Ransomware aktuálně děsí firmy natolik, že se snaží zavádět takové politiky ochrany dat, které budou kombinovat klasické zálohy a nezměnitelné snímky. Společnost Claroty např. nedávno představila výsledky průzkumu, podle něhož až 80 % organizací již zažilo útok ransomwaru a 60 % někdy zaplatilo výkupné (studie byla založena na odpovědích IT profesionálů; řada z postižených firem incident jistě nikomu nereportovala a ve statistikách získaných jinou metodikou se pak neobjeví).
Destruktivní dopad ransomwaru závisí na faktoru označovaném jako okno (nebo třeba jako dwell time, „doba pobytu“) – to znamená čas mezi okamžikem, kdy útočníci proniknou do podnikové sítě, a momentem, kdy je incident odhalen (často až požadavkem na výkupné). Čím delší čas se útočníci ve firemní infrastruktuře pohybují, tím větší škody mohou pochopitelně napáchat: dostanou se k nejcitlivějším datům a ta zašifrují a/nebo ukradnou, mohou získat i další přístupová oprávnění a ovlivnit i zálohy atd.
I v případě úspěšné obnovy dat ovšem dojde k výpadku a narušení podnikání. Klíčovou se tak pro řadu firem stává nejenom samotná obnova dat, ale i rychlost, se kterou se podaří provést.
Některé bezpečnostní firmy kritizují stav, kdy podniky na prevenci útoku téměř rezignovaly a soustřeďují se spíše na reakci na incident. Jiné nicméně uvádějí, že s průnikem ransomwaru se dnes bohužel prostě musí počítat. V takovém případě je nejúčinnější nasadit vedle sebe klasické zálohy a neměnné snímky.
Snímky (snapshots) poskytují záznam stavu systému a dat pořízený v častých intervalech během pracovního dne a umožňují oběti obnovit předchozí konfiguraci s vysokou mírou granularity. Jsou navrženy tak, aby byly pořizovány s minimálním dopadem na produkční systémy, tudíž jsou často uloženy na primárním úložišti nebo v jeho blízkosti. To znamená, že data lze ze snímků obvykle také rychle obnovit. Organizace obvykle uchovávají snímky staré měsíc nebo dva.
Naproti tomu zálohy se zpravidla uchovávají mnohem déle a kopie se vytvářejí méně často, obvykle během pravidelných zálohovacích oken mimo pracovní dobu. Téměř vždy jsou ukládány na sekundární úložiště a jejich obnova může být časově náročnější.
Pokud to okolnosti umožňují, jsou snímky nejefektivnějším způsobem obnovy po útoku ransomwaru, protože obnova z nich je rychlejší. Jenže útok ransomwaru dokáže snímky často zasáhnout také. Tradičně implementované snímky jsou sice určeny jen pro čtení, jenže to neznamená, že útočníci nenajdou způsoby, jak tuto ochranu obejít (nebo např. alespoň zkomplikovat jejich další přesun za účelem obnovy dat). Možným řešením je speciálně definovat potřebná oprávnění ke snímkům (vícefaktorové ověření, nutnost ověření více lidmi z oddělení IT, definovány jsou síle, kam lze data dále přesouvat…). Čím delší je okno (viz výše), tím ovšem roste pravděpodobnější, že obnovu bude tak jako tak třeba provést ze záloh.
Od toho se odvíjí, že firmy dnes potřebují rychlé úložiště jak pro živá, produkční data, tak i pro zálohy. Je třeba počítat s tím, že obnova dat může být nutná i ve velkém měřítku. Například společnost Pure Storage proto zákazníkům doporučuje, aby zavedly jednotné řešení úložiště, které dokáže pracovat jak se soubory, tak i s objekty, s daty strukturovanými i nestrukturovanými, živými i zálohami. Nejnovější generace NAND flash umožnila vznik úložných polí, která přinášejí extrémně vysokou kapacitu i rychlost přístupu. Úložná pole s TLC nebo QLC flash s vysokou kapacitou, se přitom cenou za terabajt blíží klasickým pevným diskům.
Co se týče požadované propustnosti, společnost Pure Storage uvádí, že rychlost 270 TB za hodinu by měla při obnově dat dostačovat k rychlému překonání výpadku podnikání. Ne všichni dodavatelé úložišť ale takovou propustnost nabízejí, a zákazníci by proto právě tomuto parametru úložiště měli věnovat zvýšenou pozornost.