksi pintar di lapisan cadangan, Anda dapat menangkap perilaku ini dan segera diberitahu.
Kemampuan ini tidak menggantikan solusi deteksi dan respons titik akhir Anda (EDR) atau antivirus (AV); itu supercharges mereka. Ini mempercepat triase, membantu mengisolasi sistem yang dikompromikan lebih cepat dan mengurangi radius ledakan keseluruhan serangan.
Untuk dampak maksimal, pilih solusi cadangan yang menawarkan deteksi anomali real-time dan mendukung integrasi dengan informasi keamanan dan manajemen acara Anda (SIEM) atau sistem logging terpusat. Semakin cepat Anda melihat ancaman, semakin cepat Anda dapat bertindak – dan itu bisa menjadi perbedaan antara gangguan kecil dan bencana besar.
Kiat bonus: Latih pengguna akhir untuk mengenali dan melaporkan aktivitas yang mencurigakan lebih awal
Jika BCDR adalah lini pertahanan terakhir Anda, pengguna akhir Anda adalah yang pertama. Penjahat dunia maya semakin menargetkan pengguna akhir saat ini. Menurut Microsoft Digital Defense Report 2024, aktor ancaman sedang mencoba mengakses kredensial pengguna melalui berbagai metode, seperti serangan phishing, malware dan brute-force/password. Selama setahun terakhir, sekitar 7.000 serangan kata sandi diblokir per detik di entra id saja.
Bahkan, serangan ransomware sering dimulai dengan satu klik, biasanya melalui email phishing atau kredensial yang dikompromikan. Pelatihan keamanan reguler – terutama latihan phishing simulasi – membantu membangun kesadaran akan bendera merah dan perilaku berisiko. Lengkapi tim Anda dengan pengetahuan untuk menemukan tanda peringatan ransomware, kenali praktik data yang tidak aman dan merespons dengan tepat.
Dorong segera pelaporan apa pun yang tampaknya tidak aktif. Foster Budaya pemberdayaan, bukan disalahkan. Ketika orang merasa aman untuk berbicara, mereka lebih cenderung mengambil tindakan. Anda bahkan dapat mengambil lebih jauh dengan meluncurkan program internal yang menghargai kewaspadaan, seperti inisiatif pahlawan keamanan siber untuk mengenali dan merayakan wartawan awal ancaman potensial.
Pikiran terakhir
Ransomware tidak harus ditakuti; Itu harus direncanakan. Lima kemampuan BCDR yang kita bahas di atas akan melengkapi Anda untuk menahan bahkan ancaman ransomware paling canggih dan memastikan organisasi Anda dapat pulih dengan cepat, sepenuhnya dan percaya diri.
Untuk mengimplementasikan strategi ini dengan mulus, pertimbangkan Datto BCDR, platform terpadu yang mengintegrasikan semua kemampuan ini. Ini dibangun untuk membantu Anda tetap tangguh, apa pun yang terjadi. Jangan menunggu catatan tebusan untuk mengetahui bahwa cadangan Anda tidak cukup. Jelajahi bagaimana datto dapat memperkuat ketahanan ransomware Anda. Dapatkan harga Datto BCDR khusus hari ini.
