Ви напевно чули історії про компанії, які в один «прекрасний» ранок прийшли в офіс, відкрили комп’ютери й замість робочих баз BAS та документів побачили дивне повідомлення з вимогою переказати декілька біткоїнів на анонімний гаманець. Це віруси-шифрувальники (Ransomware), і це насправді сьогодні найприбутковіший кримінальний бізнес у світі. Лише уявіть очі власників бізнесу, які втратили дані за останні 5-10 років за одну хвилину. Та знаєте, що найстрашніше? Навіть якщо ви заплатите викуп (що ми категорично не рекомендуємо робити), ніхто не гарантує, що вам дадуть ключ дешифрування. Єдиний реальний спосіб не стати жертвою шантажу, це грамотно налаштоване автоматичне резервне копіювання.
Якщо у вас є питання щодо впровадження, роботи або супроводження програм автоматизації →
Сьогодні ми розкажемо вам, як побудувати систему бекапів так, щоб навіть якщо шифрувальник з’їсть ваш сервер, ви могли відновитися за годину і продовжити роботу так, ніби нічого не сталося.
Чому звичайний бекап «на флешку» більше не працює?
Раніше було просто: скинув базу на зовнішній диск раз на тиждень і спиш спокійно. Сьогоднішні шифрувальники стали розумнішими. Потрапляючи в мережу, вірус спочатку шукає всі підключені диски, мережеві папки та хмарні сховища, до яких у сервера є прямий доступ. Він шифрує бекапи в першу чергу, щоб у вас не було шансу на порятунок без викупу. Тому сучасний бекап, це не просто копія файлу, а ціла стратегія. Ми в А4 називаємо її «цифровим імунітетом».
Золоте правило «3-2-1»: Біблія системного адміністратора
Це правило вигадали не ми, але ми наполягаємо на його виконанні у кожного нашого клієнта. Якщо ви його дотримуєтесь, ви практично невразливі.
3 копії даних: у вас має бути основна база та мінімум дві резервні копії.
2 різних типи носіїв: не тримайте все на одному сервері. Наприклад, один бекап на окремому мережевому сховищі (NAS) в офісі, інший у хмарі.
1 копія поза офісом: одна копія обов’язково має бути географічно віддаленою. Якщо в офісі станеться пожежа, затоплення або вилучення техніки, то хмарна копія в Європі врятує ваш бізнес.
Крок 1: Автоматизація: прибираємо людський фактор
Найбільша проблема бекапів це забудькуватість. Сисадмін забув перевірити, бухгалтер забув натиснути кнопку, світло вимкнули саме під час копіювання. Ми в Групі компаній А4 налаштовуємо систему так, щоб вона працювала сама. Скрипти мають запускатися за розкладом: наприклад, повний бекап о 2-й годині ночі, коли ніхто не працює і диференціальні копії (тільки те, що змінилося за день) кожні 2-3 години протягом робочого дня. У такий спосіб, навіть якщо вірус атакує о 16:00, ви втратите лише роботу за останні пару годин, а не за весь місяць.
Крок 2: Принцип «невидимості» бекапів (Immutable Backups)
Це найважливіший технічний момент. Ваші бекапи мають бути «невидимими» для основної операційної системи. Якщо ваш сервер Windows «бачить» диск з бекапами як диск D:, то і вірус його побачить. Ми ж підтримуємо налаштування бекапів так, щоб сервер міг тільки відправляти туди дані, але не міг їх звідти видалити або змінити. Це називається незмінним сховищем. Вірус може зашифрувати робочу базу, але він не зможе дістатися до архіву, бо у нього просто немає прав доступу на видалення в тому сховищі.
Крок 3: Перевірка на «вошивість» (Restore Test)
Знаєте, яка найпоширеніша помилка? Мати терабайти бекапів, які неможливо розгорнути. Файли можуть битися через помилки диска або збої мережі. Та бекап вважається існуючим тільки тоді, коли ви його успішно розгорнули й перевірили, що база BAS відкривається. Ми рекомендуємо проводити тестове відновлення мінімум раз на місяць. Це займає усього 15 хвилин, але дає 100% впевненості, що в критичний момент система вас не підведе.
Крок 4: Захист «нульового дня» та версійність
Сучасні шифрувальники можуть діяти підступно: вони шифрують файли повільно, протягом тижня, щоб ви не помітили. І ви, самі того не знаючи, почнете робити бекапи вже зашифрованих файлів. Щоб цього не сталося, ми краще віддавати перевагу налаштуванню глибини архіву. У вас мають бути копії за сьогодні, вчора, тиждень тому і місяць тому. Це дозволяє відмотати систему до того моменту, коли вірус ще не встиг наробити шкоди.
Де краще зберігати бекапи? Експертний погляд
Як спеціалісти, що працюють з хмарними рішеннями, ми бачимо два основні шляхи:
- Локальне сховище (NAS). Це швидко і якщо треба відновити 500 Гб даних, по локальній мережі це займе хвилин 20. Але це ризик фізичного знищення або викрадення разом із сервером.
- Хмарне сховище (сервери в Європі). Це максимально безпечно і навіть якщо ваш офіс зникне з мапи, ваші дані залишаться в безпеці в дата-центрі Tier III. Так, відновлення через інтернет займе більше часу, але ви точно знаєте, що дані там є. А взагалі ідеальний варіант — комбінація. Швидкий бекап в офісі для дрібних збоїв і «залізний» бекап у хмарі на випадок катастрофи.
Скільки це коштує і чи варто воно того? А давайте порахуємо. Вартість відновлення даних після шифрувальника (якщо воно взагалі можливе) стартує від декількох тисяч доларів. Вартість простою компанії, де 20-30 людей сидять і п’ють каву, бо база не працює, це десятки тисяч гривень на день. Налаштування автоматичного бекапу та оренда місця в хмарі, це ціна декількох обідів у ресторані на місяць. На нашу думку, це найдешевша страховка у світі.
"Підтримка BAS"
Докладніше
Якщо ви на сьогоднішній день не впевнені у своїх бекапах, зробіть ці три речі прямо зараз:
- Перевірте дату останнього бекапу. Якщо він був тиждень тому, то у вас можуть бути проблеми.
- Спробуйте скопіювати файл бекапу на інший пристрій і відкрити його.
- Поцікавтеся у свого сисадміна: чи зможе вірус-шифрувальник видалити ваші бекапи? Якщо ні, бо стоїть пароль на Windows, — терміново міняйте підхід.
Резюмуємо
Ми в Групі компаній А4 не просто налаштовуємо програми, ми будуємо безпечне середовище для бізнесу. Ми знаємо всі тонкощі роботи з базами даних і розуміємо, як зробити копіювання непомітним для швидкості роботи системи, але максимально надійним для вашої безпеки. Не чекайте, поки на екрані з’явиться вимога про викуп. Захистіть свою працю сьогодні. Ми знаємо, як це зробити швидко, професійно і без зайвих витрат.
