Gustavo Leite (*)
Os backups de dados costumam estar na mira dos cibercriminosos que buscam lucrar com o ransomware. Como resultado, os pesquisadores de ameaças notaram um novo alvo cada vez mais comum: administradores de backup. Esse pessoal essencial é o guardião dos backups de dados de uma empresa, gerenciando o sistema e garantindo que os backups funcionem conforme esperado em caso de crise.
Assim, os hackers têm como alvo os administradores de backup para roubar suas credenciais e coletar outras informações importantes que podem abrir caminho para contornar medidas de segurança, desativar proteções de backup e corromper dados.
Isso permite que agentes mal-intencionados cortem efetivamente todo o acesso aos backups, eliminando a última linha de defesa de uma organização. Para combater isto, os líderes de TI devem preparar os seus administradores de backup e reforçar os sistemas de proteção de dados, aproveitando estratégias atuais e inovadoras.
- Resiliência do Administrador de Backup – Fala-se muito sobre o aumento da resiliência cibernética, mas isso não é aplicado o suficiente aos próprios profissionais de TI. Embora os profissionais de TI de qualquer disciplina sejam normalmente melhores em detectar tentativas de phishing, ninguém está imune.
À medida que as ferramentas generativas de IA melhoram a qualidade da engenharia social, os cibercriminosos podem usar essas ferramentas para criar e-mails bem escritos, projetados para fazer phishing em um administrador de backup. Consequentemente, nenhum pessoal de TI, especialmente aquelas que estão fora da equipe de segurança, deveria estar isento de formação em segurança cibernética.
Na verdade, a sua formação contínua em cibersegurança deve ser muito mais rigorosa do que a do funcionário médio, dado o nível de acesso que têm a sistemas críticos. Por falar nisso, também é importante ter um controle de acesso robusto baseado em funções em todos os níveis, especialmente para administradores de backup.
Caso você tenha mais de um administrador de backup, distribua o acesso aos seus backups – dos quais você deve sempre ter vários armazenados em locais diferentes – entre eles, não permitindo que um único administrador tenha acesso a todos os backups. Se você tiver apenas um administrador de backup, designe outra pessoa da equipe de TI e conceda-lhe acesso a uma cópia dos seus dados de backup à qual o administrador de backup não tem acesso.
- A Evolução da Detecção de Anomalias – A detecção tradicional de anomalias para dados de backup não monitora o comportamento dos administradores de backup, mas concentra-se nos dados que o sistema coleta dos próprios backups para fornecer insights sobre como os dados mudam ao longo do tempo. Embora isso costumava ser suficiente, agora a detecção de anomalias também deve ser capaz de identificar quaisquer alterações no comportamento dos seus administradores de backup.
Por exemplo, os invasores frequentemente usam contas de administrador de backup comprometidas para remover clientes de políticas de backup, tentar expirar ou excluir imagens de backup, alterar ou excluir chaves de criptografia e outras ações destrutivas que impossibilitarão a recuperação de cópias de backup.
Assim como a IA está se tornando uma ferramenta fundamental para os cibercriminosos, a IA também é fundamental para a detecção avançada de anomalias. Usando metadados de backup, a IA pode ajudar os sistemas de proteção de dados a identificar e sinalizar dinamicamente anomalias caso surjam problemas de dados de backup ou de comportamento do administrador.
- Geranciamento de dados totalmente autônomo – Outra forma pela qual os cibercriminosos procuram explorar os administradores de backup — e praticamente qualquer outra função de TI — é atacando quando as organizações estão mais vulneráveis. Como numa madrugada de domingo, às 2 da manhã, no meio de um feriado prolongado, quando há menos funcionários de TI prestando atenção – isso, se houver alguém.
A IA também pode ajudar neste aspecto, ao alargar respostas de sistemas defensivos inteligentes e totalmente autônomos a ameaças identificadas. Essas ações podem incluir a suspensão dos direitos de administrador para logins comprometidos e a interrupção da expiração de cópias de backup para clientes sinalizados como comprometidos. Pode até colocar todo o sistema de backup em um “modo de segurança”.
Um sistema em modo de segurança pode revogar relações de confiança com sistemas comprometidos para limitar o acesso ao sistema de backup, suspender ações destrutivas, ativar desafios adicionais de autenticação multifatorial e muito mais.
Além de responder a ameaças diretas mesmo quando não há humanos disponíveis, o gerenciamento autônomo de dados pode ajudar as equipes de TI já sobrecarregadas ao máximo a lidar com muitos outros desafios associados à quantidade quase insondável de dados nos ambientes corporativos multinuvem atuais.
- No Fechamento – Os administradores de backup têm feito seu melhor, mas têm grandes alvos nas costas. Prepará-los para lidar com o cenário de ameaças em constante evolução, colocar o controle adequado no acesso aos dados de backup, garantir que a detecção de anomalias possa identificar atividades de backup comprometidas nos dados e no comportamento do administrador e equipá-los com ferramentas para aproveitar o gerenciamento autônomo de dados será um longo caminho para protegê-los das flechas do inimigo.
(*) – É vice-presidente para América Latina da Veritas Technologies (https://www.veritas.com).
