Quais os principais desafios dos ataques de ransomware para as empresas?

Fuga de dados é a designação atribuída quando terceiros não autorizados acedem a dados pessoais de clientes geridos por uma empresa. Uma perda de dados, por seu lado, aplica-se quando é a própria empresa a ver interrompido o seu acesso aos dados pessoais dos seus clientes.

Nos últimos anos, a causa mais comum para a perda de dados pessoais têm sido os ataques de ransomware, com nomes como WannaCry, Petya ou CryptoLock a protagonizar os incidentes. Em 2017, as campanhas de ransomware foram os ataques de malware mais comuns. Em alguns setores, como a saúde, por exemplo, esta percentagem superou mesmo os 70%.

Dada esta situação, e com muitos desafios a superar por parte das empresas, a Infinidat identificou os principais três desafios que devem ser considerados pelos responsáveis das organizações a fim de desenvolver uma estratégia sólida:

Deteção dos ataques

Os ataques de ransomware modernos podem permanecer ocultos durante longos períodos de tempo antes de serem detetados, com o objetivo de encriptar o maior número possível de dados. Depois, o malware bloqueia o utilizador e solicita um “resgate”, escolhendo como divisa uma criptomoeda. Este comportamento é muito eficiente, mas também é o calcanhar de Aquiles do ataque: dado que as alterações se acumulam com o tempo, é possível detetar o malware se for utilizado um mecanismo de rastreio.

Os snapshots, que geralmente consomem percentagens muito reduzidas do volume total dos dados, começarão a “agigantar-se”, ao consumir cada vez mais capacidade. Se o sistema de armazenamento proporciona algum tipo de monitorização e alarmes sobre o consumo de capacidade, a empresa poderá detetar facilmente este aumento e reagir antes que os atacantes possam bloquear os utilizadores.

Resposta aos ataques

Se, por exemplo, o ataque de ransomware conseguiu encriptar 100 Terabytes de dados durante uma semana, os backups executados durante essa semana também serão comprometidos, e não poderão ser utilizados para recuperar os dados. Portanto, os administradores serão obrigados a recuperar 100 TB de informação através da rede a partir de um sistema de backup, o que provavelmente levará horas, e sem garantias de que a recuperação não contenha ficheiros corruptos.

Mas, ao mesmo tempo, o tamanho do snapshot sugerirá imediatamente se contém, ou não, dados encriptados. Portanto, se uma organização utiliza snapshots, poderá aceder a eles, testá-los nas suas próprias instalações e recuperar o snapshot correto, reduzindo assim o tempo de recuperação, de dias para minutos.

Prevenção da “explosão” no volume de armazenamento

Um vetor de risco que, por vezes, não é considerado no contexto do ransomware é que a capacidade adicional que consume durante o seu tempo "silencioso" aumenta a carga sobre os arrays de armazenamento existentes, entre 80% e 100%, o que, obviamente, bloqueará as aplicações empresariais.

Dispor de um array de maior capacidade, oferecerá aos administradores mais tempo para identificar e responder aos ataques de ransomware. Mas, ao mesmo tempo, também representará um maior nível de consolidação de dados e, portanto, requererá uma maior fiabilidade. A arquitetura de duplo controlador, desenhada na década de 90 do século passado para ambientes de apenas alguns terabytes, não pode proporcionar este novo nível de fiabilidade que se requere na era do Petabyte.