7 Mejores prácticas de recuperación de ransomware Cómo hacer de la recuperación su principal prioridad Las siete mejores prácticas de recuperación de ransomware Contenidos Introducción: El ransomware es el peor tipo de desastre p. 3 1. Resiliencia de datos p. 4 2. Planificar para una recuperación rápida p. 6 3. Aplicar una seguridad multicapa p. 10 4. Vigilar las amenazas emergentes p. 11 5. Automatización de la documentación, seguridad y pruebas p. 13 6. Usar la detección de amenazas basada en API p. 16 7. Planificar para la inaccesibilidad del centro de datos p. 17 Conclusión: Garantizar una recuperación de ransomware rápida p. 18 © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 2 Las siete mejores prácticas de recuperación de ransomware Introducción: El ransomware es el peor tipo de desastre En los últimos años, los ataques de ransomware se han hecho cada vez más frecuentes y sofisticados, planteando una amenaza cada vez mayor para las organizaciones de todos los tamaños y sectores. El impacto de un ataque de ransomware puede ser devastador, y provocar interrupciones operativas, pérdidas económicas, daños a la reputación y posibles repercusiones legales y regulatorias. Por lo tanto, para los ejecutivos es fundamental contar con un plan claro e integral para la recuperación frente al ransomware que permita reducir el impacto de un ataque y restaurar las operaciones del negocio lo más rápidamente posible. Según el informe de tendencias de protección de datos y ransomware 2023 de Veeam: 85 % de las empresas han sufrido al menos un ataque de ransomware el año pasado 16 % de las empresas fue capaz de recuperar los datos sin pagar el rescate 21 % de las empresas pagó el rescate, pero no recuperó sus datos *Fuente: Informe de tendencias de protección de datos 2023, Informe de tendencias de ransomware 2023 No es posible evitar todos los ciberataques, y por ello las organizaciones deben hacer de la recuperación una prioridad. Los backups están considerados de forma generalizada como una de las defensas más eficaces frente a los ataques de ransomware. Contar con un backup reciente y probado aumenta las posibilidades de éxito de la recuperación, y al mismo tiempo reduce el tiempo de inactividad y minimiza la posibilidad de producirse una pérdida de datos. Históricamente, la planificación de la recuperación ante desastres (DR) se consideraba como parte integrante de un plan general de infraestructura. Esto ha creado suposiciones no muy acertadas en materia de integridad y disponibilidad de los datos durante una crisis. El cálculo de riesgos estaba basado en estadísticas anticuadas para la recuperación de datos, en las que apenas se veían afectados entre el 3 y el 5% de los datos cada año. Sin embargo, con el auge del ransomware, este paradigma ha cambiado, y ahora las organizaciones deben aceptar que todos sus datos (el 100%) podrían verse afectados en un único incidente. Para sobrevivir con garatías a un ataque de ransomware, es necesario aplicar algunas buenas prácticas. En las páginas siguientes de este documento revisaremos el marco de trabajo que necesitamos para construir una infraestructura segura y resiliente diseñada para detectar con antelación las amenazas, llevar a cabo una recuperación rápida y aplicar una orquestación a gran escala. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 3 Las siete mejores prácticas de recuperación de ransomware 1. Resiliencia de datos Cuando se trata de la protección de datos, muchas organizaciones aplican de forma predeterminada el enfoque del sector de la regla 3-2-1. Aunque durante muchos años este ha sido el estándar de referencia, ya no es suficiente en la era actual del ransomware. Es necesario que las organizaciones vayan un paso más allá y garanticen que tienen copias inmutables de los datos y que han llevado a cabo pruebas completas para garantizar que no existen errores en los datos. Dicho de otro modo, el nuevo estándar del sector es la regla 3-2-1-1-0, o también conocida como el "código postal de la disponibilidad". Copias diferentes Soportes distintos Copia externa Desconectada aislada o inmutable Sin errores después de la verificación de la capacidad de recuperación del backup Lograr aplicar la regla 3-2-1-1-0 Veeam ofrece un amplio conjunto de posibilidades