Центровете за данни са неразделна част от цифровата инфраструктура на света. Като такива те са основна мишена за хакерите. Най-често причината не е самият център за данни, а клиентите, които го използват и данните, които съхранява. Но понякога определен център за данни може да се превърне в основна цел при кибератака. И едни от най-популярните рискове в наши дни са ransomware или криптовирусите с откуп.
Рансъмуерът е предпочитана атака за много хакери, тъй като върши няколко задачи едновременно. Успешната атака с криптовирус води до пробив във вътрешните системи на жертвата, достъп до данните, прекъсване на услугата и често е добър източник на пари. Според анализ на Check Point 2023 г. е била „годината на атаките с мега рансъмуер с безпрецедентно въздействие върху глобалните организации“. Така че, да, определено е добра идея операторите на центрове за данни да увеличат усилията си в защитата и предотвратяването на атаките с криптовируси.
Състоянието на рансъмуера през 2023 г
Според Check Point, 1 от всеки 10 организации по света е била засегната от атака с криптовирус през 2023 г. Това е увеличение от 33%. През 2023 г. е имало средно 1158 атаки на организация на седмица за общо над 60 000 за цялата година.
Най-атакуваната индустрия е тази на образованието и научните изследвания, следвана от правителството и военните. Третият най-голям обем атаки е за индустрията на здравеопазването, следвана от комуникациите, интернет доставчиците и т.н. Няма индустрия, която да е пощадена от хакерите с криптовируси.
Рансъмуер атаките са разпространени относително равномерно по целия свят. Това означава, че хакерите търсят жертви навсякъде и никой не трябва да има погрешно впечатление, че бизнесът му може да остане незабелязан, защото е на малък пазар.
„През 2023 г. пейзажът на криптовирусите претърпя значителна промяна, белязана от голям скок както на конвенционалните криптиращи вируси, така и на по-страховития mega-ransomware. Тази обезпокоителна тенденция беше подчертана от тревожното разпространение на експлойти от т.нар. нулев ден, увеличавайки степента на нанесените щети и броя на засегнатите жертви, с нарастващ брой хакерски групи, които смело (макар и в някои случаи невярно) поемат отговорност“, отбелязва Check Point.
„Друга забележителна промяна беше наблюдавана в стратегиите за изпълнение на тези атаки с рансъмуер. Традиционно те бяха фокусирани върху криптиране на данни на жертвите и искане на откуп за тяхното освобождаване, но през 2023 г. нарастващ брой киберпрестъпници възприемат различен подход. Те се концентрират повече върху кражбата на данни, последвани от кампании за изнудване, които не включваха непременно криптиране на данни, а по-скоро заплахи за публично разкриване на откраднатите данни. Тази еволюция в тактиката на ransomware означава промяна на стратегията, където акцентът се измества от прекъсване на операции чрез криптиране към използване на откраднати данни за парични печалби чрез изнудване. Тази промяна подчертава адаптивността на участниците в киберзаплахите и подчертава необходимостта предприятията, особено макар и не само по-малките с ограничени ресурси за киберсигурност, да подобрят защитата си срещу такива развиващи се заплахи за рансъмуер“, добавя компанията.
Дейта центровете трябва да внимават
Според друг анализ на Cobalt през 2022 г. (твърде рано е за резултатите от 2023 г.) е имало една успешна атака с ransomware на всеки 40 секунди някъде по света. И на всеки 11 секунди има нов опит. Това е доста висок процент на успех. А Cybersecurity Ventures изчислява, че като цяло киберпрестъпността е струвала на света около 8 трилиона долара през 2023 г. Ако беше държава, щеше да е трета в света след САЩ и Китай, съобщава Forbes.
Истинските числа може да са още по-зашеметяващи, тъй като повечето жертви не съобщават, когато са били засегнати от атака с криптовирус. Регулаторите по света променят това, като въвеждат задължителни изисквания за докладване, но въпреки това компаниите се опитват да избягват да уведомяват. И дори да го направят, те често минимизират действителния мащаб на проблема. Основната причина за това е, че те не искат уронване на репутацията си или да навредят на цената на акциите си. Така че, освен ако атаката с криптовирус не доведе до сериозно прекъсване на услугата, тя най-вероятно ще остане в тайна.
Тази липса на докладване всъщност помага на атаките с криптовируси. Когато компаниите ги докладват, експертите могат да анализират атаките и това им помага да разработят защити и превенции. И това прави центровете за данни още по-уязвими, тъй като те обикновено съхраняват широк набор от данни и клиенти в едно и също съоръжение. Това означава много възможни уязвимости и по-голямо излагане на риск. А хакерите ще се радват да развалят работата на цял център за данни или колкото могат повече от него и след това да принудят оператора да плати по-голям откуп, за да минимизира щетите. Или просто да вземат колкото се може повече данни, за да ги продадат в тъмната мрежа. Така че най-добре е операторите на центрове за данни да прилагат многопластова стратегия за защита на своите съоръжения.
Покриване на основните изисквания
Естествено, първата стъпка би била да се покрият основните изисквания за защита. Няма смисъл да се внедряват сложни решения, ако центърът за данни не покрива първо основните нужди.
