Introducción a VMware Ransomware Recovery for VMware Cloud Disaster Recovery
La evolución del ransomware y la problemática que implica
Estos últimos años, los ataques de ransomware se volvieron el centro de la problemática a la hora de diseñar un plan de Disaster Recovery. Estos ataques se están volviendo más sofisticados, sin dejar rastros y eludiendo la detección tradicional de malware.
Los ataques de ransomware fueron evolucionando, pudiendo separarlos en dos categorías:
Ransomware tradicional (1989 – 2017): se inserta código malicioso en archivos ejecutables. Al ejecutarse, el malware entra en acción y encripta otros archivos.
Ransomware actual (2017 – actualidad): explotan vulnerabilidades de programas y sistemas operativos. Estos no dejan rastro alguno y son difíciles de detectar.
La evolución de los ataques de ransomware implican:
Disrupción de servicios críticos para el negocio.
Cortes en la infraestructura.
El documento State of Ransomware 2023, redactado por Sophos, revela que los ataques de ransomware fueron creciendo a lo largo de estos últimos cuatro años. Aunque el porcentaje de ataques entre la encuesta de 2022 y 2023 parece indicar que por ahora se mantiene constante.
Backups y las pólizas de seguro no son suficientes
La mayoría de las organizaciones cuentan con respaldos de sus cargas de trabajo utilizando soluciones de backup. Estas soluciones, si bien son vitales, carecen de tres características importantes:
No hay guía en la selección de puntos de recuperación. El usuario debe estar seguro de que el backup a recuperar no haya sido comprometido.
No hay automatización, ni orquestación de recuperación a escala.
No existe un ambiente de recuperación para realizar pruebas. El usuario debe disponer, configurar, y mantener un sitio de recuperación propio.
Por otro lado, las pólizas de seguro ante ataques de ransomware tienen lo siguiente:
Se están volviendo cada vez más costosas.
Los requerimientos de seguridad para calificar elegible como cliente están siendo cada vez más estrictos.
Aunque se logre pagar el monto de rescate, la recuperación en sí no está garantizada. La reputación de la organización se verá dañada.
El 96% de las organizaciones que pagaron el monto de rescate, no recuperaron la totalidad de sus datos. (Sophos, State of Ransomware 2023).
VMware Ransomware Recovery
Las organizaciones que cuentan con ambientes multi-cloud se enfrentan al gran desafío de intentar prevenir estos ataques, donde los vectores de ataque son más amplios y hay más puntos de entrada que proteger. Además de no tener forma de garantizar que los backups no hayan sido afectados, los tiempos de recuperación son tardíos. En 2023, Solo el 8% de las organizaciones lograron recuperarse de un ataque en menos de un día.
Dada esta problemática, VMware propone como solución: VMware Ransomware Recovery for VMware Cloud Disaster Recovery. Esta solución de software, presentada como ransomware recovery as a service (RRaaS), está diseñada específicamente para recuperación ante ataques de ransomware.
El servicio se basa en la arquitectura y capacidades que VCDR ya ofrece, y las optimiza para la recuperación ante ransomware.
Si no cuentan aún con un sitio de Disaster Recovery por los costos, configuración, y mantenimiento que implica, les recomendamos escuchar nuestro episodio de Spotify donde tratamos acerca de VMware Cloud Disaster Recovery:
Características claves
Ambiente controlado de recuperación
Se dispone de un sitio de recuperación aislado, controlado, seguro, y creado a demanda, donde poder recuperar las cargas de trabajo y probar la integridad de los puntos de recuperación. El sitio es desplegado en VMware Cloud on AWS y administrado por VMware.
Análisis en vivo de comportamiento
Utilizando herramientas de antivirus de próxima generación, identifica ataques de ransomware modernos y hace un análisis del comportamiento de las cargas de trabajo activas.
Esto resulta importante debido a la nueva manera de introducir malware en las cargas de trabajo donde la causa raíz, la mayor parte de las veces, se debe a una vulnerabilidad (Sophos, State of Ransomware 2023).
Workflow guiado de recuperación
Se dispone de una guía paso a paso que involucra la identificación, validación y restauración de los puntos de recuperación, desde una misma interfaz.
Aislamiento de red al alcance de un botón
Se puede prevenir la reinfección, durante el proceso de recuperación, configurando el nivel de aislación de red en las VMs. De esta forma, se evita el movimiento del ransomware hacia el sitio de producción.
Selección guiada de puntos de recuperación
Logra identificar puntos de recuperación como candidatos válidos, basándose en la transferencia de datos y entropía para cada snapshot tomado.Puntos de recuperación en almacenamiento inmutable
Todos los snapshots se almacenan en un Cloud File System, protegido y administrado por VMware.
VMware Explore 2023
Las características claves mencionadas son la base de este servicio, e irá evolucionando a medida que los servicios de ransomware (RaaS) también evolucionen.
En el VMware Explore de este año, se anunciaron las siguientes innovaciones a VMware Ransomware Recovery:
Recuperación multi-VM: permite la recuperación a granel de VMs en caso de tener que ejecutar un plan de recuperación. Un único plan de recuperación puede incluir hasta 500 VMs, de las cuales 50 van a ser procesadas en paralelo (identificación, análisis de malware, validación y recuperación).
Recuperación Multi-Cloud: ahora se pueden proteger cargas de trabajo en Google Cloud VMware Engine y AWS Outposts. Los usuarios podrán proteger sus VMs en distintas nubes y podrán también recuperar estas en sus respectivos sitios al finalizar las operaciones de recuperación.
Tener en funcionamiento cargas de trabajo de producción en la nube: VMware Ransomware Recovery permitirá a sus clientes mantener las VMs de producción recuperadas en el sitio de recuperación (recovery SDDC) hasta que el sitio de producción se encuentre en condiciones. Si bien esta innovación fue anunciada, se espera que se implemente en Q3FY24.
¿Estamos protegidos ante un ataque de malware?
Para cerrar con esta pequeña introducción, les hacemos las siguientes preguntas:
¿Tenemos un plan de recuperación ante un desastre? ¿Abarca la problemática que presenta un ataque de malware moderno?
¿Tenemos backups? ¿Se verifica la integridad y funcionamiento en un ambiente aislado?
Si tuviéramos que ejecutar un plan de recuperación, ¿tardaríamos más de un día en recuperar los servicios de nuestro negocio?
En caso de encontrarse con una respuesta que no satisface sus objetivos, les sugerimos contactarnos a la brevedad para comentarles más sobre cómo prevenir y actuar frente a un ataque de ransomware.