CIS kontrollpunkt 10 – återställande av information

Publicerad den maj 22, 2019

Om informationen ändras

När angripare medvetet infekterar datorsystem gör de ofta förändringar i konfigurationer och programvaror. Ibland gör de också svårupptäckta förändringar av den lagrade informationen i de infekterade datorerna. Sådana förändringar kan i det långa loppet orsaka allvarliga skador i den attackerade organisationens verksamheter. En attack måste därför kunna upptäckas i tid om man ska kunna minimera skadorna.

Spara informationen regelbundet

För att kunna återställa systemet till skicket innan attacken måste man regelbundet spara viktig data som säkerhetskopior. När en skada upptäcks kan det vara till stor hjälp att kunna gå tillbaka till en tidpunkt före attacken och återställa informationen till en version innan angreppet skedde. Även om man inte kan påvisa att någon påverkan har ägt rum vid ett anfall så kan det vara en god ide att rulla tillbaka till en säkerhetskopia som man vet är säker.

Några rekommendationer för säkerhetskopiering

  • Se till att systemets information sparas regelbundet i en automatisk säkerhetskopia. Låt denna säkerhetskopia omfatta de mest kritiska delarna i organisationens datornät.
  • Se till att säkerhetskopian är fysiskt skyddad med hjälp av skalskydd för lokalen eller att den låses in i ett säkerhetsskåp. Se till att förflyttningen av data sker säkert till sekundär lagring eller till molntjänster.
  • Minst en av säkerhetskopiorna skall inte vara kontinuerligt ansluten till nätverket. Koppla bort den efter att den körts för att inte riskera att skadlig kod sprider sig till säkerhetskopiorna.
  • Testa säkerhetskopian regelbundet och säkerställ att informationen kan återläsas.

Återställ med säkra data

Med jämna mellanrum bör tester göras att systemets säkerhetskopior går att återskapa. Dessa återställda data skall kontrolleras och verifieras för att försäkra sig om att applikationer och data från backupen är intakta och funktionella.

Olika typer av backuper

Det tre vanligaste sorternas säkerhetskopiering är följande:

  1. Fullständig säkerhetskopiering
  2. Differentiell säkerhetskopiering
  3. Inkrementell säkerhetskopiering

Efter man har gjort en fullständig säkerhetskopia kan man antingen välja att göra en fullständig säkerhetskopia nästa gång också, eller så kan man göra en differentiell eller inkrementell säkerhetskopia nästa gång. Skillnaden mellan dessa två sistnämnda kan vara lätt att blanda ihop.

En differentiell säkerhetskopia innebär att man först tar en fullständig säkerhetskopia och sen en differentiell kopia så ofta man känner att man behöver, kanske varje timme eller varje dag. Den differentiella säkerhetskopian kopierar alla filer som ändrats sedan den fullständiga säkerhetskopian, vilket innebär nackdelen att kopiorna blir större och större ju längre tid det gått sedan den fullständiga säkerhetskopieringen. När man sedan ska återställa säkerhetskopian behöver man endast återställa den fullständiga och den senaste differentiella säkerhetskopian.

En inkrementell säkerhetskopia görs på samma sätt som en differentiell, det vill säga att man först börjar först med att ta en fullständig säkerhetskopia för att sedan göra inkrementella säkerhetskopior. Fördelen med denna lösning är att för varje inkrementell kopia man tagit så kopieras bara filer som har ändrats sedan den senaste inkrementella säkerhetskopian, vilket minskar storleken på varje kopia. Nackdelen med denna lösning är att vid återställning måste man läsa in först den fullständiga kopian för att sedan läsa in alla de inkrementella kopiorna.


Skrivet av

Jan Karlsson, Head of Operation and Services

+46 (0) 706 38 22 24

jan.karlsson@securestatecyber.com