Резервное копирование в стратегии ИБ

Одними из наиважнейших качеств ИТ-инфраструктуры являются ее доступность и отказоустойчивость. Достичь их позволяет система резервного копирования — сегодня это крайне ключевой элемент обеспечения информационной безопасности. Особенно с учетом распространения кибератак посредством программ-вымогателей, когда может потребоваться полное восстановление инфраструктуры.

Эта и другие причины, в том числе откат к работающей конфигурации отдельного элемента системы, вынуждают организации менять подход: от простого создания бэкапов к продуманной стратегии, которая интегрирована в бизнес-процессы и политики безопасности. Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим», рассказал об основных этапах для обеспечения безопасности при резервном копировании.

Эффективность системы резервного копирования и восстановления

Основной вопрос при организации такого решения – как достичь его устойчивости и функциональности. Во-первых, можно расширить базовое правило «3-2-1» до «3-2-1-1-0». Но сначала уточним из чего состоит первоначальный вариант: это фундамент из трех копий, двух различных носителей (дублирование при выходе из строя однотипных носителей) и одного удаленного дубликата в качестве страховки на случай негативных внешних обстоятельств. В обновленное правило добавляются еще два элемента:

• Одна копия, полностью недоступная из ИТ-инфраструктуры. Например, отключенная (air gap). Дубликат должен располагаться так, чтобы злоумышленник даже при получении полного контроля над комплексом систем не смог ее изменить или удалить;

• Ноль ошибок при возврате данных. Если этот элемент отсутствует, то такая система резервного копирования бесполезна, так как из нее нельзя вернуть информацию. Важно, что подход с отсутствием ошибок требует постоянных проверок целостности и пробных восстановлений для подтверждения работоспособности. Частично это может быть реализовано внедрением автоматических тестов. Они, например, могут раз в неделю поднимать копию в изолированном контуре, проверять контрольные суммы данных и осуществлять запуск системы управления баз данных.

Еще один аспект для стабильной работы системы – это создание на постоянной основе правил того, что и как нужно резервировать. Ведь ежедневный бэкап всех элементов инфраструктуры исчерпает ресурсы на хранение и управление копиями. К тому же их регулярные проверки и обслуживание потребуют значительных трудозатрат специалистов. Чтобы оптимизировать ресурсы, нужно для каждого компонента инфраструктуры определить две метрики:

• RPO (recovery point objective – она определяет допустимую потерю данных по времени. Например, если допустимая потеря информации, внесенной за один час работы в нем специалистов (RPO=1 ч.), то бэкапы нужно делать хотя бы раз в час;

• RTO (recovery time objective) – она определяет максимальное допустимое время простоя системы, то есть до момента полного восстановления из резервной копии. Для критических систем, где данный показатель измеряется минутами, нужно использовать как бэкап, так и кластеризацию с репликацией или механизмами быстрого монтирования снапшотов (или снимков состояния).

«При определении этих показателей можно будет выстроить систему резервного копирования, с помощью которой удастся соблюсти баланс между требованиями бизнеса и расходами на ее функционирование», – рассказал Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».

Принципы информационной безопасности при работе с системой резервного копирования

При работе с инфраструктурой системы резервного копирования важно соблюдать ряд принципов:

1. Сегментация и изоляция: серверы резервного копирования и хранения данных должны быть выделены в отдельный VLAN, без каких-либо связей с доменом Active Directory. Также управление должно происходить через изолированные каналы;
2. Реализация принципа минимальных привилегий: так, администраторам ИТ-инфраструктуры доступен лишь функционал восстановления данных из резервных копий. Все остальные манипуляции (например, изменение политик резервного копирования, удаление, перемещение или изменение созданных копий) должны выполняться специалистами по информационной безопасности с использованием двухфакторной аутентификации;
3. Использование WORM-режима (write once read many): он применяется в файловых системах NAS или в облаке, где хранятся резервные копии. Этот механизм позволяет блокировать данные от модификаций и удаления в течение заданного промежутка времени, что способствует эффективному противостоянию программам-вымогателям.

«В отношении развернутой и настроенной инфраструктуры резервного копирования необходим постоянный мониторинг процессов. Нужен контроль как за успешностью выполнения заданий, так и за оперативным выявлением различного рода аномалий. Например, значительное изменение размеров резервных копий, удаление большого числа дубликатов, неуспешные попытки модифицировать файлы и так далее. Если появляются подозрения о компрометации учетной записи для работы с бэкапами, то она должна автоматически блокироваться» – отметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».

Не стоит забывать, что для восстановления инфраструктуры важно не только наличие системы резервного копирования, но и соблюдение организационных мер. В этой связи особое значение приобретает подробная документация и регулярные учения.

Что должна включать документация? Кроме подробной описательной части самой системы, еще требуется пошаговое описание процесса восстановления для всех активов. В этом случае особенно важен ранбук, где содержится абсолютно вся информация, необходимая для восстановления, так как иные источники информации, например, менеджер паролей, может быть недоступен. Регулярные учения же помогают выявить ошибки в процедуре возврата к работе, в том числе в системе. Также во время отработки внештатной ситуации удается определить реальное время создания и восстановления из резервной копии, что позволит при необходимости менять подход к этой процедуре.

Именно правильно выстроенная система резервного копирования и процессы восстановления является критичными инструментами для обеспечения работоспособности ИТ-инфраструктуры даже при успешной кибератаке. Во многом от этого зависит то, понесет ли компания убытки в миллионы рублей или же возобновит работу в считанные часы.