Softline IT

Перевірка відновлення Microsoft 365 після ransomware: практичний посібник

Чому стандартні механізми відновлення Microsoft 365 недостатні для захисту від ransomware

Багато компаній покладаються на вбудовані функції Microsoft 365, такі як політики збереження (Retention Policies), кошик (Recycle Bin) та керування версіями (Versioning), вважаючи їх достатнім захистом від втрати даних, зокрема від програм-вимагачів. Проте ці механізми мають значні обмеження в контексті цілеспрямованої ransomware-атаки.

Політики збереження Microsoft 365 корисні для відповідності вимогам, але не призначені для повноцінного резервного копіювання. Файли можуть бути автоматично видалені після закінчення встановленого періоду, а деякі дані можуть взагалі не підпадати під правила збереження. У разі атаки програм-вимагачів, які шифрують файли, ці політики не завжди допоможуть, оскільки зашифровані файли можуть бути синхронізовані назад у Microsoft 365, роблячи збережені версії марними. Зловмисники, отримавши дійсні облікові дані, можуть маніпулювати політиками збереження, щоб назавжди видалити дані, як описано в рекомендаціях CISA щодо захисту від ransomware [1].

Кошик SharePoint та OneDrive зберігає видалені файли протягом 93 днів, а версіонування зберігає щонайменше 500 версій файлу за замовчуванням. Однак, якщо ransomware створює нову зашифровану копію файлу та видаляє стару, або шифрує файл на місці, версії також можуть бути зашифровані або відновлення з них може бути складним та тривалим. Крім того, відновлення за допомогою eDiscovery, призначене для відповідності вимогам, є громіздким для оперативного відновлення.

Фактично, Microsoft дотримується моделі спільної відповідальності (Shared Responsibility Model), де Microsoft відповідає за доступність платформи, а користувач — за захист своїх даних у цій платформі.

Критичні дані Microsoft 365: що саме потрібно захищати та тестувати

Ефективний захист починається з розуміння того, які дані є критичними для бізнесу. Неможливо забезпечити однаковий захист кожного документа, тому організації повинні класифікувати дані, щоб мати змогу пріоритезувати свої критично важливі та чутливі дані. Класифікація даних — це процес ідентифікації, категоризації та захисту вмісту відповідно до його рівня чутливості або впливу. Це допомагає досягати та підтримувати відповідність регуляціям (наприклад, HIPAA, CCPA та GDPR), ефективно впроваджувати приватність та конфіденційність даних, а також знижувати витрати на управління даними.

У Microsoft 365 критичні дані можуть знаходитися в Exchange Online (електронна пошта, календарі), SharePoint Online (документи, сайти, інтранет), OneDrive for Business (індивідуальні файли користувачів) та Teams (чати, файли, записи зустрічей). Приклади критичних даних включають інформацію про клієнтів, фінансові записи, дані про співробітників, інтелектуальну власність, конфіденційні проєктні документи. Microsoft Purview допомагає виявляти, класифікувати та позначати делікатну інформацію в середовищі, застосовуючи узгоджені політики захисту.

Для визначення критичності даних та відповідних RTO (Recovery Time Objective – цільовий час відновлення) та RPO (Recovery Point Objective – цільова точка відновлення) необхідно відповісти на питання: що станеться, якщо ця інформація буде недоступною? Якими будуть фінансові та репутаційні втрати? Чи існують нормативні вимоги? Для більшості організацій дані Microsoft 365 слід розглядати як Tier 2 з RTO менше чотирьох годин і RPO від однієї до чотирьох годин. Для регульованих галузей Exchange Online та SharePoint часто вимагають RTO менше 10 хвилин і RPO менше однієї години, як зазначено в галузевих рекомендаціях з планування безперервності бізнесу [2].

Архітектурні вимоги до SaaS-резервного копіювання для ефективного відновлення після ransomware

Щоб SaaS-рішення для резервного копіювання Microsoft 365 було ефективним проти ransomware, воно повинно відповідати кільком ключовим архітектурним вимогам:

  1. Незмінні (Immutable) копії: Резервні копії повинні бути захищені від змін, шифрування або видалення, навіть якщо зловмисники отримають доступ до облікових даних адміністратора. Це досягається за допомогою технологій WORM (Write Once, Read Many) або заблокованих сховищ, що гарантує збереження "чистої" копії даних для відновлення.

  2. Ізоляція від виробничого середовища: Резервні копії мають зберігатися фізично або логічно ізольовано від основного середовища Microsoft 365. Це створює "повітряний зазор" (air gap), який запобігає поширенню ransomware з виробничої системи на резервні копії. Це може бути досягнуто шляхом зберігання даних у хмарному об'єктному сховищі з увімкненим версіонуванням.

  3. Гранульоване відновлення: Рішення повинно дозволяти відновлювати окремі файли, листи, об'єкти SharePoint, OneDrive або Teams, а не лише повні сайти чи поштові скриньки. Це значно прискорює процес відновлення та мінімізує простої бізнесу, дозволяючи відновлювати лише пошкоджені елементи.