Първата е най-очевидна. Уверете се, че има редовно архивиране на данните. За център за данни това може да е малко скъпа задача, но архивирането винаги е най-ефективният начин за бързо и сравнително безпроблемно възстановяване от атака с криптовирус и със сигурност без да е необходимо да плащате откупа. Една правилна стратегия за архивиране би изисквала наличието на поне две копия на данните, като едното от тях трябва да е на външно място.
След това трябва да се обучат служителите и дори клиентите. Това е една от най-пренебрегваните области, тъй като е скъпа и често се разглежда като нещо с малка или никаква възвращаемост. Най-често обаче хакерите разчитат на тактики за фишинг и социално инженерство, за да внедрят зловредния софтуер в системата. Служителите в центъра за данни трябва да бъдат обучени да познават най-новите заплахи, вектори и превантивни мерки, които компанията е приложила. Клиентите на центъра за данни също трябва да имат достъп поне до базови въпросници и друга информация, която им дава добра представа за заплахите и начините за откриване на потенциални рискове. Например банките започнаха дори да се обаждат на своите нови потребители на онлайн банкиране и да им обясняват основните характеристики на услугата в рамките на минута или две, като също така подчертават, че никога няма да искат от потребителя тяхната парола или други данни на какъвто и да е носител и никога да не въвеждат тези данни или да ги споделят с някого. След това те информират клиента за официалните канали, чрез които могат да поискат поддръжка или за допълнителни въпроси.
Операторите на центровете за данни биха могли да използват подобен и по-прост подход за своите нови клиенти. Например може да създадете вътрешна страница, която редовно да се актуализира с най-новите рискове и основна информация. След това тя да се изпрати на клиента по време на процеса на включването му към дейта центъра.
Освен това разработете си план за реакция при инциденти. Това всъщност се изисква от законите на все повече държави. Този план може да помогне за спестяване на критично време при реагиране на инцидента и спомага за насърчаването на начин на мислене „кога, а не дали“. Победата обича подготовката.
Напредналата фаза
След като покриете основните изисквания и създадете траен навик да ги следвате, е време да се потопите по-дълбоко. Това означава добавяне на алгоритми за машинно обучение и автоматизирани функции за сигурност. Друга възможност е поведенческият анализ, който анализира поведението на потребителите и мрежовата активност и идентифицира възможни злонамерени модели. Тези системи могат да маркират потенциални рискове и да ги повдигнат за проверка от администраторите или просто да активират следващото ниво на защита.
По-напреднал подход е въздушната изолация. Това означава пълно изключване на ресурсите от интернет и другите системи. Разбира се, това не винаги е възможно, особено за центрове за данни, работещи в публичния облак. Но може да се направи за критични данни. Например, съхраняването им на сървъри, които са отделни от останалите и могат бързо да бъдат изключени от мрежата, ако е необходимо.
Дигиталните близнаци са друг подход, който набира популярност. Не е нов, но напоследък се превърна в популярен избор за различни индустрии и проекти. Обикновено се прави за тестване и анализ, но за центровете за данни може да бъде и чудесен начин всичко да е на място в реално време и да се превключва, ако е необходимо или има проблем.
Разбира се, очевидният недостатък тук е, че ще удвои необходимите ресурси. Можете да използвате стария хардуер, за да поддържате цифровия близнак работещ, тъй като основната му цел е просто да бъде копие, а не да изпълнява и изчислява задачите, отбелязва DataCenterKnowledge.
Има и някои нови вектори на заплаха. Един от тях е атака от вътрешен човек. Това е риск, който може да бъде смекчен с повишена физическа сигурност. Особено за частни центрове за данни, където можете да инсталирате повече защити и да наблюдавате по-добре дейностите на потребителите.
Има и някои изцяло нови решения. Open Compute Project (OCP) например предложи Модул за защитен контрол на центъра за данни (DC-SCM). Това е карта, която съдържа компонентите RoT и SoC, необходими за удостоверяване на ключове, доверени услуги и т.н. Ако системата е компрометирана, просто се сменя картата, а не цялата система. Това е още една опция за минимизиране на времето, през което системата не работи и увеличаване на процента на възстановяване.
„Атаките с рансъмуер представляват нарастваща заплаха за центровете за данни и традиционните методи за справяне с тях не са достатъчни. Чрез възприемане на модулни решения за сигурност и добавяне на хардуерен мониторинг на софтуера, разузнаване и криминалистика към платформите, индустрията може да направи значителна стъпка към смекчаване на въздействието на атаките с криптовируси и намаляване на разходите, свързани с подмяната на системата“, казва Гопи Сиринени, президент и главен изпълнителен директор на Axiado за Forbes.
Основното послание е, че центровете за данни вече не трябва да разчитат само на своите клиенти да се защитят от атаки с криптовируси. Операторите на дейта центровете трябва да бъдат проактивни и бдителни срещу развиващите се заплахи. Това е единственият начин те да минимизират риска да станат жертви и да спестят пари и данни на своите клиенти.