Восстановление ваших данных после взлома: мечта или реальная возможность?
Идея восстановления ваших данных после взлома сегодня кажется фантастической, даже если нет ничего невозможного. Эксперты сходятся во мнении, что жертвы должны в первую очередь подумать о восстановлении того, что может быть восстановлено, - работа, которая должна быть проведена еще до нападения.
После взлома, независимо от того, являетесь ли вы физическим лицом, администрацией или кем-то еще, очень естественно возникает вопрос о восстановлении данных. « Могу ли я вернуть свои украденные данные ? » - спрашиваем мы себя в спешке. На самом деле, вместо этого нам нужно подумать о том, как восстановить данные, которые были скопированы только хакерами, мотивация которых в первую очередь ФИНАНСОВАЯ. К сожалению, от идеала до реальности есть большой пробел. После наших записей о киберугрозах в больницах и о выкупе, который требуют хакеры эксперты по кибербезопасности, с которыми нам удалось встретиться на заседаниях Совета безопасности в Монако, обращают наше внимание на ясность, которую необходимо сохранять во время взлома. И, прежде всего, они призывают не путать восстановление данных с восстановлением, которые представляют собой два понятия, которые следует четко различать как с технической, так и с коммерческой точек зрения.
Восстановление скопированных или собранных данных в прямом смысле: "это мертво »
"Возможно ли восстановление данных после взлома ? » - просто спросили Ивана Квятковского. « Он мертв",-ответил он нам такт за тактом. « Восстановление невозможно. Многие люди не понимают, что кражи не существует в мире кибербезопасности. Потому что кража-это отнятие чего-то у кого-то», - говорит исследователь Великого Касперского.
« Для компьютерных данных это не вычитание. Если я подключусь к вашему компьютеру и скопирую весь ваш диск с помощью USB-накопителя, я просто дублирую данные. Я ничего не крал»,-добавляет он.
Ах! Это сразу смягчает идею (и возможность) « восстановления » не украденных, а скопированных данных. Потому что в случае атаки с помощью программ-вымогателей именно это и происходит. Хакер вторгается в систему, запускает программу-вымогатель, создает копию данных (или удаляет файлы резервных копий, если хочет предотвратить восстановление), шифрует собранную информацию и блокирует доступ к терминалу., прежде чем сообщить жертве, что она должна заплатить выкуп, если она не хочет видеть файл резервной копии. ее файлы будут опубликованы, и если она захочет вернуть себе право собственности на свою систему.
Если существует бизнес-модель программы-вымогателя, хакер остается непредсказуемым
Кристоф Обержер, кибер-евангелист Fortinet, продолжает вопрос : "действительно ли, заплатив, хакер вернет мне данные и уничтожит их ? Или он в конце концов собирается их продать ? Мы не можем быть в этом уверены».
« Когда мы ведем переговоры с группой вымогателей, мы не просим их вернуть данные, а просим вернуть предполагаемую копию данных. Я думаю, что верить в то, что данные можно восстановить, и верить словам хакеров об удалении копии, значит быть немного наивным», - дополняет Иван Квятковский.
Другими словами, с того момента, как хакер получил доступ к нашим данным, мы не можем гарантировать, что они не распространятся по всему миру. В случае выплаты выкупа хакер, конечно же, со своей стороны не заинтересован в том, чтобы перемещать скопированные данные вправо или влево, поскольку это поставило бы под сомнение саму бизнес-модель программы-вымогателя. Но если мотивация не только финансовая... кто знает ? Поэтому мы должны рассматривать малейший доступ к данным как реальную потерю данных.
Нет решения для восстановления данных... действительно нет ?
Даже когда у человека появляется крошечная надежда, она тут же рассеивается. « Это своего рода табу во Франции, но существует так называемая активная защита или наступательная защита : на меня нападают, я отвечаю и уничтожаю информационную систему напротив, чтобы убедиться, что она не может восстановить данные", - сообщает нам Кристоф Обержер. УФ, так есть ли шанс, что мы сможем восстановить данные, которые могли получить хакеры ?
"Первый : это не всегда срабатывает. Второе : мы не совсем уверены, что человек, на которого мы нападаем, действительно является злоумышленником, поскольку в действиях хакеров есть множество отказов и несколько платформ», - продолжает эксперт. И в любом случае атака на информационную систему остается незаконной, « точно так же, как в физическом мире самооборона является строгой и строго регламентированной ".
Таким образом, ни одна компания не имеет права и лишь немногие имеют такую возможность атаковать противника. Сегодня только французские вооруженные силы обладают возможностями в этой области, при этом официально не известно, были ли они уже использованы (без плохого каламбура) или нет.
По словам Ивана Квятковского, « если бы мы когда-нибудь узнали, где находятся серверы хакеров, мы могли бы направить полицию, и это было бы легко. Но мы не знаем, где они. Иногда определенные группы программ-вымогателей атакуют друг друга, между форумами, но нет ни одного случая, когда бы им удалось украсть ключи дешифрования друг у друга и расшифровать все, чтобы нанести экономический ущерб ».
Таким образом, извлечение данных в прямом смысле слова-это не то направление, в котором следует двигаться. « Мы не можем восстановить данные, которые были скопированы»,-повторяет киберэксперт Касперского. « Если есть проблема с шифрованием, мы можем в конечном итоге ее расшифровать. Но то, что они скопировали в другом месте, мы не сможем вернуть. Я не говорю, что это невозможно, но это настолько непрактично в реальном мире, что можно считать, что это выходит за рамки».
Восстановление данных, способ перезапустить машину
Если мы не можем восстановить данные, то что мы можем сделать ? "Знать, что было отфильтровано пиратами, - нет. Но восстановить данные путем восстановления, это вполне возможно, да. "Николас Грох, технический директор по Европе компании Rubrik, специализирующейся на восстановлении своих данных, рассказывает нам больше о том, на что может рассчитывать организация-жертва после атаки программ-вымогателей.
« Сначала вы должны иметь представление о том, что необходимо восстановить. Если вас взломали, первое, что вам нужно сделать, это предупредить регулирующие органы, которые спросят вас, что еще работает, а что нет, и какие типы данных могли быть собраны. Если мы сможем ответить на эти три вопроса, это уже хорошее начало»,-объясняет он.
Но есть и другие шаги, которые еще предстоит предпринять. « Мы должны попытаться выяснить, что на нас напало, проведя расследование (судебно-медицинский анализ), чтобы выяснить, была ли организация затронута тем или иным вредоносным ПО. В зависимости от программы-вымогателя, мы так или иначе восстановим данные. Затем наступает время исправления. Вся эта процедура может занять несколько дней. "Также важно иметь представление о машинах, которые необходимо будет восстановить, и о том, каким будет взаимодействие между этими машинами«. Иногда сначала нужно будет перемонтировать базу данных, веб-серверы и т. д.», - говорит нам Николас Грох. « Все это по порядку и с интервалом времени между каждым этапом. Если вы вернетесь слишком быстро, все может потеряться в природе... »