para lograr aplicar la regla 3-2-1-1-0, puesto que cada cliente tiene diferentes necesidades y capacidades. Por ejemplo, Veeam Backup & Replication puede adherirse desde el primer momento a esta regla utilizando la siguiente configuración. Existen tres copias de los datos (cargas de trabajo del entorno de producción, una copia en el repositorio de backup y una copia en cinta), en dos soportes diferentes (repositorio respaldado en disco y cinta), una de las cuales se encuentra fuera de las instalaciones locales (cinta), una de las cuales es inmutable (soporte de cinta de escritura única y lectura múltiple) y cero errores (comprobado con SureBackup). Inmutabilidad para el ciclo de vida de los datos El almacenamiento de objetos está ganando popularidad por diversas razones: ofrece una gran durabilidad, los proveedores de nube pueden ofrecerlo como servicio y la tecnología S3 Object Lock es una forma de lograr inmutabilidad con una implementación muy sencilla. Los clientes pueden aprovechar la inmutabilidad durante todo el ciclo de vida de sus datos gracias a la posibilidad que ofrece de guardar los backups directamente en el almacenamiento de objetos, Además, al disociar la gestión del destino del backup del plano de control del servidor de backup, existe una barrera adicional de competencia. Activando la inmutabilidad activada, aunque un administrador de backup sin escrúpulos o un actor de amenazas acceda al servidor de backup, estas seguirán manteniéndose a salvo. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 4 Las siete mejores prácticas de recuperación de ransomware Los puntos de restauración pueden copiarse automáticamente a una ubicación secundaria respaldada por un sistema de almacenamiento inmutable, ya sea en las instalaciones locales o en la nube. Si lo que se requiere es una retención de datos a largo plazo, Archive Tier admite la inmutabilidad con Amazon S3 Glacier o Microsoft Azure Archive Blob Storage. Scale-out Backup Repository Repositorios de backup DAS Compatible con S3 Repositorio reforzado Appliance de deduplicación Capacity Tier Inmutabilidad de principio a fin ― ― ― ― ― Basado en políticas Transparente Eficiente con el espacio Autosuficiente Sin costes extra Archive Tier Compatible con S3 Amazon S3 Amazon S3 Glacier Microsoft Azure Blob Storage Microsoft Azure Archive Blob Storage Objeto IBM Almacenamiento Google Cloud Platform Cinta Figura 1 - Inmutabilidad a lo largo de todo el ciclo de vida de sus datos Si no existe un almacenamiento de objetos, también se puede aprovechar el repositorio reforzado de Veeam. Como parte de su implementación, el repositorio reforzado (Hardened Repository) utiliza credenciales de un solo uso y funcionalidades nativas para sistemas de archivos Linux para configurar el flag de atributo inmutable en los archivos de backup. Como ocurre con cualquier otro sistema, es importante tener en cuenta los requisitos de seguridad y las mejores prácticas. Deberían seguirse recomendaciones como la limitación del acceso (tanto físico como a través de la red) y el reforzamiento del host. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 5 Las siete mejores prácticas de recuperación de ransomware 2. Planificar para una recuperación rápida En momentos de crisis, disponer de backups de seguridad es simplemente el primer paso para poder recuperar. El tiempo de inactividad por parada de los sistemas en su empresa se traduce directamente en pérdidas económicas y daños de reputación para su marca. Para devolver al negocio su funcionalidad y operativa normal lo antes posible, es fundamental diseñar una solución resiliente que pueda lograrlo. Veeam fue pionero en el desarrollo de Instant VM Recovery (recuperación instantánea de máquinas virtuales) en 2010 como una forma de volver a poner en marcha sus máquinas virtuales al instante. Hoy en día, sus casos de uso han aumentado más allá de las máquinas virtuales. Las operaciones de Instant Recovery (recuperación instantánea) se pueden aplicar en backups de Veeam Agent, incluyendo máquinas físicas, bases de datos de Microsoft SQL Server y Oracle, cargas de trabajo basadas en la nube (es decir, Amazon EC2, Microsoft Azure y Google Compute Engine) e incluso recursos compartidos NAS. Una vez que los datos se han montado y están disponibles, los