Přednáška: Zálohy, které nepřežijí ransomware
Musím přiznat, že i přes moji introvertní povahu, mi už fyzické akce a osobní potkávání s kolegy a zákazníky chybí. Někdy žertuji, že díky mému životnímu stylu „práce od nevidím do nevidím“ poznám restrikce jen na méně ucpaném Brně. Nicméně i tak se těším, až „to“ bude za námi.
My v IT oboru máme štěstí, že z domu můžeme pracovat stejně dobře jako z kanceláře. Jiné obory na tom tak dobře nejsou a řada firem na „home office“ nebyla po technické stránce připravena. Narychlo se pak snažili nějakou formu vzdálené práce zavést.
Častokrát pro vzdálenou práci volili technologii vzdálené plochy (RDP) (viz článek „Open ports in the Time of Corona“ od Jana Kopřivy). Ta je přitom, spolu s phishingovými útoky, nejčastější cestou kyberzločinců do firemní sítě (viz průzkum o ransomware za Q2/2020 od Coveware). Kyberútoky zakončené ransomware zažily skvělé období.
Na téma zabezpečení RDP jsem napsal článek „Proč zabezpečení RDP pomocí VPN hackery nezastaví„
Pravidelní čtenáři mého blogu ví, že se ransomware problematice věnuji. Občas se dostanu k zajímavým informacím, či případům které se pak s vámi snažím sdílet. Chci, abychom se jim dokázali všichni lépe bránit.😊 Dnes se s vámi podělím o informace k bezpečnosti záloh.
Pokud jste zde poprvé, z oblasti ransomware jsem již publikoval:
- „Jak těžké je poznat únik dat“ – po hackerském útoku zpravidla firmy uklidňují veřejnost, že nedošlo k úniku žádných osobních dat. Jak to ale poznají?
- „Jak vypadá vyjednávání o výkupném u ransomware“ – Ukázka skutečné komunikace mezi obětí ransomware a hackery. Překvapí smluvní ceny, „prozákaznických“ přístup a nonstop podpora.
- „Jak obnovit síť po ransomware útoku“ – Jak obnovit firemní počítačovou síť po útoku ransomware? Co dělat jako první? Sdílím (pracně) získané zkušenost, abyste obnovili provoz co nejdříve.
- „Jak hackeři napadají firmy skrze jejich IT dodavatele“ – Nezáleží, kolik do IT bezpečnosti investujete, pokud váš dodavatel bezpečnost fláká. Dejte si pozor na hackerské útoky skrze dodavatele.
- „Hackeři mají nový trik. Naučili se s ransomware lépe vydírat“ – Nový trik s ransomware nevyřeší ani dobré zálohování. Hackeři oběti vydírají, že pokud nezaplatí, jejich citlivá data zveřejní.
- „Co dokážou hackeři s ransomware ve vaší firemní síti“ – Firmy po útoku ransomware končí bez dat i záloh, protože podceňují schopnosti hackerů. Přečtěte si, co hacker ve vaší síti dokáže a zlepšete zabezpečení.
Kyberzločinci jdou po zálohách
Všichni správci, co se na nás po ransomware útoku obrátili, zálohovali! Přesto se ocitli bez dat i bez záloh – vše zašifrováno. Jak to?
Zločinci vědí, že pokud chtějí dostat zaplaceno, oběť nesmí mít možnost obnovit data ze záloh. Proto po nich jdou! Hned jak ovládnou celou síť, pátrají po zálohách aby je mohli zničit.
Nám obráncům tedy stačí mít odolné zálohy, že? Jenomže jaké to jsou? Co vše se zálohami hackeři dokáží? A pozor, ne každá cloudová záloha je odolná, i když to o sobě tvrdí.😁
Těmto a dalším otázkám jsem se věnoval ve své přednášce „Zálohy, které nepřežijí ransomware„. Doporučuji koukat přímo na YouTube – v popisku videa je časová osnova, abyste mohli skočit rovnou na kapitolu, která vás zajímá.
První polovina přednášky je úvod do problematiky a uvedení do kontextu. V druhé půlce jsou pak demo ukázky toho, čeho jsou hackeři se zálohami schopni a co při svých útocích dělají (detekování zálohovacího systému, vykrádání informací ze zálohovacího systému, ničení on-prem záloh, cloudových záloh, vykrádání hesel). Demonstrace ukazuji na Veeam Backup & Replication v10.
Doufám, že se bude přednáška líbit a pomůže vám se zabezpečením vašich záloh.
Hezký den a bezpečné zálohy přeje
Martin
Diskuze k článku
lgrundel
09. 11. 2020 v 16:36
Přesunuli jsme všechny naše backup servery a nasy do separátní domény.
Odpovědět
lgrundel
09. 11. 2020 v 16:37
*vlany
Odpovědět
Martin Haller
10. 11. 2020 v 10:51
Tak VLANy, domény, nebo obojí 😀? Ještě je třeba se zamyslet, co by se stalo, když by se někdo dostal i na ten backup server – byl by schopný zálohy smazat (vím, někdy jsem až moc opatrný, ale o data přijít nikdo nechce)?
