Backup Security: Ransomware আক্রমণের পর ডেটা পুনরুদ্ধারে ব্যাকআপের গুরুত্ব!

Backup হলো গুরুত্বপূর্ণ ডেটার একটি বা একাধিক Copy যা মূল ডেটা হারিয়ে গেলে বা ক্ষতিগ্রস্ত হলে পুনরুদ্ধারের জন্য ব্যবহৃত হয়। কিন্তু সব Backup Strategy সমান কার্যকর নয়। একটি কার্যকর Backup Strategy তিনটি প্রশ্নের উত্তর দিতে সক্ষম হওয়া উচিত— ডেটা কতটা পুরোনো পুনরুদ্ধার করতে পারব (RPO), কত দ্রুত পুনরুদ্ধার করতে পারব (RTO), এবং Backup নিজে কতটা সুরক্ষিত?

Recovery Point Objective বা RPO হলো সর্বোচ্চ সময়সীমা যার ডেটা হারানো সংস্থা সহ্য করতে পারে। যদি একটি Database-এর RPO হয় ১ ঘণ্টা, তাহলে কমপক্ষে প্রতি ঘণ্টায় Backup নিতে হবে। Recovery Time Objective বা RTO হলো আক্রমণ বা বিপর্যয়ের পর কত সময়ের মধ্যে System আবার Operational হবে। Critical Service-এর RTO প্রায়ই কয়েক ঘণ্টা বা মিনিটে পরিমাপ করা হয়।

3-2-1 Backup Rule হলো শিল্পের Standard Practice— কমপক্ষে ৩টি Copy রাখুন, ২টি ভিন্ন Media-তে, এবং ১টি Offsite Location-এ। আধুনিক Ransomware যুগে এটি 3-2-1-1-0-তে উন্নীত হয়েছে— ৩টি Copy, ২টি ভিন্ন Media, ১টি Offsite, ১টি Immutable বা Air-Gapped, এবং Recovery Test-এ ০টি Error।

Immutable Backup হলো এমন Backup যা একবার লেখা হলে নির্দিষ্ট সময়ের জন্য কেউ পরিবর্তন বা মুছে ফেলতে পারে না, এমনকি Administrator-ও না। এটি Ransomware আক্রমণের বিরুদ্ধে সবচেয়ে কার্যকর প্রতিরক্ষা।

Object Lock প্রযুক্তি AWS S3, Azure Blob Storage এবং Google Cloud Storage-এ Immutability নিশ্চিত করে। Write Once Read Many বা WORM মডেলে Compliance Mode এবং Governance Mode দুটি বিকল্প রয়েছে। Compliance Mode-এ Root User-ও Retention Period শেষ হওয়ার আগে Object মুছতে পারে না। সংবেদনশীল ডেটার জন্য Compliance Mode বেছে নিন।

Air Gap হলো একটি Backup Copy-কে Network থেকে সম্পূর্ণভাবে বিচ্ছিন্ন রাখার পদ্ধতি। Physical Air Gap-এ Tape Backup নিয়ে Vault-এ সংরক্ষণ করা হয়, যেখান থেকে আক্রমণকারী Internet-এর মাধ্যমে পৌঁছাতে পারে না। Virtual Air Gap-এ Backup System Network-এ যুক্ত থাকে কিন্তু সীমিত সময়ের জন্য, যেমন রাত ২টা থেকে ৪টা পর্যন্ত Replication চলে এবং বাকি সময় Connection Down থাকে।

Logical Air Gap-এ Separate Credential, Separate Network Segment, এবং Multi-Factor Authentication-এর মাধ্যমে Backup Infrastructure-কে Production থেকে বিচ্ছিন্ন রাখা হয়। যদিও এটি সবচেয়ে দুর্বল ধরনের Air Gap, সঠিকভাবে কনফিগার করলে এটি কার্যকর হতে পারে।

আধুনিক Ransomware গ্রুপগুলোর Operator-রা অত্যন্ত পরিশীলিত এবং তারা জানে Backup-ই তাদের প্রধান শত্রু। তাই আক্রমণ শুরু করার আগেই তারা Reconnaissance Phase-এ Backup Infrastructure চিহ্নিত করার চেষ্টা করে।