usuarios pueden acceder a sus recursos de forma inmediata. En segundo plano puede llevarse a cabo una migración para copiar de vuelta los datos a su entorno de producción. Esto incluirá la delta entre su backup original y los cambios realizados como parte del proceso de Instant Recovery. Recuperación con un RPO bajo a partir de réplicas El motor de replicación de Veeam Data Platform es otra herramienta avanzada que puede ofrecer un nivel de granularidad más fino cuando se trata de lograr objetivos de punto de recuperación (RPO) más bajos. Mientras que un trabajo de backup puede ejecutarse una vez cada 24 horas, un trabajo de replicación puede configurarse para que se ejecute con una mayor frecuencia (por ejemplo, cada dos horas). Esta posibilidad puede reducir en gran medida el tiempo que transcurre entre la copia de puntos de recuperación diferentes. Las réplicas funcionan tomando snapshots (instantáneas) de la máquina virtual en cuestión y replicándola a una zona de destino designada, normalmente un sitio de DR. La replicación inicial estará formada por una copia completa de la máquina virtual, pero posteriores sólo contendrán los cambios realizados desde la última replicación realizada. Para acelerar el proceso inicial, las réplicas pueden sembrarse desde archivos de backup. Además, puede usarse Veeam WAN Accelerator para reducir el tiempo de replicación. En los casos en los que las cargas de trabajo virtuales no admiten pérdida de datos, o requieren que esta sea prácticamente nula, se puede utilizar Veeam Continuous Data Protection (CDP). Mediante el uso de la API vSphere de VMware para IO (es decir, VAIO), la replicación se puede medir en segundos, evitando al mismo tiempo que se produzca un impacto en el rendimiento de la máquina virtual en cuestión. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 6 Las siete mejores prácticas de recuperación de ransomware Servicio proxy de Veeam CDP Servidor de backup Servicio proxy de Veeam CDP Filtro I/O Clúster de origen Proxy Servicio proxy de Veeam CDP Filtro I/O Proxy Clúster de destino Figura 2 - Arquitectura CDP de Veeam Integración avanzada de los snapshots de almacenamiento Veeam ofrece una integración muy estrecha con muchos proveedores y sistemas de almacenamiento y ofrece sistemas integrados con la API Universal Storage. Con esta API exclusiva, la protección y restauración de los datos a partir de snapshots se convierte en una tarea sencilla que no requiere de un conocimiento a nivel de experto sobre cabinas de almacenamiento. Los backups se pueden llevar a cabo a través de snapshots basados en las cabinas para minimizar el impacto en el entorno de producción. Además, Veeam Explorer for Storage Snapshots e Instant VM Recovery from Storage Snapshots ofrecen a los usuarios la posibilidad de realizar recuperaciones de forma rápida y sencilla que abarcan desde VMs completas hasta archivos individuales y elementos de aplicaciones. Además de programar los trabajos de backup de siempre, la orquestación de snapshots que también se puedan cumplir sus RPO. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 7 Las siete mejores prácticas de recuperación de ransomware Confíe en sus backups, pero verifíquelos SureBackup es la tecnología de Veeam que le permite probar los backups y verificar que se pueden recuperar los datos de ellos. Por ejemplo, si se descubre la existencia de una amenaza en el próximo inicio de un sistema, SureBackup podría identificar un problema que podría impedir que se iniciara el sistema o que una aplicación no se iniciara como era de esperar. Los trabajos de SureBackup pueden garantizar que las aplicaciones se iniciarán como cabe esperar desde los backups (o réplicas en entornos VMware) y los informes indicarán que el punto de restauración se puede restaurar de hecho. Siempre es recomendable hacer pruebas, pero la verificación automatizada es aún más importante cuando se trata de corregir amenazas de ransomware. Uno de los aspectos más versátiles de un trabajo de SureBackup es la posibilidad de poder dejar el trabajo en ejecución una vez iniciado. De manera predeterminada, el trabajo de SureBackup se ejecutará y realizará las comprobaciones configuradas. Si el trabajo se configura para que siga en ejecución, se pueden realizar comprobaciones