Comunidad

Monitorización de backups: ransomware y otros malwares que hacen que monitorizar tus equipos no sea un lujo, sino una prioridad

junio 6, 2017

Monitorización de backups: ransomware y otros malwares que hacen que monitorizar tus equipos no sea un lujo, sino una prioridad

This post is also available in : Inglés

Monitorización de backups: evita la pérdida de datos por Ransomware

Para los que no hayan oído hablar de los backups, o no tengan clara su definición, un backup es una copia de seguridad que almacena en un lugar seguro ciertos archivos. Esto nos va a servir para evitar perder nuestros archivos en el caso de que surja algún problema; tendremos nuestros datos a salvo y nuestras espaldas cubiertas. Es fundamental no solo hacerlos de forma periódica, sino asegurarnos de que la monitorización de backups está bien hecha. Pero, ¿por qué? Analicemos algunos casos.

Principalmente, por la seguridad: con el impacto general que ha tenido el conocido ataque por ransomware a grandes compañías internacionales, las alarmas han saltado y la seguridad se encuentra ahora mismo entre los trending topic del mundo entero. En este artículo vamos a tratar este tema y enfocarlo en la monitorización de backups. Ya que, si no podemos evitar esos ataques, sí podemos mitigar sus efectos.

Pero antes pongámonos en contexto. Primero, ¿qué es un ransomware? Se trata de un software malintencionado cuyos daños se centran en restringir el acceso del usuario a sus ficheros, bloqueando totalmente el sistema operativo, cifrando los datos que contiene, sus discos duros y pidiendo un pago o “rescate” a cambio.

Existen multitud de virus de este tipo, y generalmente se propagan como un troyano o gusano, mediante el acceso a enlaces maliciosos o apertura de ficheros infectados. El más famoso es el virus “WannaCry”, que afectó a los sistemas de grandes compañías internacionales hace unos días. Pero hay decenas de ellos como Reveton, CrytoLocker, CryptoWall, TeslaCrypt, Mamba, TorrentLocker, etc.

¿Cómo prevenir?

Entre las recomendaciones de seguridad fundamentales que existen para estar preparados ante este tipo de ataques se encuentran el mantener los sistemas actualizados, el uso de un antivirus corporativo y, por supuesto, desconfiar de toda URL o correo electrónico sospechoso o potencialmente fraudulento.

Pero algo esencial que debes controlar es el uso de los backups. Deben ser almacenados en discos offline, fuera del alcance de equipos potencialmente infectables, de modo que si eres atacado sea fácil recuperar la totalidad de los datos sin sufrir daños mayores.

A pesar de que el uso de backups cada vez está más extendido, sobre todo a nivel de empresa, en muchos casos resulta complicado saber con exactitud si se están generando correctamente, si el espacio de almacenamiento disponible es suficiente, si ha ocurrido algún problema en la generación o si falta algún backup fundamental. Es aquí donde entra la monitorización de backups.

Backups

La generación de backups puede variar mucho en función de varios factores: tecnologías, sistemas, capacidad, requisitos, políticas de compañía… Es por esto que, lejos de ser una cuestión trivial, resulta un proceso prácticamente único en cada caso, con cierto nivel de complejidad. A continuación vamos a exponer algunos casos habituales de generación de backups y cómo monitorizarlos para garantizar que nuestras copias de respaldo estén siempre disponibles en caso de crisis.

Existen tres tipos básicos de backup:

  • Backup completo: copia completa de todos los ficheros.
  • Backup diferencial: copia de todos los archivos nuevos o modificados desde el último backup completo.
  • Backup incremental: copia de todos los archivos nuevos o modificados desde el último backup completo o diferencial. Es el más óptimo a nivel de rendimiento y espacio de almacenamiento, además del más extendido.

Debido a lo particular de cada sistema de generación de backups, es imposible disponer de un sistema genérico de monitorización que funcione en todos los casos. No obstante, con Pandora FMS podemos cubrir las posibilidades más habituales y siempre podrás personalizarlo para tu caso específico.

Patrones de búsqueda en monitorización de backups

Habitualmente, sea cual sea el tipo de backup y métodos usados para su creación, se almacenan bajo ciertos patrones de directorios y ficheros que pueden utilizar como referencias el nombre, la fecha, la hora, la versión, etc.

Esto es debido a la necesidad de tener un acceso rápido e intuitivo a los ficheros de backup en caso de necesidad, por lo que deben ser nombrados y almacenados bajo estructuras intuitivas y de fácil interpretación, por lo que nos aprovecharemos de ello para crear las monitorizaciones requeridas.

Vamos a mostrar un caso práctico en el cual se monitorizan los backups almacenados en un servidor FTP bajo un sistema de nombres determinado. Mediante un plugin de monitorización remota de backups, utilizamos los siguientes parámetros:

  • Host del servidor FTP.
  • Usuario del servidor FTP.
  • Password del usuario.
  • Ruta donde se almacenan los ficheros en el FTP remoto.
  • Días máximos que se tendrán en cuenta para los cálculos. Esto significa que se buscarán backups dentro del periodo en días indicado, para comprobar si se están realizando correctamente.
  • Tamaño mínimo que deben tener los ficheros de backup, sabiendo el contenido que se copia diariamente.
  • Expresión regular de búsqueda de nombre de los backups.
  • Timeout, para cancelar la ejecución en caso de que la conexión no se llegue a completarse.