Active Directory-তে Backup Operator Group, Backup Admin Account, এবং Backup Server-এর Hostname খুঁজে বের করে। Veeam, Veritas NetBackup, Commvault, Rubrik-এর মতো জনপ্রিয় Backup Solution-এর Default Port এবং Service চিহ্নিত করে। প্রায়ই Backup Software-এর Configuration File বা Credential File স্থানীয়ভাবে সংরক্ষিত থাকে যা চুরি করা সহজ।

Credential Theft-এর পর আক্রমণকারীরা Backup Console-এ Login করে এবং নিম্নলিখিত কাজ করে— Backup Job বন্ধ করে, Retention Policy পরিবর্তন করে যাতে পুরোনো Backup মুছে যায়, Replication Target পরিবর্তন করে, এবং সবশেষে Existing Backup মুছে ফেলে বা Encrypt করে।

কিছু Ransomware Variant যেমন Conti এবং LockBit বিশেষভাবে Backup File Extension যেমন .vbk, .vib, .bkf, .bak চিহ্নিত করে এবং সবার আগে এগুলো Encrypt করে। Volume Shadow Copy Service বা VSS-এর Shadow Copy-গুলোও মুছে ফেলা হয় যাতে Local Restore সম্ভব না হয়।

Backup Server-কে Tier 0 Asset হিসেবে গণ্য করুন, ঠিক যেমন Domain Controller। এই Server-এ Local Administrator Access কঠোরভাবে সীমিত রাখুন এবং Domain Admin Credential কখনো Cache না হওয়া নিশ্চিত করুন।

Backup Software-এর Administrative Console-এ Access সীমিত করুন। শুধুমাত্র Dedicated PAW বা Privileged Access Workstation থেকে Backup Console অ্যাক্সেস করুন। PAW-এ আলাদা Account, MFA এবং কঠোর Application Whitelisting থাকবে।

Multi-Factor Authentication প্রতিটি Backup Administrator-এর জন্য বাধ্যতামূলক। Backup Software-এর নিজস্ব MFA সমর্থন থাকলে সেটি সক্রিয় করুন। অনেক Enterprise Backup Solution এখন Hardware Token, OATH-এর মতো Standard সমর্থন করে।

Network Segmentation প্রয়োগ করুন। Backup Server, Storage এবং Console আলাদা VLAN-এ রাখুন। Firewall Rule দিয়ে শুধু প্রয়োজনীয় Port Open রাখুন। East-West Traffic Inspection-এর জন্য Internal Firewall বা NDR Solution ব্যবহার করুন।

Backup Repository-এর Storage Account-এ Separate Credential ব্যবহার করুন যা Domain-এ যুক্ত নয়। Local Account ব্যবহার করুন যার পাসওয়ার্ড একটি Hardware Vault-এ সংরক্ষিত। এই Credential কখনো Production Workstation-এ Type করবেন না।

ক্লাউড Backup ব্যবহার করার সময় কিছু বিশেষ সতর্কতা অবলম্বন করুন। AWS S3 Bucket-এ Object Lock Compliance Mode সক্রিয় করুন। MFA Delete সক্রিয় করুন যা Object Delete করার সময় MFA Code দাবি করে। Bucket Policy-তে Deny Statement যুক্ত করুন যা Backup Object-এ Delete এবং PutObject Action ব্লক করে।

Azure Backup-এ Soft Delete এবং Multi-User Authorization বা MUA সক্রিয় করুন। MUA নিশ্চিত করে যে কোনো Critical Operation যেমন Backup Disable, Retention Reduction, বা Restore Point Delete-এর জন্য আরেকজন অনুমোদনকারীর প্রয়োজন। Resource Guard ব্যবহার করুন যা Subscription Boundary অতিক্রম করে Authorization যুক্ত করে।

Cross-Region Replication বা Cross-Account Replication ব্যবহার করুন যাতে একটি Region বা Account compromised হলেও Backup নিরাপদ থাকে। ক্লাউড Backup-এর Encryption Key Production Account-এ না রেখে Separate Security Account-এ রাখুন।

২০১৭ সালে Shipping Giant Maersk NotPetya Ransomware-এর শিকার হয়। কয়েক ঘণ্টার মধ্যে তাদের ৪৯,০০০ Laptop, ৪,০০০ Server এবং ২৫০০ Application Encrypt হয়ে যায়। বিশ্বের ৭৬টি Port-এ তাদের Operation সম্পূর্ণ বন্ধ হয়ে যায়।