adicionales en el sistema desde el punto de restauración del backup. Estas comprobaciones pueden incluir la inspección automatizada o manual para verificar si la amenaza de ransomware sigue presente, comprobar archivos específicos en busca de anomalías, datos cifrados o extraer algunos datos específicamente seleccionados para llevar a cabo un análisis posterior de estos. Automatice y orqueste la recuperación Cuando sufrimos un ataque de ransomware, es muy raro que tengamos que hacer una única restauración. Por lo general son muchas las cargas de trabajo que se ven afectadas, e incluso las cargas de trabajo que no han sido atacadas de manera directa fallarán como consecuencia de sus dependencias. Cuando se trata de recuperar a gran escala, son fundamentales factores como la velocidad, la automatización y la orquestación. Veeam Data Platform proporciona a las empresas las herramientas que necesitan para recuperar rápidamente. Un plan de DR tiene valor únicamente si funciona cuando se necesita. Veeam Recovery Orchestrator es capaz de ofrecer resultados demostrados para brindar a las empresas la confianza que estas necesitan. Disponer de una documentación e informes dinámicos y personalizados permite contar con los registros y garantías que las empresas necesitan cuando se trata de la gestión de riesgos. De igual modo, una vez que se ha diseñado un plan, los administradores pueden programar pruebas automatizadas para garantizar que su recuperación funcionará de la forma esperada. De cara a mejorar la seguridad, las pruebas automatizadas permiten a los administradores analizar los puntos de restauración en busca de ransomware, lo que a su vez da la tranquilidad de saber que la infección no volverá a introducirse en los sistemas. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 8 Las siete mejores prácticas de recuperación de ransomware No más normal es que las empresas no puedan restaurar de nuevo sus entornos de producción. Ya sea por falta de recursos, investigaciones forenses o requisitos de los ciberseguros, sin tener un lugar al que restaurar, no se puede lograr completar una recuperación. Veeam Data Platform puede ofrecer la flexibilidad que reclaman las empresas orquestando las recuperaciones directamente en Microsoft Azure. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 9 Las siete mejores prácticas de recuperación de ransomware 3. Aplicar una seguridad multicapa Cualquier profesional de la seguridad le dirá que el primer paso para conseguir una seguridad de calidad es cerrar la puerta principal. Ya se trate de una puerta física o metafórica, debería ponerse en práctica una estrategia de defensa en profundidad. Veeam proporciona una serie de herramientas que las empresas pueden usar para levantar sus escudos frente a los actores de amenazas maliciosas. Mantenga fuera a los atacantes Debe habilitarse la autenticación multifactor (MFA) siempre que sea posible. Desde la perspectiva del sistema operativo (SO), los componentes de infraestructura como proxies, repositorios y el propio servidor de backup deberían requerir algún tipo de sistema de autenticación multifactor (MFA) para iniciar sesión. Además, la autenticación MFA debe estar activa para los usuarios que necesiten acceder a la consola de Veeam Backup & Replication. Esta característica también funcionará en modo desconectado (offline) en caso de que el servidor de backup no tenga conexión a Internet. Esto brinda, de manera intencionada, una mayor flexibilidad en materia de seguridad. Cuando se interactúa con sistemas operativos invitados (guest), como por ejemplo Windows Server ejecutando SQL Server, hay herramientas como las cuentas de servicio administradas de grupo (gMSA por sus siglas en inglés) que son la opción perfecta. Estas cuentas utilizan contraseñas de 240 bytes aleatorias y autogeneradas que cambian automáticamente cada 30 días. A nivel global, esto proporciona una interfaz sumamente sólida y fiable para interactuar con las cargas de trabajo. Para revisar su posición actual en materia de seguridad dentro de su entorno de backup, puede ejecutar el Security Best Practices Analyzer en cualquier momento. Esta herramienta proporcionará un resumen de las mejores prácticas de seguridad en lo que se refiere a la configuración del servidor de