Fight against ransomware, backup protection

1. Backup vs. Ransomware
Prevence proti ohrožení záloh
Vladan Laxa
Systémový specialista / konzultant/ ITI-R5
4/8
2 0 1 7

2. AGENDA 2
Nice 2007 Kodaň 2011
Barcelona 2016
– Trendy
– Ochrana záloh
– vSphere a Ransomware
– Veeam Agent for Linux a Windows
– Veeam One monitoring - ransomware
– Závěr

3. Ransomware protection 3
Nice 2007 Kodaň 2011
Barcelona 2016
– Trendy
– Ochrana záloh
– Veeam Agent for Linux a Windows
– Veeam One monitoring - ransomware
– vSphere a Ransomware acitivity
– Závěr

4. Klíčové poznatky 4
– Nejdůležitějším krokem k
ochraně proti Ransomware je
Ochrana Vašich záloh!
– Backup server má přístup na
všechno => měl by tedy být
nejvíce zabezpečeným
systémem v infrastruktuře
– Backup data jsou
nejzajímavějším cílem pro
útočníky!

5. Příklad ze světa 5
– Ex-Admin deletes all customer data and wipes servers of Dutch Hosting Provider
Verelox

6. Ochrana proti Ramsomware 6
– Edukace uživatelů
– Definované politiky pro BYOD
– Definované politiky pro firemní desktopy
– Segmentace sítě na VLANy
– Pravidelné zálohy důležitých dat uživatelů

7. TRENDY 7
– 3 kopie záloh
– 2 typy médií
– 1 kopie offsite
– Disk 2 disk 2 tape
– Disk 2 disk 2 Cloud

8. TRENDY 8
vBR
vDisk

9. Eliminace rizik 9
4
4
4
4
4
4
4
4
4
4

10. Eliminace rizik 10
– MSCacheV2 hash pro domain uživatele
– NTLM hash pro local uživatele
– Brute-force 2,5mil/s na x86 hardware
– Aplikace Microsoft security doporučení
– AC v některých implementacích praktikuje
zakázání RDP přístupu na virtuální Veeam
server a v nutných případech pro
management využívá pouze VMware konzoli
– Lokálně instalovaný Veeam klient (Console)

11. Eliminace rizik – levné NAS 11
– Pozor na aktualizovaný firmware na NAS
zařízeních
– V nedávně době odhalený incident v
nekonzistentních datech na RAID5 po
výpadku HDD na QNAP zařízeních
– http://www.sbsfaq.com/?p=4277
– https://www.qnap.com/en/technical-
advisory/tec-201707-01

12. Zabezpečení vSphere platformy 12
– Veeam využívá vCenter server
– vCenter umožňuje granulární nastavení
oprávnění
– Každá operace vyžaduje jiný set oprávnění
– Různé backup mode vyžadují jiný set
oprávnění
– Pokud existuje více backup serverů v
infrastruktuře, je možné každému přidělit
oprávnění jen na konkrétní část infrastruktury
– https://www.veeam.com/veeam_backup_9_
0_permissions_pg.pdf

13. Ochrana dat záloh na úložišti 13
– Zálohování na pásky
– Zálohování na VORM média
– Zálohování na SMB share
– Zálohování na externí USB disk
(rotování disků)
– Nepřipojovat SMB share napřímo
do Backup serveru
– Přihlašovací údaje na SMB budou
pak uloženy pouze šifrovaně ve
Veeam databázi
– Pokud je cílem Windows systém,
doporučuje se jiný způsob
autentifikace (mimo doménu)

14. Ochrana dat záloh na úložišti 14
– Off-line systém a spuštění skrze out-of-band
management těsně před zálohovacím oknem
– Jiné přihlašovací údaje pro zálohovací úložiště
(jiná doména bez trustu, lokální účty)
– Využití jiné platformy a tedy jiný způsob
ověření pro Linux repository například
ExaGrid
– Využití Veeam Cloud Connect
– Vyšší frekvence záloh
– Více typů záloh (Backup Copy, Replikace,
Storage Snapshoty, další backup job)

15. Retenční politika 15
– Inkrementální
– Využíváme pro ukládání na pásky
.vbk
.vib .vib .vib .vib .vib .vib
.vbk
PO ÚT ST ČT PÁ SO NE PO
.vib
ÚT
Active Full
Virtual FullFull Backup
Incremental Backup
Po uplynutí retence