প্রায় সব Backup-ও NotPetya আক্রমণের শিকার হয়েছিল কারণ Backup System Network-এর সাথে Always Connected ছিল। শুধুমাত্র Ghana-র একটি Office-এ Power Outage-এর কারণে Domain Controller Offline ছিল, যা পরে Recovery-র জন্য একমাত্র Clean Source হিসেবে কাজ করেছিল। এই কাকতালীয় ঘটনা না ঘটলে Maersk-কে সম্ভবত Scratch থেকে পুরো Infrastructure পুনর্নির্মাণ করতে হতো।

এই ঘটনা থেকে শিক্ষা— Air-Gapped Backup অপরিহার্য, এবং Disaster Recovery Plan-এ Worst Case Scenario অন্তর্ভুক্ত থাকা উচিত। Maersk Recovery Cost ৩০০ মিলিয়ন ডলার ছাড়িয়ে গিয়েছিল।

Untested Backup আসলে Backup নয়। নিয়মিত Restore Test না করলে কোনো নিশ্চয়তা নেই যে আক্রমণের সময় Backup কাজ করবে। প্রতিটি Critical System-এর জন্য কমপক্ষে ত্রৈমাসিক Full Restore Test পরিচালনা করুন।

Restore Test শুধুমাত্র File Open করে দেখা নয়। Database Backup-এর জন্য সম্পূর্ণ Database Restore করে Application Integration Test চালান। Virtual Machine Backup-এর জন্য Sandboxed Network-এ VM Boot করে Application Functionality পরীক্ষা করুন।

Automated Backup Verification ব্যবহার করুন। Veeam-এর SureBackup বা Commvault-এর Auto Recovery Validation-এর মতো ফিচার স্বয়ংক্রিয়ভাবে Backup-এর Integrity পরীক্ষা করে। Checksum Validation, Anti-Virus Scan এবং Application-Aware Verification সক্রিয় রাখুন।

Recovery Runbook তৈরি করুন এবং প্রতি ৬ মাসে Tabletop Exercise পরিচালনা করুন। Runbook-এ প্রতিটি Step বিস্তারিত থাকবে— কে Call করবে, কোন System আগে Restore হবে, Communication Plan কী, এবং Customer Notification কীভাবে যাবে।

Backup Security শক্তিশালী করার জন্য নিম্নলিখিত পদক্ষেপ বাস্তবায়ন করুন। প্রথমত, Backup System-এ Endpoint Detection and Response টুল ইনস্টল করুন। অস্বাভাবিক File Modification, Mass Encryption Activity এবং Backup Job পরিবর্তন তাৎক্ষণিকভাবে Alert তৈরি করবে।

দ্বিতীয়ত, Backup Software-এর Version Up-to-Date রাখুন। Veeam Backup & Replication-এর CVE-2023-27532 এবং অন্যান্য Critical Vulnerability আক্রমণকারীরা সক্রিয়ভাবে Exploit করছে। Vendor Advisory পর্যবেক্ষণ করুন এবং Patch দ্রুত প্রয়োগ করুন।

তৃতীয়ত, Backup Data Encryption নিশ্চিত করুন। AES-256 Encryption সক্রিয় রাখুন এবং Encryption Key Production Environment থেকে আলাদা স্থানে সংরক্ষণ করুন। Backup-এর সময় এবং Storage-এ উভয়ক্ষেত্রে Encryption প্রয়োগ করুন।

চতুর্থত, Anomaly Detection সক্রিয় করুন। Backup Software-এর AI-Based Threat Detection ফিচার ব্যবহার করুন যা Ransomware Activity শনাক্ত করতে পারে। Encryption Pattern, File Modification Rate, এবং File Extension Change-এর ভিত্তিতে স্বয়ংক্রিয় Alert তৈরি হয়।

পঞ্চমত, Documentation এবং Knowledge Transfer। একজনই Backup Administrator রাখবেন না। কমপক্ষে ২-৩ জন Trained Personnel রাখুন। সম্পূর্ণ Documentation Encrypted Vault-এ সংরক্ষণ করুন।