Según datos de IDC, el ransomware “cuesta” a las empresas de todo el mundo más de 20.000 millones de dólares al año. Tradicionalmente, la última línea de defensa era el backup, pero ahora los cibercriminales también atacan al backup y a los sistemas que lo albergan.
Descubrir cómo el ransomware logra penetrar en las infraestructuras de TI de las empresas es todo un desafío, y a menudo se descubre demasiado tarde, cuando ya se han sufrido daños. La vulnerabilidad ha crecido en el último año debido al incremento del teletrabajo como consecuencia de la pandemia. Los snapshots pueden de gran ayuda en la lucha contra el ransomware, en cada una de sus etapas:
- Detección. Los ataques de ransomware modernos pueden permanecen ocultos durante largos periodos de tiempo antes de ser detectados. Un comportamiento eficiente, pero que es también su talón de Aquiles. Los snapshots, que generalmente consumen porcentajes reducidos del volumen total de los datos, comienzan a “inflarse” -esto es, a consumir más capacidad- debido a la ineficiencia de espacio de los datos cifrados. Si el sistema de almacenamiento aporta monitorización y alarmas sobre el consumo de capacidad, la organización podrá detectarlo fácilmente y reaccionar antes de que el ataque pueda bloquear a los usuarios.
- Si, por ejemplo, el ataque de ransomware ha sido capaz de cifrar 100 Terabytes de datos durante una semana, todos los backups ejecutados durante esa semana se verán comprometidos, y habrá que recuperar 100 TB a través de la red desde otro sistema de backup, lo cual llevaría horas. Pero, al mismo tiempo, el tamaño del snapshot sugerirá inmediatamente si hay datos cifrados, de forma que la empresa podrá acceder a ellos, testarlos en sus instalaciones y recuperar el snapshot correcto, reduciendo así el tiempo de recuperación de días a minutos.
- Prevención. La capacidad adicional que consume el ransomware que permanece «en silencio» aumenta la carga sobre los arrays de almacenamiento en promedios de entre un 80% y un 100%. Disponer de un array de mayor capacidad ofrecerá mayor espacio para identificar y responder ante los ataques, y una mayor agilidad en el manejo de los snapshots.
Recuperación efectiva sin necesidad de mover decenas de Terabytes
Pero, además, los snapshots ofrecen una fórmula de recuperación idónea sin necesidad de mover decenas de terabytes de datos, a través de la conversión de snapshots estándar en snapshots WORM (Write Once Read Many), que no se pueden modificar ni eliminar.
En la actualidad, cada vez más empresas confían en la utilización de snapshots inmutables para identificar y mitigar ataques activos de ransomware, ya que ofrecen una fórmula de recuperación idónea. En el caso de Infinidat, la solución InfiniGuard CyberRecovery aporta una protección transparente para entornos de backup con la capacidad de generar snapshots WORM que, además, siguen siendo funcionales, ya que mantienen todas sus capacidades originales de gestión de copias y de acceso por parte de los usuarios. Además, proporciona un entorno de pruebas aislado en caso de querer verificar los datos antes de que éstos vuelvan a estar en producción.
A través de este nuevo enfoque, las empresas pueden implementar capacidades de recuperación point-in-time basadas en políticas para una recuperación casi instantánea a cualquier punto en el historial de los datos, aportando una total integridad y consistencia.
En definitiva, cuando el ransomware toma los datos como rehenes, provoca que empresas de todos los tamaños cierren sus operaciones de la noche a la mañana, por lo que no es inusual que algunas paguen grandes sumas para restaurar su negocio, pese al riesgo de no poder recuperarlos. Afortunadamente, las tecnologías y metodologías de nueva generación están ofreciendo soluciones definitivas para abordar esta creciente amenaza. Como vemos, los snapshots ayudan en la detección, en la mitigación y en la prevención, y aportan una rápida recuperación tras los ataques, por lo que pueden ser de gran utilidad para salvaguardar las aplicaciones críticas.