Přednáška: Zálohy, které nepřežijí ransomware

9
Přednáška: Zálohy, které nepřežijí ransomware

Musím přiznat, že i přes moji introvertní povahu, mi už fyzické akce a osobní potkávání s kolegy a zákazníky chybí. Někdy žertuji, že díky mému životnímu stylu „práce od nevidím do nevidím“ poznám restrikce jen na méně ucpaném Brně. Nicméně i tak se těším, až „to“ bude za námi.

My v IT oboru máme štěstí, že z domu můžeme pracovat stejně dobře jako z kanceláře. Jiné obory na tom tak dobře nejsou a řada firem na „home office“ nebyla po technické stránce připravena. Narychlo se pak snažili nějakou formu vzdálené práce zavést.

Častokrát pro vzdálenou práci volili technologii vzdálené plochy (RDP) (viz článek „Open ports in the Time of Corona“ od Jana Kopřivy). Ta je přitom, spolu s phishingovými útoky, nejčastější cestou kyberzločinců do firemní sítě (viz průzkum o ransomware za Q2/2020 od Coveware). Kyberútoky zakončené ransomware zažily skvělé období.

Na téma zabezpečení RDP jsem napsal článek „Proč zabezpečení RDP pomocí VPN hackery nezastaví

Pravidelní čtenáři mého blogu ví, že se ransomware problematice věnuji. Občas se dostanu k zajímavým informacím, či případům které se pak s vámi snažím sdílet. Chci, abychom se jim dokázali všichni lépe bránit.😊 Dnes se s vámi podělím o informace k bezpečnosti záloh.

Pokud jste zde poprvé, z oblasti ransomware jsem již publikoval:

Kyberzločinci jdou po zálohách

Všichni správci, co se na nás po ransomware útoku obrátili, zálohovali! Přesto se ocitli bez dat i bez záloh – vše zašifrováno. Jak to?

Zločinci vědí, že pokud chtějí dostat zaplaceno, oběť nesmí mít možnost obnovit data ze záloh. Proto po nich jdou! Hned jak ovládnou celou síť, pátrají po zálohách aby je mohli zničit.

Nám obráncům tedy stačí mít odolné zálohy, že? Jenomže jaké to jsou? Co vše se zálohami hackeři dokáží? A pozor, ne každá cloudová záloha je odolná, i když to o sobě tvrdí.😁

Těmto a dalším otázkám jsem se věnoval ve své přednášce „Zálohy, které nepřežijí ransomware„. Doporučuji koukat přímo na YouTube – v popisku videa je časová osnova, abyste mohli skočit rovnou na kapitolu, která vás zajímá.

První polovina přednášky je úvod do problematiky a uvedení do kontextu. V druhé půlce jsou pak demo ukázky toho, čeho jsou hackeři se zálohami schopni a co při svých útocích dělají (detekování zálohovacího systému, vykrádání informací ze zálohovacího systému, ničení on-prem záloh, cloudových záloh, vykrádání hesel). Demonstrace ukazuji na Veeam Backup & Replication v10.

Doufám, že se bude přednáška líbit a pomůže vám se zabezpečením vašich záloh.

Hezký den a bezpečné zálohy přeje

Martin

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

      • Tak VLANy, domény, nebo obojí 😀? Ještě je třeba se zamyslet, co by se stalo, když by se někdo dostal i na ten backup server – byl by schopný zálohy smazat (vím, někdy jsem až moc opatrný, ale o data přijít nikdo nechce)?

        • Vlany :)). No, nicméně opatrnosti není nazbyt a ten váš příspěvek to jen dokazuje. Takže pokud jde o mě, jsem lehce paranoidní a řekl bych není to od věci. Moje aktuální řešení je separátní vlana pro servery + synology nasy + AV řešení. Nasy mají rovněž access listy. Nic víc mě zatím nenapadlo. Kromě toho dělám cca 1x za 14 dní kontrolu tj. obnovím si náhodný soubor. Aktuálně si pohrávám s myšlenkou zda nepořídit nějaký „značkový“ NAS, např Ethernus. Nebo eventuelně páskovku. Jinak opět díky za článek 🙂