Odpovědět
lgrundel
27. 11. 2020 v 12:02
Vlany :)). No, nicméně opatrnosti není nazbyt a ten váš příspěvek to jen dokazuje. Takže pokud jde o mě, jsem lehce paranoidní a řekl bych není to od věci. Moje aktuální řešení je separátní vlana pro servery + synology nasy + AV řešení. Nasy mají rovněž access listy. Nic víc mě zatím nenapadlo. Kromě toho dělám cca 1x za 14 dní kontrolu tj. obnovím si náhodný soubor. Aktuálně si pohrávám s myšlenkou zda nepořídit nějaký „značkový“ NAS, např Ethernus. Nebo eventuelně páskovku. Jinak opět díky za článek 🙂
Odpovědět
Radomír Káňa
14. 11. 2020 v 19:07
Zdravim Martine, opet skvely clanek s videem. Moc za nej dekuji. Hodne jsem se poucil. Super. A zaroven jste mi nasadil velkeho brouka do hlavy ohledne tech hesel.
Mam na Vas nekolik dotazu ohledne bezpecnosti zaloh:
1. Zalohy vetsinou provadime jen za pomoci Agenta Veem primo na NAS Synology (jsme mala firma). Na NAS je vytvoren uzivatel pro backup se svym heslem. Administrace NAS je provadena s jinym uzivatelem a heslem. Da se heslo, ktere agent Veemu pouziva rozkodovat stejnym zpusobem jako heslo ve Veeam B&R, ktere popisujete ve videu ?
2. Jakym zpusobem se da zjistit, respektive dostat upozorneni na to, ze utocnik heslo zmenil ? Tohle je totiz asi nejvetsi problem v ochrane zaloh a nepomuzou pak ani snapshoty ani off-line zalohy.
3. K Veeam agentovi pouzivame take nativni aplikaci Synology – Active Backup for Business. Nevite nahodou, jaka je bezpecnost hesla teto aplikace , jak je heslo chraneno v agentovi od Synology ?
4. Pro jeste vetsi bezpecnost zaloh mame dalsi Synology bez zapnutych sitovych protokolu (cili na siti neni videt) a zaloha probiha jen pres nativni aplikace Synology – Hyperbackup, ShareSync. Je tohle dostatecne bezpecne ? Jedna se mi zase spise o bezpecnost hesel.
5. Jak se prosim divate na Synology NAS z bezpecnostnoho hlediska ? Je tezke pro utocnika NAS napadnout, pokud ma NAS silna hesla ?
6. Posledni dotaz, minule jsem zde psal i o Acronisu. Nezkousel jste uz tento system prosim ?
Predem moc dekuji za odpovedi.
Rado.
Odpovědět
Martin Haller
16. 11. 2020 v 13:26
Dobrý den, Radomíre,
děkuji za pochvalu. A tady jsou mé postřehy:
Ad 1) Hesla pro Veeam Agent se dají rozkódovat stejným způsobem. Pokud však pro přístup na share používáte jiného uživatel než pro administraci NASu, pak je to dobře.
Ad 2) Myslím, že zatím se to nedá :-/. Nicméně Veeam o mé přednášce ví a věřím, že to nějak vyřeší :). My jsme si to zatím poladili skrze monitorovací systém (máme na to vlastní skript, který ty hodnoty hlídá).
Ad 3) Bohužel tuhle aplikaci jsem nikdy netestoval – nevím jaká je její architektura :(.
Ad 4) Stejně jako bod 3, nevím :(. Také by mne to zajímalo, ale můj TODO list je tak dlouhý, že pro mne není reálné se k tomu tenhle rok dostat. Pokud by si s tím někdo pohrál, budu rád když se podělí o výsledky.
Ad 5) Zase tak jednoduché ho prolomit není. Buď je třeba zjistit heslo, nebo mát nějaký exploit – to ale řeší automatické aktualizace. Popravdě vím, že teď byly nějaké zranitelnosti (zneužívané) v QNAPu. V Synology jsem dlouho o ničem neslyšel. Určitě si NAS udržujte aktualizovaný a mějte nainstalováno minimum aplikací. Zároveň má Synology hezky udělaný FW (i v GUI) – není špatné to pozamykat na konkrétní IP.
Ad 6) Bohužel. Jako firma jsme přišli kompletně na Veeam (dříve jsme používali i Altaro) – veškeré výkonové testy a výběr dělal můj kolega (možná o tom někdy napíše článek).
Odpovědět
Petr
22. 11. 2022 v 21:13
Tak to bylo hodně přínosné!
Martine máte prosím aktuální info k tomu, jak Veeam podchytil situaci změny šifrovacích klíčů záloh? (googlil jsem marně)
Pokud ne (a váš monitoring tu změnu stále umí podchycovat), chtěli bychom si to zařídit taky – bude nám stačit sledovat změny v odpovídající MSSQL tabulce?
Odpovědět
Martin Haller
23. 11. 2022 v 08:53
Já už jsem to od té doby nesledoval, protože to máme vyřešené skrze náš monitorovací systém. Myslím ale, že Veeam nám říkal, že tyto události jsou vidět skrze Veeam ONE (s ním nemám žádné zkušenosti).