  4. Відповідність принципам 3-2-1-1-0: Цей розширений принцип резервного копіювання передбачає наявність трьох копій даних, на двох різних носіях, одна з яких знаходиться поза основною площадкою, одна копія є офлайн або незмінною, і нуль помилок при перевірці відновлення [3]. Це забезпечує максимальну стійкість до різних сценаріїв збою, включаючи ransomware.

Рішення для резервного копіювання Microsoft 365, такі як ті, що пропонують Rubrik та Veeam, розробляються з урахуванням цих вимог, пропонуючи незмінність даних, логічний повітряний зазор та гранульоване відновлення.

Операційний механізм: розробка та тестування плану відновлення критичних даних з SaaS backup

Наявність надійного SaaS-рішення для резервного копіювання Microsoft 365 є лише частиною рівняння. Ключовим для успішного відновлення після ransomware є розроблений та регулярно протестований план відновлення. Без такого плану навіть найкращі резервні копії можуть виявитися марними або відновлення займе неприпустимо багато часу.

Етапи розробки та тестування плану відновлення:

  1. Визначення RTO та RPO для критичних даних: На основі класифікації даних, встановіть чіткі цілі RTO (максимально допустимий час простою) та RPO (максимально допустима втрата даних) для кожного типу критичних даних. Це дозволить пріоритизувати зусилля з відновлення. Наприклад, для критичних систем може знадобитися безперервний захист даних або щогодинні інкременти, як рекомендується в галузевих стандартах [4].

  2. Розробка детального плану відновлення: Документуйте покрокові процедури для відновлення кожного типу критичних даних з SaaS-резервної копії. План повинен включати: хто відповідає за відновлення, які інструменти використовувати, послідовність дій, контактну інформацію та процедури ескалації.

  3. Регулярне тестування відновлення: Тестування має проводитися регулярно (мінімум раз на квартал), щоб переконатися, що план працює, а дані можуть бути відновлені в межах встановлених RTO/RPO. Це може включати відновлення окремих файлів, поштових скриньок або навіть цілих сайтів у тестове середовище. Важливо перевіряти резервні копії, перш ніж запускати стратегію в масштабах компанії.

  4. Документування та аналіз результатів: Усі результати тестування, виявлені проблеми та внесені зміни до плану повинні бути ретельно задокументовані. Це дозволяє постійно вдосконалювати процес відновлення.

  5. Оновлення плану: План відновлення необхідно переглядати та оновлювати щорічно або після значних змін в інфраструктурі Microsoft 365, зміні критичності даних або появі нових загроз.

  6. Навчання персоналу: Команда ІТ-інфраструктури повинна мати чітке розуміння процесу відновлення з SaaS backup, включаючи практичні навички роботи з рішенням.

CISA (Агентство з кібербезпеки та безпеки інфраструктури США) рекомендує тестувати плани відновлення після ransomware, щоб забезпечити їхню ефективність. Відновлення даних з резервної копії є критично важливим для мінімізації наслідків атаки.

Контрольний список для валідації відновлення Microsoft 365 після ransomware

Цей контрольний список допоможе CIO, CTO та CISO оцінити готовність до відновлення Microsoft 365 після атаки програм-вимагачів:

  • Чи визначені та класифіковані критичні дані Microsoft 365?
  • Чи має SaaS backup рішення функцію незмінних (immutable) копій?
  • Чи забезпечує SaaS backup ізоляцію резервних копій від виробничого середовища M365?
  • Чи підтримує SaaS backup гранульоване відновлення (окремих файлів, листів, об'єктів)?
  • Чи розроблено детальний план відновлення критичних даних M365 з SaaS backup?
  • Чи визначені RTO та RPO для кожного типу критичних даних M365?
  • Чи проводиться регулярне (мінімум раз на квартал) тестування відновлення критичних даних з SaaS backup?
  • Чи документуються результати тестування відновлення та виявлені проблеми?
  • Чи переглядається та оновлюється план відновлення щорічно або після значних змін в інфраструктурі M365?
  • Чи є у команди IT-інфраструктури чітке розуміння процесу відновлення з SaaS backup?

Ефективне відновлення після ransomware — це не просто наявність резервних копій, а підтверджена здатність швидко та повноцінно відновити критичні дані. Інвестиції в SaaS-резервування Microsoft 365 окупаються лише тоді, коли ці рішення інтегровані в комплексний, протестований план кіберстійкості.

Використані джерела

  1. 01cisa.govCISA Releases Guidance on Protecting Against Ransomware Attacks Targeting Cloud Environments
  2. 02iso.orgISO 22301:2019 ? Security and resilience ? Business continuity management systems
  3. 03veeam.comThe 3-2-1-1-0 Backup Rule: What It Is and Why It Matters
  4. 04iso.orgISO/IEC 27001 ? Information security management systems
Теги