Varautumisesi pettää ransomware-iskussa – miksi?

Varautumisesi pettää ransomware-iskussa – miksi?

Luotat varmuuskopioihin – ransomware ei pääse käsiksi tietoihisi? Väärin. Nykyiset hyökkääjät eivät tyydy tiedostoihisi. Ne iskevät myös varmuuskopioihisi. Miksi vanhat keinot eivät enää riitä? Ja mitä todella pitää tehdä?

Varmuuskopioiden ansa: Turvaverkko, jossa on reikä

Olin pitkään varma, että varmuuskopiot ovat kuin sammutin toimistossa. Ne ovat paikallaan, toimivat ja pelastavat tilanteen pahassa paikassa. Totuus on toinen: lunnasohjelma-ryhmät ovat tajunneet, että varmuuskopiot ovat paras kohde. Ne tuhoavat ne tehokkaasti.

Hyökkääjän näkökulmasta se on loogista. Miksi kiristää tiedostoista, jos uhri voi palauttaa kaiken kopiosta? Siksi ne ovat vaihtaneet taktiikkaa. Yritykset, jotka luulivat olevansa turvassa, oppivat kipeästi, että kopiot ovat yhtä haavoittuvia kuin alkuperäinen data.

Tämä ei ole pelottelua. Se tapahtuu juuri nyt.

3-2-1-sääntö: Hyvä periaate, mutta vanhentunut

Muistellaan perinteistä IT-suositusta, jota ammattilaiset ovat rummuttaneet vuosia. 3-2-1-varmuuskopiointi vaikuttaa paperilla täydelliseltä:

  • Kolme kappaletta dataa (alkuperäinen ja kaksi kopiota)
  • Kaksi erilaista tallennustapaa (esim. paikallinen levy ja pilvi)
  • Yksi kopio kaukana (toinen paikkakunta tai pilvialue)

Sääntö suojaa laiterikoilta, vahingoilta ja luonnononnettomuuksilta. Se on toiminut pitkään.

Ongelma piilee oletuksessa: varmuuskopiot ovat turvassa. Kukaan ei pääse niihin käsiksi ja sotkemaan. Oletus ei pidä enää paikkaansa.

Näin lunnasohjelma iskee – ja miksi kopiot pettävät

Tyypillinen hyökkäys etenee vaiheittain:

Vaihe 1: Sisäänpääsy
Kaikki alkaa arkisesta: kalastelusähköposti. Joku klikkaa linkkiä tai avaa liitteen. Hyökkääjä on verkossa.

Vaihe 2: Salasanojen metsästys
Ei heti salateta kaikkea. Sen sijaan etsitään ylläpitäjän tunnuksia. Varmuuskopiot vaativat korkeat oikeudet. Niillä päästään kopioiden kimppuun.

Vaihe 3: Varsinainen isku
Ylläpitäjän oikeuksilla kopiot tuhotaan, salataan tai korruptoidaan. Jotkut jättävät takaovia, joilla sabotoivat palautuksen myöhemmin.

Kun huomaat hyökkäyksen, data on salattu ja kopiot pilalla. Olet umpikujassa.

Taktiikka on julma nerous. Siksi lunnasohjelma-ryhmien määrä pomppasi 56 prosenttia vuoden 2024 alkupuoliskolla, vaikka hyökkäykset vähenivät 17 prosenttia vuosina 2021–2024 (IBM:n mukaan).

Uusi todellisuus: Hyökkääjät voittavat vanhat puolustukset

Tilastot pelottavat: hyökkääjät kehittyvät nopeammin kuin yritykset ehtivät suojautua. Perinteiset kopiot eivät ole turva, mitä luultiin. Pk-yrityksille tilanne on painajainen. Hyökkäys voi lamauttaa toiminnan, ja pilalle menneet kopiot pakottavat joko maksamaan tai lopettamaan.

Muuttumattomat kopiot: Koskematonta turvaa

Tässä astuvat kuvaan muuttumattomat varmuuskopiot. Ne ovat pelinmuuttajia.

Muuttumaton kopio syntyy, eikä sitä voi muuttaa, poistaa tai sotkea määrätyn ajan. Se on kuin pysyvä muste tamper-proof-paperilla. Vaikka hyökkääjä saisi ylläpitäjän oikeudet, kopio on turvassa.

Tekninen nimi on WORM: kirjoitetaan kerran, luetaan monta kertaa. Ei muutoksia – ei edes ylläpitäjille.

Muutos on radikaali. Hyökkääjä voi salata päädatan, mutta palautuspolku säilyy. Voit palauttaa kaiken ilmaiseksi.

Miksi tämä on tärkeää juuri nyt

Suoraan sanottuna: jos et harkitse muuttumattomia kopioita, pelaat yrityksesi kohtalolla. "Meillä on kopiot, olemme turvassa" -ajattelu on vaarallista vanhaa perua.

Hyvää on, että tekniikka ei ole harvinaista herkkua. Pilvipalvelut kuten AWS ja Azure tarjoavat sitä. Hinta on hieman korkeampi, mutta mitätön verrattuna kaiken menettämiseen.

Suurin huoli: useimmat pk-yritykset eivät tiedä haavoittuvuudesta. Ne luulevat olevansa turvassa. Eivät ole. Hyökkäys yllättää täysin.

Toimenpiteet heti

Jos hoidat yrityksen kopioita, toimi näin:

Tarkasta nykytilanne. Selvitä, missä kopiot ovat ja kuka voi muuttaa niitä – ylläpitäjät tai hyökkääjät.

Kysy palveluntarjoajalta muuttumattomuudesta. Pilvifirmat tarjoavat sitä yleensä.

Testaa kopioita säännöllisesti. Älä luota sokeasti. Palauta dataa ja katso, toimiiko.

Rajoita oikeuksia. Vähennä ylläpitäjiä kopiojärjestelmissä. Vähemmän pääsyä, vähemmän riskejä.

Yhdistele tapoja. Muuttumattomat kriittiseen dataan, perinteiset muuhun.

Laajempi näkymä

Kyberturvallisuus muuttuu. Yritykset, jotka eivät sopeudu, maksavat kovan hinnan. Lunnasohjelma-ryhmät ovat älykkäämpiä ja aggressiivisempia. Ne eivät enää vain hyökkää dataan – ne lamauttavat palautuksen.

Muuttumattomat kopiot eivät ole taikasauva, mutta lähimpänä sitä ollaan. Ne vievät hyökkääjältä suurimman valttikortin: uhan ikuisesta datan menosta. Vuonna 2024 tämä ei ole valinnainen harkinta. Se on pakollista.

Tagit: ['ransomware protection', 'backup strategies', 'immutable backups', 'cybersecurity', 'data recovery', 'small business security', 'worm storage', 'backup security']