16. Retenční politika 16
– Revers Inkrementální
– Používáme pro lokální repository
.vbk
.vib
PO ÚT ST ČT PÁ SO NE PO ÚT
Full Backup
.vrb .vib
.vbk
.vrb .vib
.vbk
.vib.vrb
.vbk
.vrb

17. Retenční politika 17
– Forever Inkrementální
– Používá se pro archivaci záloh na Data Domain, NAS zařízení
.vbk
.vib .vib .vib .vib .vib .vib
PO ÚT ST ČT PÁ SO NE PO ÚT
Full Backup
.vib .vib
.vbk

18. – Minimalizace RTO
– Bez nutnosti obnovení
– Quick Migration
Instant VM recovery – vPower NFS 18

19. – Izolované prostředí
– Testování záloh
– On-Demand Sandbox
– Sure Backup
Virtual LAB 19

20. – Linux proxy appliance
– Testování záloh
– Testovací prostředí
Virtual LAB 20

21. – Integrace s EMC DataDomain
– Zrychlení až o 50%
– Možnost paralelního zpracování
– Podpora DD Boost vylepšana
– Deduplikace
Integrace Deduplikačních úložišť 21

22. Integrace Deduplikačních úložišť 22

23. Řetězení souborů podle VM 23
– Vhodné zejména pro deduplikační zařízení
– Paralelní zpracování
– 10x vyšší propustnost
Až 10× rychlejší výkon zálohování

24. – Podpora zařízení bez nativních ovladačů pro Windows
– Globální fond médií
– Možnost aplikace GFS politiky
– Backup job jako zdroj dat pro archiv na pásku
– Paralelní zpracování
Integrace s páskovýma jednotkama 24

25. GFS na pásku 25

26. VTL do Cloudu 26

27. – Vyloučí bloky smazaných souborů
– Vyloučí stránkovací a hybernační soubory
– Vyloučí uživatelem definované soubory a složky
– Zkracuje dobu zálohy
– Zmenšuje celkový objem zálohy
– Po upgradu ze starší verze není zapnuto
Veeam BitLooker 27

28. – Dříve Endpoint Backup
– Agent na systému
– Celý server image based
– Volume-level
– File-level
– Bare-metal recovery ISO boot
– Exclude file masky
– Integrace do Backup Repository
Veeam Agent for Windows 2.0 28

29. – Agent na systému
– Celý server image based
– Volume-level
– File-level
– Pre-freeze a post-thaw scripty
– SQLlite konfigurace
– Web GUI, CLI management
– Integrace do Backup repository
Veeam Agent for Linux 29

30. Veeam Agent for Linux 30

31. Veeam One zabezpečení 31
– HTTPS portál
– Riziko snifování hesla
– Kdo nikdy nekliknul „accept“ na
varování „certificate error“ ?
– Před verzí 9.5 defaultně není
používáno HTTPS
– Ransomware activity alert

32. Veeam v9.5 PowerShell Automation 32
– Příklad restore VM do odlišného umístění:
– Načtení backup jobu do proměnné
– PS C:PS> $backup = Get-VBRBackup -Name "Daily_Backup"
– Výběr nejaktuálnějšího restorepointu
– PS C:PS> $restorepoint = Get-VBRRestorePoint -Backup $backup -Name „test_001" | Select -Last 1
– Výběr serveru pro restore
– PS C:PS> $server = Get-VBRServer -Name "esx5.sm.agcom.cz„
– Výběr resource poolu
– PS C:PS> $resourcepool = Find-VBRViResourcePool -Server $server -Name „Servery„
– Spuštění samotného restore
– PS C:PS> Start-VBRRestoreVM -RestorePoint $restorepoint -Server $server -ResourcePool $resourcepool
PS C:PS> Get-VBRBackup | Remove-VMRBackup –FromDisk –Confirm:$False !!!!!!!!!!!!

33. 57 Restore scénářů v9.5 33
Ale odkud, pokud
máme soubory záloh
zakryptované díky
úspěšnému
Ransmoware útoku?

34. – Nemusíte platit výpalné zítra
Podnikněte opatření ještě DNES! 34

35. Vladan Laxa
Systémový specialista / konzultant / ITI-R5
+420 737 212 422
vladan.laxa@autocont.cz
AutoCont CZ a.s. / Hornopolní 3322/34 702 00 Ostrava / www.autocont.cz