Jinak je to jak píšete, stačí sledovat změny v tabulce „CryptoKeys“. Pokud byste si ji chtěli zálohovat, tak data jsou chráněna (šifrována) skrze DPAPI.
Odpovědět
Petr
23. 11. 2022 v 13:17
Použijeme. Je to další, možná přehlédnutá, vrstva.
ještě by to mělo být v jejich produktu VBEM, viz reakce na tuhle zranitelnost na fóru https://forums.veeam.com/veeam-backup-replication-f2/enhancing-security-against-ransomware-with-notification-on-key-managment-t72670.html
zakončené příměrou od Gosteva, že „už je vlastně fundamentálně pozdě něco bránit“.
Odpovědět
lgrundel
27. 11. 2020 v 12:58
Ad 6. Myslím že je to +- asi jedno. Acronis jsem zkoušel a upřímně řečeno Veeam mi sedí víc. Na druhou stranu Veeam je velmi rozšířený, takže možná můžeme počítat s větším rizikem, že se v něm najde díra. Já obecně používám VBR, v menších firmách Nakivo a jsem spokojený.
Odpovědět
Radomír
27. 11. 2020 v 14:27
Ohledne Acronisu – libi se mi, ze sve zalohy primo chrani (uzamyka) a neumoznuje pristup k zaloham jinym procesum – napr. ransomware. Nevim, jak je tato metoda bezpecna, ale urcite zvysuje bezpecnost zaloh. Zalohy nejdou ani standartne smazat napr. prez pruzkumnika, jako u Veeamu.
Odpovědět
Martin Haller
27. 11. 2020 v 14:43
Určitě je to lepší než nic, na druhou stranu 100% neprůstřelné to asi taky nebude. Tipnul bych si, že si Acronis nechává soubory otevřené (uzamčené) pro sebe a tím brání ostatním procesům k nim přistoupit. Některé ransomware varianty s tím počítají a tyhle „zámky“ zavírají (aby mimo jiné mohli šifrovat data spuštěných programů).
Tu rychlý návod jak to zkusit: https://www.manuelmeyer.net/2013/09/tooltips-unlocking-files-with-sysinternals-process-monitor/
Případně jeden z ramsoware co to využívá https://www.bleepingcomputer.com/news/security/new-fox-ransomware-matrix-variant-tries-its-best-to-close-all-file-handles/ .
Odpovědět
Jan Kolek
29. 11. 2020 v 09:45
Zdravím Martine, shlédl jsem přednášku a měl bych dotaz. Při publikování služeb . například RDGW, nebo VPN používám filtry na příchozí IP adresy a povoluju jen provoz z CZ IP adres. Lze toto brát jako ochranu publikovaných služeb, nebo je už běžné, že například útoky na RDP probíhají do často i z Česka?
Odpovědět
Martin Haller
29. 11. 2020 v 10:19
Dobrý den, Honzo, myslím že je to dobré opatření 👍🏼 – sami děláme to samé.
Samozřejmě, nejedná se o 100% ochranu, je to spíše takový „addon“. Avšak vzhledem k tomu, jak jednoduché je to na nasazení a uživatele to nijak neomezuje to rozhodně doporučuji. Člověk díky tomu zmizí ze služeb jako Shodan (nebudou vidět publikované služby) a většiny custom skenů. Tím se zbaví naprosté většiny automatizovaných útoků proti dané službě (alespoň z našich zkušeností).
Na druhou stranu, stále zůstane část útoků, které probíhají z CZ IP adres. Tím, jak tuto obranou techniku bude používat více lidí, budou se tomu přizpůsobovávat i útočníci.
V souhrnu bych to viděl takto: je to super funkce kterou se vyplatí zapnout. Nezaručuje „bezpečnost“ jako takovou, ale snižuje počet útoků na danou službu. To se může hodit zejména tehdy, když se objeví nějaký zero-day. Útočníci půjdou hlavně po IP, které mají zaindexované, že tam daná služba běží. Díky geofilteringu je pravděpodobné, že bude naše služba skryta a napadena až později. To nám dá čas na objevenou zranitelnost reagovat (patch/workaround).
Co si o tom myslíte?
Odpovědět
Jan Kolek
29. 11. 2020 v 16:50
Díky za odpověď. Právě tímto jsem velmi snížil množství neúspěšných přihlášení. Podobně už útočí i na Office365 Office 365
Exchange Online –
178.176.174.34
Yoshkar-Ola, Mariy-El, RU
Ale tam to řeší vícefaktorové ověření.
Odpovědět
Aleš
31. 12. 2020 v 18:29
Dobrý večer, jak prosím řešíte zabezpečení a zálohy webu plus mailing listu? Děkuji
Odpovědět
Martin Haller
03. 01. 2021 v 10:46
Dobrý den, z jakého pohledu to myslíte? Web server je virtuál, takže jako stejně jako u zákazníků používáme Veeam. Mailing list je pak čistě Mailchimp.com .
Odpovědět