3. Ransomware protection 3
Nice 2007 Kodaň 2011
Barcelona 2016
– Trendy
– Ochrana záloh
– Veeam Agent for Linux a Windows
– Veeam One monitoring - ransomware
– vSphere a Ransomware acitivity
– Závěr
4. Klíčové poznatky 4
– Nejdůležitějším krokem k
ochraně proti Ransomware je
Ochrana Vašich záloh!
– Backup server má přístup na
všechno => měl by tedy být
nejvíce zabezpečeným
systémem v infrastruktuře
– Backup data jsou
nejzajímavějším cílem pro
útočníky!
5. Příklad ze světa 5
– Ex-Admin deletes all customer data and wipes servers of Dutch Hosting Provider
Verelox
6. Ochrana proti Ramsomware 6
– Edukace uživatelů
– Definované politiky pro BYOD
– Definované politiky pro firemní desktopy
– Segmentace sítě na VLANy
– Pravidelné zálohy důležitých dat uživatelů
10. Eliminace rizik 10
– MSCacheV2 hash pro domain uživatele
– NTLM hash pro local uživatele
– Brute-force 2,5mil/s na x86 hardware
– Aplikace Microsoft security doporučení
– AC v některých implementacích praktikuje
zakázání RDP přístupu na virtuální Veeam
server a v nutných případech pro
management využívá pouze VMware konzoli
– Lokálně instalovaný Veeam klient (Console)
11. Eliminace rizik – levné NAS 11
– Pozor na aktualizovaný firmware na NAS
zařízeních
– V nedávně době odhalený incident v
nekonzistentních datech na RAID5 po
výpadku HDD na QNAP zařízeních
– http://www.sbsfaq.com/?p=4277
– https://www.qnap.com/en/technical-
advisory/tec-201707-01
12. Zabezpečení vSphere platformy 12
– Veeam využívá vCenter server
– vCenter umožňuje granulární nastavení
oprávnění
– Každá operace vyžaduje jiný set oprávnění
– Různé backup mode vyžadují jiný set
oprávnění
– Pokud existuje více backup serverů v
infrastruktuře, je možné každému přidělit
oprávnění jen na konkrétní část infrastruktury
– https://www.veeam.com/veeam_backup_9_
0_permissions_pg.pdf
13. Ochrana dat záloh na úložišti 13
– Zálohování na pásky
– Zálohování na VORM média
– Zálohování na SMB share
– Zálohování na externí USB disk
(rotování disků)
– Nepřipojovat SMB share napřímo
do Backup serveru
– Přihlašovací údaje na SMB budou
pak uloženy pouze šifrovaně ve
Veeam databázi
– Pokud je cílem Windows systém,
doporučuje se jiný způsob
autentifikace (mimo doménu)
14. Ochrana dat záloh na úložišti 14
– Off-line systém a spuštění skrze out-of-band
management těsně před zálohovacím oknem
– Jiné přihlašovací údaje pro zálohovací úložiště
(jiná doména bez trustu, lokální účty)
– Využití jiné platformy a tedy jiný způsob
ověření pro Linux repository například
ExaGrid
– Využití Veeam Cloud Connect
– Vyšší frekvence záloh
– Více typů záloh (Backup Copy, Replikace,
Storage Snapshoty, další backup job)
15. Retenční politika 15
– Inkrementální
– Využíváme pro ukládání na pásky
.vbk
.vib .vib .vib .vib .vib .vib
.vbk
PO ÚT ST ČT PÁ SO NE PO
.vib
ÚT
Active Full
Virtual FullFull Backup
Incremental Backup
Po uplynutí retence
16. Retenční politika 16
– Revers Inkrementální
– Používáme pro lokální repository
.vbk
.vib
PO ÚT ST ČT PÁ SO NE PO ÚT
Full Backup
.vrb .vib
.vbk
.vrb .vib
.vbk
.vib.vrb
.vbk
.vrb
17. Retenční politika 17
– Forever Inkrementální
– Používá se pro archivaci záloh na Data Domain, NAS zařízení
.vbk
.vib .vib .vib .vib .vib .vib
PO ÚT ST ČT PÁ SO NE PO ÚT
Full Backup
.vib .vib
.vbk
23. Řetězení souborů podle VM 23
– Vhodné zejména pro deduplikační zařízení
– Paralelní zpracování
– 10x vyšší propustnost
Až 10× rychlejší výkon zálohování
28. – Dříve Endpoint Backup
– Agent na systému
– Celý server image based
– Volume-level
– File-level
– Bare-metal recovery ISO boot
– Exclude file masky
– Integrace do Backup Repository
Veeam Agent for Windows 2.0 28
29. – Agent na systému
– Celý server image based
– Volume-level
– File-level
– Pre-freeze a post-thaw scripty
– SQLlite konfigurace
– Web GUI, CLI management
– Integrace do Backup repository
Veeam Agent for Linux 29
31. Veeam One zabezpečení 31
– HTTPS portál
– Riziko snifování hesla
– Kdo nikdy nekliknul „accept“ na
varování „certificate error“ ?
– Před verzí 9.5 defaultně není
používáno HTTPS
– Ransomware activity alert