Veeam Backup & Replication. A medida que se aplican cambios en el entorno, puede ejecutarse la herramienta para revisar el impacto que producen. Proteger los datos durante la copia y en el destino Independientemente de la ubicación de sus datos de backup, hay que tener en cuenta la posibilidad de cifrarlos. Aunque la inmutabilidad es una característica imprescindible para evitar que ciberdelincuentes puedan borrar sus backups, esto no impide que esos mismos datos puedan ser copiados y filtrados. La tecnología de cifrado de Veeam Backup & Replication permite al producto proteger los datos tanto en tránsito durante la copia entre los componentes de backup, como en reposo, almacenados en su destino final. Los clientes pueden utilizar un método de cifrado, o una combinación de ellos, con el objetivo de protegerse a lo largo de todo el proceso de protección frente a accesos no autorizados a datos importantes. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 10 Las siete mejores prácticas de recuperación de ransomware 4. Vigilar las amenazas emergentes Veeam ONE es un componente clave de Veeam Data Platform, puesto que es el principal responsable de proporcionar monitorización y análisis proactivos. Casi todos los ataques tienen acciones precursoras que pueden ser identificadas, y recibir estas alertas y actuar en consecuencia puede marcar la diferencia entre ganar o perder una batalla contra el ransomware. Identificar accesos y cambios no autorizados Por lo general, los atacantes suelen dejar marcas en su entorno. Por ejemplo, cuando se roban credenciales, los atacantes pueden empezar iniciando sesión en varias cargas de trabajo en la red. Esto les permite comprobar que las credenciales robadas son válidas y verificar qué permisos tienen y en qué sistemas. El informe de Auditoría de cambios en la infraestructura (Infrastructure Changes Audit) debe ejecutarse y revisarse de manera periódica, ya que puede ayudar a identificar cambios en su entorno virtual. Se puede hacer un seguimiento de los cambios realizados en las máquinas virtuales, los hosts y datastores, que proporcione información sobre cuántos cambios se han producido, qué cambios se han producido, quién ha llevado a cabo dichos cambios y cuándo. Esta es una forma de identificar rápidamente comportamientos no autorizados que pueden detenerse. Descubrir cambios en el tamaño de los backups Una de las características clave del ransomware es su misión: Cifrar archivos. Esto significa que se crean nuevos datos, y es posible que se realice backup de ellos. Aunque esto dista mucho de ser la situación ideal, proporciona otro punto importante a vigilar: los tamaños de los archivos de backup. La alarma Suspicious Incremental Backup Size (Tamaño sospechoso del backup incremental) puede configurarse para que supervise cambios drásticos en los tamaños de los archivos de backup incrementales. Las alarmas también pueden configurarse para incluir tareas como el envío de alertas por correo electrónico, la ejecución de secuencias de comandos predefinidas para realizar tareas o recopilar información, o incluso iniciar un trabajo de SureBackup. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 11 Las siete mejores prácticas de recuperación de ransomware Identificación de posibles amenazas en tiempo real El cifrado es una operación que hace un uso intensivo de la CPU y de la E/S del disco, lo que da lugar a la creación de un nuevo archivo cifrado. Por tanto, se pueden detectar los síntomas de un ataque activo de ransomware mediante la monitorización de picos en las métricas, incluyendo el uso de la CPU, las tasas de escritura en disco y las tasas de transmisión de red. En Veeam ONE se puede habilitar la alarma Possible Ransomware Activity (posible actividad de ransomware) y configurar para que se active en función de estas observaciones. Cuando se trata de las alarmas de Veeam ONE, una práctica recomendada es duplicar esa alarma y adaptarla a su entorno. Utilizando esta alarma a modo de ejemplo, es posible que tenga algunas cargas de trabajo de base de datos que por lo general hacen un consumo de CPU muy elevado cuando se ejecutan. Puede usarse una copia de la alarma para ajustar sus valores y aplicar esos umbrales sólo a un ámbito específico. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 12 Las siete mejores prácticas de recuperación de ransomware 5. Automatización de la documentación, seguridad y pruebas A pesar de ser una cuestión crítica, mantener al día los planes de DR es todo un reto que afecta a empresas de todos los tamaños. No hay ningún departamento de TI que quiera encontrarse en la situación de tener que ejecutar un plan de DR y descubrir que la documentación no está actualizada, que faltan pasos o incluso que está completamente equivocada. Veeam Recovery Orchestrator permite superar este desafío automatizando el proceso de creación de documentación para cada plan de orquestación que cree. La documentación es legible, fácil de seguir y puede generarse siempre que sea necesario, como, por ejemplo, después de realizar un cambio. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 13 Las siete mejores prácticas de recuperación de ransomware Restaure sus datos de forma segura Cuando se produce un ataque de ransomware, los backups son su última línea de defensa. Por desgracia, cuando esto ocurre el malware ya lleva un tiempo de permanencia escondido en su entorno. Se trata de un periodo de tiempo en el que permanece ahí, esperando a ser activado. Por este motivo, los backups pueden contener, sin saberlo, una copia de la amenaza. Por ello, existe el riesgo de que la restauración de los backups reintroduzca nuevamente las amenazas en el entorno. Secure Restore de Veeam Backup & Replication es la respuesta a este problema. Puede usarse Secure Restore para realizar un análisis de malware como parte misma del proceso de recuperación. Los discos virtuales de los backups se montan en un servidor de montaje que, a continuación, realiza el análisis. Si no se detecta ninguna amenaza, la restauración prosigue normalmente. Sin embargo, si se detecta malware, los usuarios pueden elegir entre cancelar la restauración o continuar con restricciones (es decir, desactivar la interfaz de red). DR limpia a gran escala ¿Qué sucede cuando se produce un desastre y se ven afectados centros de datos completos? La característica Clean DR de Veeam Recovery Orchestrator proporciona a los usuarios la capacidad de realizar recuperaciones seguras y orquestadas a gran escala. De forma similar a como opera Secure Restore en Veeam Backup & Replication, que es el fundamento de Clean DR, los discos se montan automáticamente y se lleva a cabo un análisis para detectar malware. Si no se encuentra ninguna amenaza, la operación de restauración puede continuar de acuerdo al plan de recuperación. Si por el contrario se encuentra una amenaza, los administradores pueden elegir una de las siguientes acciones: Analizar el siguiente punto de restauración más reciente en busca de malware Detener la restauración Completar la restauración con el punto de restauración sospechoso y conectar su máquina virtual a una red en cuarentena © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 14 Las siete mejores prácticas de recuperación de ransomware Servidor Veeam Recovery Orchestrator Microsoft Windows Defender ESET NOD32 Smart Security Symantec Protection Engine Además de cualquier otro software anti-virus con soporte para CMD 1. Seleccionar Múltiples puntos de restauración 3. Comprobación del antivirus Agente Orchestrator 4a. No se encontraron infecciones; continúe con la restauración Veeam Backup & Replication Servidor de montaje Repositorio de backup 2. Monta los discos directamente desde el archivo de backup al servidor de montaje Software antivirus instalado con las últimas definiciones 4b. Infección detectada; proseguir con el siguiente punto de restauración disponible 4c. Infección detectada; detiene la restauración o completa la restauración y conecta la VM a una red de cuarentena En cuanto a los motores de detección de malware, los clientes tienen la opción de utilizar una de las muchas integraciones que existen actualmente, o pueden añadir su propio motor de detección creando y personalizando un archivo de configuración XML. Puede encontrar más información en el artículo Veeam KB 3132. Demostrar la conformidad de su plan de DR Muchas organizaciones no pueden probar sus planes de DR, a pesar de su deseo de hacerlo, e incluso sabiendo que es algo que debería hacerse. Las pruebas automatizadas y programadas con Veeam Recovery Orchestrator agilizan todo el proceso de pruebas al aprovechar Veeam DataLabs. DataLabs permite que los backups de Veeam Data Platform, tanto de cargas de trabajo virtuales como basadas en agentes, se restauren completamente en un entorno aislado. Cuando se realiza una prueba de DR, todo el plan se ejecuta en una red desconectada (out-of-band). Esto no sólo garantiza que su plan funcionará de la manera esperada, sino que también le proporciona RPO y objetivos de tiempo de recuperación (RTO) reales que puede utilizar para demostrar que su plan cumple con las normativas. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 15 Las siete mejores prácticas de recuperación de ransomware 6. Usar la detección de amenazas basada en API Cuando se habla de detección de amenazas, un desafío común al que se enfrentan las empresas es el impacto que produce en las cargas de trabajo de producción, el elevado consumo de recursos que supone realizar un análisis de detección. Analizar los archivos en busca de amenazas o buscar artefactos conocidos e indicadores de amenazas puede conducir a un uso excesivo de la potencia de cálculo de la CPU y a una degradación del rendimiento del disco. Con un análisis sin conexión de los backups, estas consecuencias adversas pueden evitarse, conservando todavía la capacidad de buscar amenazas Búsqueda de amenazas sin impacto Incluida por primera vez en Veeam Backup & Replication v10, la API de integración de datos de Veeam (Veeam Data Integration API) proporciona a los clientes acceso ilimitado a sus datos de forma offline. Esta funcionalidad permite que los datos de los archivos de backup se muestren como una carpeta montada que permite el acceso a los datos disponibles en los backups creados por Veeam Backup & Replication. Esta funcionalidad es una técnica excelente para garantizar que el ransomware y otras amenazas no se restauren nuevamente al entorno de producción. La API también permite analizar los datos de forma regular en busca de amenazas adicionales y permite que los equipos de seguridad puedan realizar actividades de caza de amenazas en un entorno aislado y seguro. Además, dado que los datos se montan como un sistema de archivos y no como un sistema en ejecución activa, las amenazas no pueden ejecutarse ni cargarse en la memoria del sistema. Este sistema proporciona una forma segura y eficaz de llevar a cabo auditorías y búsquedas de tipo forense al tiempo que se reduce el impacto y se eliminan las amenazas para otras cargas de trabajo. Identificación de datos y cambios no conformes Existen retos parecidos a la hora de clasificar los datos en estos sistemas y garantizar el cumplimiento normativo. Practicar comprobaciones sobre el contenido y la modificación de los archivos no es algo que se pueda realizar en el entorno de producción, pero es algo de lo que podrían beneficiarse muchas organizaciones. Como la API de integración de datos de Veeam aprovecha la funcionalidad de PowerShell, las empresas pueden desarrollar código para ejecutar las tareas que necesiten. Entre estas tareas se incluyen identificar la ubicación de la información de identificación personal (PII) o determinar si se han modificado archivos sensibles. Mediante la ejecución de estos análisis y registro de los resultados, las organizaciones pueden llevar a cabo un seguimiento fiable de los sistemas en los que se alojan sus datos. Uno de los beneficios principales que se derivan es que los clientes pueden utilizar estos datos para elaborar y revisar planes de restauración con la ventaja añadida de garantizar la localización y el cumplimiento de los datos con antelación, y no durante un desastre. © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 16 Las siete mejores prácticas de recuperación de ransomware 7. Planificar para la inaccesibilidad del centro de datos Disponer de una ubicación en la que se puedan restaurar las cargas de trabajo es una tarea primordial que debe planificarse con antelación. Bien sea que sus servidores de producción se encuentren offline debido a una investigación forense, o que no disponga de los recursos necesarios para restaurar en su centro de datos, las empresas necesitan garantizar que puedan volver a estar operativas lo antes posible. Veeam Recovery Orchestrator, que forma parte