Porque la forma en que funciona el crypto ransomware es encriptando cada archivo en el sistema que no es parte integral del sistema operativo en sí o del ransomware en sí. Su solución propuesta de agregar otro disco duro a cada sistema tiene un par de problemas, el primero de los cuales es que la mayoría de las computadoras portátiles solo tienen suficiente espacio para tener un solo disco duro.
El segundo problema radica en el hecho de que su unidad de copia de seguridad propuesta sería accesible desde el sistema operativo de la computadora, lo que significaría que los ransomware tienen acceso a los archivos, lo que significa que también estarían encriptados.
Las copias de seguridad son la solución para el ransomware, pero no del modo que usted propone.
- ¿Hay alguna regla de compromiso para reaccionar a los ataques de la guerra cibernética? ¿Las convenciones de Ginebra cubren la guerra cibernética?
- ¿Qué conocimiento se requiere antes de unirse a un curso de piratería ética y seguridad cibernética?
- ¿Qué deben hacer los usuarios para protegerse del error Heartbleed OpenSSL?
- Fui víctima del fraude cibernético que perdió 12k. ¿Con quién me comunico?
- Quiero entrar en infosec ofensivo. ¿Como llego hasta ahí?
La forma correcta de vencer al ransomware es tener copias de seguridad que se realicen para separar los servidores de copias de seguridad dedicados dentro de la red de la compañía, y que estén programadas para ejecutarse con frecuencia. Elegiría tener copias de seguridad semanales completas con copias de seguridad incrementales diariamente para minimizar el tiempo perdido al recuperarse de un ataque de ransomware, y también minimizar el impacto en el rendimiento de hacer las copias de seguridad.
Como tiene que decidir si un archivo se ha modificado o no para una copia de seguridad incremental, se necesita un poco de E / S de disco y cómputo para tomar la decisión real para el propio incremental. Es algo que no desea hacer cada hora, ya que afectará negativamente el rendimiento de las computadoras y es probable que los usuarios se quejen de computadoras lentas debido a la frecuencia de respaldo.
Otra cosa a tener en cuenta es que el servidor de respaldo principal debe replicar su estado en vivo en un servidor de respaldo externo al que se puede conmutar por error si el servidor de respaldo original se infecta por el ransomware.
Puede que se pregunte qué sucede si ambos servidores de respaldo se infectan con ransomware, ya que ambos tendrían que estar conectados a Internet, ¿verdad? Bueno, la solución a eso es otro problema que tiene una solución bastante simple (aunque costosa), y esa solución es tomar copias de seguridad fuera de línea de los servidores de copias de seguridad.
Lo que esto significa es que obtienes algo así como un sistema de archivo de cinta, donde cada servidor descarga las copias de seguridad en un montón de cintas, similar a las cintas de cassette pero de mayor capacidad. Estas cintas de respaldo se almacenan de manera tal que no son accesibles para ninguna computadora que esté conectada a ningún tipo de sistema que pueda infectarse, como un gran archivador antiguo con solo las cintas almacenadas en él. Las cintas no pueden verse comprometidas, y usted tiene una copia de seguridad confiable a la que recurrir en caso de que ocurra algo desfavorable en los sistemas que se están respaldando, así como en ambos servidores de copia de seguridad.
Muchas empresas no pueden permitirse un sistema de archivo de cinta, o pueden permitirse uno, pero el presupuesto es limitado en cuanto tiempo pueden mantener los archivos de cinta antes de tener que sobrescribirlos, esto lleva a otro problema en el que no se detecta un falla hasta que haya pasado el tiempo suficiente como para que se sobrescribieran las copias de seguridad que necesitaba para solucionarlo. Sin embargo, este no suele ser el caso, ya que el ransomware es bastante ruidoso, anuncia una vez que está infectado y, como tal, es difícil ignorar durante el tiempo suficiente que las copias de seguridad en cinta también se perderían.
Este tipo de sistema de varios niveles es una buena forma de lidiar con el ransomware, aunque la forma correcta de manejarlo es la capacitación del usuario. Asegúrese de que todos los usuarios de su empresa estén capacitados para no hacer clic en cosas que no pueden verificar que provengan de una fuente legítima. No protegerá contra ataques de piratería selectiva, pero reducirá las posibilidades de que algún ataque ingrese al sistema de las compañías en primer lugar y cause estragos similares a la capacidad de wannacry para auto replicarse una vez que está dentro de una red.