Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.
Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.
Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.
Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.
Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.
Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.
Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.
Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.
Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.
Selengkapnya: Computer Weekly