de Veeam Data Platform — Premium edition, permite a los clientes crear planes de automatización y orquestación, otorgándoles la capacidad y flexibilidad necesarias para poner en marcha las cargas de trabajo y garantizar al mismo tiempo el cumplimiento de sus SLA. Recuperación fuera de su centro de datos Una de las funciones principales que diferencian a Veeam Recovery Orchestrator es la capacidad de restaurar cargas de trabajo de VMware y backups de Veeam Agent directamente en Microsoft Azure, además de en entornos VMware. Las empresas pueden planificar la capacidad de recuperación creando planes de orquestación para combatir el tiempo de inactividad, ya sea provocado por el ransomware como por los efectos posteriores de restricciones impuestas por organismos de seguridad del estado. Una vez elaborados los planes, estos pueden probarse en un entorno aislado. Esta posibilidad no sólo garantiza que todo funcionará como se espera, sino que también proporcionará RPOs y RTOs demostrados, que le darán la confianza que necesita para recuperarse de un incidente de seguridad. DR a Azure Producción Repositorio de almacenamiento de objetos Restaurado como VMs de Azure VMs de vSphere Veeam Backup & Replication Repositorio de backup local (on-premises) Agente VRO Veeam Agent for Windows Veeam Recovery Orchestrator Veeam Agent for Linux Figura 9 - Recuperación orquestada a Microsoft Azure © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 17 Las siete mejores prácticas de recuperación de ransomware Conclusión: garantizar una recuperación de ransomware rápida Los ataques de ransomware han aumentado a un ritmo alarmante, provocando daños significativos a empresas y organizaciones. Estos ataques suelen dirigirse a datos críticos, dejándolos inaccesibles para sus propietarios hasta que paguen un rescate. En muchos casos, incluso habiendo pagado el rescate, los datos no se llegan a restaurar, y los ciberdelincuentes siguen manteniéndolos como rehenes. La mejor forma de protegerse frente al ransomware es contar con un plan sólido de backup. Para sobrevivir a un ataque de ransomware es vital contar con backups fiables. Las organizaciones necesitan confiar en su capacidad para recuperarse rápidamente tras ataque de cualquier tamaño. Es fundamental que las empresas sigan incorporando el backup y recuperación a sus programas de seguridad general para garantizar la capacidad de recuperación de los datos de forma adecuada y segura. Crear un programa de seguridad integral requiere la colaboración de personas, procesos y tecnología de manera que se centren en la mejora continua y permitan a las organizaciones pasar de una posición de defensa reaccionaria a una postura proactiva. Con independencia de la metodología que elijan las empresas, debe haber resultados que puedan medirse y que permitan a los equipos de TI defenderse frente a los ataques y recuperar rápidamente en caso de que un ataque resulte fructífero. El objetivo de un plan de recuperación de ransomware es minimizar el tiempo de inactividad en caso de ataque de ransomware y automatizar el proceso para reducir el riesgo. Antes de que se produzca un ataque, las organizaciones necesitan estar seguras de que están equipadas con el conjunto más completo de funcionalidades del mercado para contrarrestar cualquier amenaza potencial. Siguiendo estos pasos, los ejecutivos pueden garantizar que sus organizaciones se encuentran perfectamente dispuestas para responder ante un ataque de ransomware y que pueden recuperar su funcionamiento rápidamente sin necesidad de pagar un rescate. Aunque no existe una forma infalible de evitar los ataques de ransomware, entender de manera meridiana las mejores prácticas para proteger los datos y conocer los pasos necesarios para abordar una recuperación exitosa del ransomware permitirá una menor superficie de ataque y una mayor visibilidad de las amenazas emergentes. El resultado de todo esto es un equipo de respuesta mejor equipado con el conocimiento y las herramientas necesarias para defender sus datos y proteger su negocio de la amenaza del ransomware. Tendencias de protección de datos 2023 Informe de tendencias de ransomware 2023 Ver 6 demostraciones breves para superar un ataque de ransomware © 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 18