  1. Zdravim Martine, opet skvely clanek s videem. Moc za nej dekuji. Hodne jsem se poucil. Super. A zaroven jste mi nasadil velkeho brouka do hlavy ohledne tech hesel.
    Mam na Vas nekolik dotazu ohledne bezpecnosti zaloh:
    1. Zalohy vetsinou provadime jen za pomoci Agenta Veem primo na NAS Synology (jsme mala firma). Na NAS je vytvoren uzivatel pro backup se svym heslem. Administrace NAS je provadena s jinym uzivatelem a heslem. Da se heslo, ktere agent Veemu pouziva rozkodovat stejnym zpusobem jako heslo ve Veeam B&R, ktere popisujete ve videu ?
    2. Jakym zpusobem se da zjistit, respektive dostat upozorneni na to, ze utocnik heslo zmenil ? Tohle je totiz asi nejvetsi problem v ochrane zaloh a nepomuzou pak ani snapshoty ani off-line zalohy.
    3. K Veeam agentovi pouzivame take nativni aplikaci Synology – Active Backup for Business. Nevite nahodou, jaka je bezpecnost hesla teto aplikace , jak je heslo chraneno v agentovi od Synology ?
    4. Pro jeste vetsi bezpecnost zaloh mame dalsi Synology bez zapnutych sitovych protokolu (cili na siti neni videt) a zaloha probiha jen pres nativni aplikace Synology – Hyperbackup, ShareSync. Je tohle dostatecne bezpecne ? Jedna se mi zase spise o bezpecnost hesel.
    5. Jak se prosim divate na Synology NAS z bezpecnostnoho hlediska ? Je tezke pro utocnika NAS napadnout, pokud ma NAS silna hesla ?
    6. Posledni dotaz, minule jsem zde psal i o Acronisu. Nezkousel jste uz tento system prosim ?

    Predem moc dekuji za odpovedi.
    Rado.

    • Dobrý den, Radomíre,

      děkuji za pochvalu. A tady jsou mé postřehy:
      Ad 1) Hesla pro Veeam Agent se dají rozkódovat stejným způsobem. Pokud však pro přístup na share používáte jiného uživatel než pro administraci NASu, pak je to dobře.
      Ad 2) Myslím, že zatím se to nedá :-/. Nicméně Veeam o mé přednášce ví a věřím, že to nějak vyřeší :). My jsme si to zatím poladili skrze monitorovací systém (máme na to vlastní skript, který ty hodnoty hlídá).
      Ad 3) Bohužel tuhle aplikaci jsem nikdy netestoval – nevím jaká je její architektura :(.
      Ad 4) Stejně jako bod 3, nevím :(. Také by mne to zajímalo, ale můj TODO list je tak dlouhý, že pro mne není reálné se k tomu tenhle rok dostat. Pokud by si s tím někdo pohrál, budu rád když se podělí o výsledky.
      Ad 5) Zase tak jednoduché ho prolomit není. Buď je třeba zjistit heslo, nebo mát nějaký exploit – to ale řeší automatické aktualizace. Popravdě vím, že teď byly nějaké zranitelnosti (zneužívané) v QNAPu. V Synology jsem dlouho o ničem neslyšel. Určitě si NAS udržujte aktualizovaný a mějte nainstalováno minimum aplikací. Zároveň má Synology hezky udělaný FW (i v GUI) – není špatné to pozamykat na konkrétní IP.
      Ad 6) Bohužel. Jako firma jsme přišli kompletně na Veeam (dříve jsme používali i Altaro) – veškeré výkonové testy a výběr dělal můj kolega (možná o tom někdy napíše článek).

    • Ad 6. Myslím že je to +- asi jedno. Acronis jsem zkoušel a upřímně řečeno Veeam mi sedí víc. Na druhou stranu Veeam je velmi rozšířený, takže možná můžeme počítat s větším rizikem, že se v něm najde díra. Já obecně používám VBR, v menších firmách Nakivo a jsem spokojený.

  2. Ohledne Acronisu – libi se mi, ze sve zalohy primo chrani (uzamyka) a neumoznuje pristup k zaloham jinym procesum – napr. ransomware. Nevim, jak je tato metoda bezpecna, ale urcite zvysuje bezpecnost zaloh. Zalohy nejdou ani standartne smazat napr. prez pruzkumnika, jako u Veeamu.

Leave a Reply