En la captura puede apreciarse cómo se utilizan estos parámetros para realizar la búsqueda de un fichero de backup cuyo nombre case con la expresión regular dada, en un sistema determinado y en una ruta determinada. Además, se comprueba que el tamaño del backup es el esperado y que existen el número de ficheros de backup esperados de los últimos días.

monitorizacion de backups

Contemplando todas estas opciones, podemos establecer una monitorizacion de backups muy fiable gracias a Pandora FMS.

monitorizacion de backups

Siguiendo esta línea, es sencillo crear nuevas monitorizaciones de backups con Pandora FMS, empleando diferentes sistemas de recolección de información. En este caso, se ha utilizado la conexión a un servidor FTP remoto, pero habría sido posible, por ejemplo, hacerlo también mediante la instalación de un agente software que recogiese la información de forma local.

El principio de búsqueda dependerá de cada caso, y en la mayoría se basará en estos patrones de nombres basados en fechas, días, tamaño, etc. haciendo uso de expresiones regulares y buscando las coincidencias esperadas.

Además de monitorizar los propios backups, es muy interesante controlar que las máquinas o discos donde se almacenan tengan una salud correcta mediante una monitorización adecuada, para lo que podemos emplear algunas de las opciones que ofrece Pandora FMS. Bien SNMP si se trata, por ejemplo, de una cabina de almacenamiento, el plugin de FTP para servidores de este tipo, o agentes software para realizar chequeos locales más completos y persistentes.

Gracias a la flexibilidad de Pandora FMS, es posible monitorizar nuestros backups de muchas formas, ofreciendo diferentes opciones para mantener el control y la seguridad de nuestros sistemas, mientras se mantienen las restricciones de seguridad de forma intacta.

Además, en casos de intrusiones de seguridad donde los sistemas se vean comprometidos, podemos hacer uso de los informes de Pandora FMS para mostrar toda la información recogida en los sistemas de monitorización y ver dónde se han producido las incidencias más importantes, para lo que nos valdremos de tablas, gráficas, histórico de eventos, etc.

En la siguiente gráfica puede verse cómo se produjeron en las últimas semanas dos incidencias en el sistema de generación de backups:

monitorizacion de backups

No obstante, existen muchas soluciones en el mercado que se encargan de la generación de backups de forma automatizada. La mayoría presentan muchas opciones potentes y resultan en sí herramientas complejas, por lo que en próximos artículos hablaremos detalladamente de cómo monitorizar con Pandora FMS sistemas de backup específicos, como Bacula o Veritas Backup Exec.

banner full pandora fms free demo
banner tablet pandora fms free demo
banner mobile pandora fms free demo

    Written by:



    2 comments
    1. Avatar

      Jimmy Olano

      Buen artículo pero "el diablo está en los detalles", con todo respeto y en mi humilde opinión, me enfoco en el valor "tamaño mínimo" (y por supuesto y desde luego, desde el punto de vista de la monitorización). Son tres tipos de respaldo y recalco la redundancia: 1)Respaldo total: con respaldos totales sucesivos, los nuevos archivos deben ser más grandes que los anteriores, sirve el valor mínimo establecido, de perlas. 2)Respaldo total más respaldo diferencial: solo se respaldan los archivos nuevos, los que cambiaron desde la fecha de respaldo total (si tenemos que restaurar solo usaremos el respaldo total y el último respaldo diferencial). AQUÍ MI PUNTO ¡no sabemos qué tamaño tendrán los respaldos diferenciales! (el valor establecido como mínimo pues poca ayuda tendrá para nosotros). 3)Respaldo incremental: respaldo total más los archivos que cambiaron desde la fecha del útimo respaldo total. Luego al siguiente día (asumiendo que se respalda diariamente, generalmente en la madrugada) se respaldan los archivos que cambiaron DESDE EL ÚLTIMO RESPALDO INCREMENTAL. Si tenemos que restaurar debemos usar el respaldo total y aplicarle los respaldos incrementales sucesivos y en orden cronológico (el valor establecido como mínimo pues también POCA ayuda tendrá para nosotros). Incluso los respaldos incrementales o diferenciales (realizados después del respaldo total, generalmente semanales) pueden ser cero, por ejemplo el próximo miércoles 16 de agosto pudiera ser cero debido a que el martes 15 de agosto hay feriado religioso y tal vez no se genere cambio alguno en los datos. POR ESO que este "plugin" es excelente y adecuado para el respaldo total periódico (generalmente diario o incluso cada 12 horas -o menos, casos extremos-) pero para los otros respaldos el tamaño mínimo pues, en mi opinión, pudiera generar más bien falsos positivos. Por ello considero que este "plugin" se utilice para la primera opción de respaldos totales con respaldos totales sucesivos, para las otras opciónes PIENSO un "plugin" disitinto y que deberíamos monitorear origen y destino y comparar el tamaño en bytes de ambos archivos (teniendo cuidado de no comparar el tamaño en disco, que es otra cosa) por medio de los nombres con un opción de comparar las fechas de los archivos (los clientes FTP tienen la opción de estampar la hora y fecha ORIGINALES a los archivos descargados, hay que configurarlo de esa manera pues resulta ser útil). Espero os guste este comentario basado en mi experiencia y como dice el refrán "experiencia es el nombre que la gente le da a sus propios errores" ¡les deseo tengan un feliz día!

      • Avatar

        Carla Andres

        Hola Jimmy, , Tal y como has indicado, es muy importante saber cuándo hacer las copias de seguridad y de qué tipo hacerlas. Que el plugin diferencie nombres, tamaño y fechas de creación, es clave para no pisar las copias y poder tenerlas organizadas, además de crearlas automáticamente. Muy buen comentario y gracias por el aporte. Un saludo

    Leave a comment

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.