Considere esta situação: a sua organização acaba de ser atingida por um cyber attack, e todos os dados dos quais depende para funcionar ficam subitamente inacessíveis. Os seus arquivos estão bloqueados, criptografados pelo hacker, que agora exige um alto pagamento para os repor. Irá pagar? Ou tem algum backup?
Infelizmente para os profissionais de TI, este cenário está a tornar-se muito comum. No ano passado, o ransomware foi novamente classificado como a forma mais comum de cyber attack em todo o mundo, custando às vítimas uma média de 4 milhões de dólares por crime. Estes ataques – que utilizam malware para encriptar os dados de uma organização até que um resgate seja pago – estão a crescer rapidamente: de acordo com alguns analistas, o ransomware está a caminho de atingir os cerca de 250 mil milhões de dólares em danos cumulativos até 2031.
Em resposta, as organizações têm dedicado cada vez mais recursos de segurança à prevenção de ransomware e outras violações de dados; no entanto, muitos não conseguem planear adequadamente a recuperação dos seus dados após a ocorrência de um ataque. Este é um descuido crítico, já que o tempo de recuperação de uma violação pode estender-se por meses, paralisando as operações da empresa durante este período.
Minimizar o impacto dos ataques de ransomware exige uma mudança de mentalidade: em vez de simplesmente reforçar as defesas com soluções e serviços de segurança e esperar que uma violação nunca aconteça, as organizações devem começar a tratar estes ataques como uma inevitabilidade. Isto requer um plano de resiliência de dados – especificamente, um plano em que os dados sejam protegidos de uma forma que os torne invulneráveis a criminosos cibernéticos. Graças à tecnologia moderna, incluindo a Inteligência Artificial (IA), esta defesa é mais fácil de estabelecer e gerir do que se imagina.
Portas a mais
Proteger uma organização contra ataques costumava ser muito mais simples. Estabelecia-se o perímetro e protegia-se. Agora, com a ascensão do trabalho híbrido e o crescimento interminável de dispositivos conectados, cada indivíduo dentro da organização é um potencial alvo de ataque. Os cibercriminosos podem entrar por meio de infeções de endpoint – onde um colaborador conecta um telefone ou laptop comprometido à rede – ou implantações de backdoor – que usam malware para obter acesso a computadores remotos –, bem como uma série de outros esquemas.
Pior ainda, os hackers estão cada vez mais rápidos na execução dos seus ataques. Na verdade, o tempo médio para concluir um ataque de ransomware diminuiu drasticamente, caindo 94% nos últimos anos. Graças ao modelo de “ransomware-as-a-service” que as empresas cibercriminosas estão a adotar, que torna o código malicioso ainda mais acessível aos malfeitores com ferramentas pré-desenvolvidas disponíveis on demand, os ataques de ransomware que costumavam levar meses para serem totalmente executados agora podem ser realizados em menos de 4 dias.
Simplificando, existem agora mais entradas para os ativos de dados de uma organização do que nunca, e estratégias de defesa proativas por si só não são suficientes.
Backups indefesos
Ao aceitar que as violações são inevitáveis, o desafio passa a ser minimizar o seu impacto nas operações. O backup dos dados é feito num arquivo em intervalos definidos e, quando acontece algo de errado com a cópia local, os administradores podem simplesmente voltar e extrair os dados limpos mais recentes para substituir quaisquer arquivos problemáticos.
Mas, com o tempo, os ataques de ransomware tornaram-se mais sofisticados e podem infetar não apenas os dados produtivos, mas também os backups. Isso deixa as organizações comprometidas com uma decisão difícil: passar incontáveis horas a examinar os backups na procura de dados não infetados, ou simplesmente pagar o resgate.
Para organizações em setores onde o tempo de inatividade é particularmente problemático, isso torna-se um menor dilema – muitas vezes não têm escolha a não ser optar pelo último caminho. Na verdade, os hospitais estão entre as organizações mais atingidas por ataques de ransomware, dada a sensibilidade dos seus dados e a intolerância a qualquer tempo de inatividade. Ainda assim, mesmo em setores que operam sob menor pressão, o custo de levar a cabo um esforço de recuperação prolongado pode exceder o preço de simplesmente pagar aos atacantes. E mesmo quando bem-sucedido, é provável que haja uma perda significativa de dados entre o início da violação e o final da recuperação.
Remediação Assistida e Recuperação Inteligente
Felizmente, estão a surgir novas tecnologias para ajudar a reduzir a extensão dos danos que os invasores podem causar aos backups de dados, tornando o processo de recuperação muito mais rápido e fácil.
Entre esses novos métodos está o uso de IA para auxiliar na deteção de cyber attacks a dados. Quando os dados são gravados num dispositivo de armazenamento, as peças encaixam-se com uma aleatoriedade consistente, conhecida como entropia (imprevisibilidade dos dados). Quando ocorrem infeções por ransomware, o padrão de aleatoriedade muda à medida que os invasores começam a corromper os dados. Ao aplicar algoritmos de IA e entropia em tempo real à medida que os dados estão a ser gravados (também conhecido como deteção de corrupção de dados in line), é possível detetar alterações nos padrões de gravação de dados no nível da unidade de disco, permitindo que os administradores isolem imediatamente os backups para evitar danos maiores.
Os melhores sistemas de backup, no entanto, empregam o que é conhecido como cópias imutáveis para preservar os dados de uma forma imune a cyber attacks. Desenvolvido inicialmente para o setor financeiro, este método envolve a criação de uma cópia permanente (snapshot) e inalterável dentro da matriz de armazenamento que nenhuma máquina ou indivíduo pode aceder diretamente. Esses arquivos só podem ser alterados fazendo uma cópia do snapshot, deixando o original sempre intacto. O Machine Learning também entra em ação para verificar a cópia imutável e validar se não há corrupção. No caso de uma violação, os administradores podem simplesmente extrair uma cópia limpa do snapshot imutável para restaurar o seu conjunto de dados. Além de servir como o escudo ideal contra invasões maliciosas, as cópias ou backups imutáveis também são extremamente valiosas no caso de alterações acidentais nos dados, como corrupção de arquivos e erro humano.
Naturalmente, este processo pode consumir uma quantidade significativa de espaço de armazenamento; para tornar isso viável, as cópias imutáveis são capturadas apenas em intervalos definidos, como uma vez por hora. Portanto, a estratégia ideal de resiliência de dados envolve uma combinação de algoritmos de entropia e cópias imutáveis. Dessa forma, os esforços de recuperação podem começar imediatamente após uma violação, evitando a perda de novos dados criados no intervalo entre a criação de backups imutáveis.
Cobrir as bases
À medida que a importância dos dados continua a crescer para organizações de todos os tipos, os riscos são demasiado elevados para confiar apenas em métodos de segurança preditivos. Agora é a hora de planear quando, e não se, ocorrerá uma violação como um ataque de ransomware. O primeiro passo para cobrir as bases deve envolver uma avaliação completa da sua infraestrutura de backup de dados, seguida por um investimento em soluções modernas, incluindo IA, que empregam salvaguardas como instantâneos imutáveis, algoritmos de entropia e restaurações de dados validados que podem ser automatizados. Depois, poderá começar a desenvolver uma estratégia abrangente para colocar a sua organização novamente operacional.
Manuel Prates | Systems Hardware Sales | IBM Portugal
