backup ransomware prevention_2017
TRANSCRIPT
Backup vs. RansomwarePrevenceprotiohroženízáloh
VladanLaxaSystémovýspecialista/konzultant/ ITI-R5
4/82017
AGENDA2
Nice2007 Kodaň2011
Barcelona2016
– Trendy
– Ochranazáloh
– vSphere aRansomware
– Veeam Agentfor LinuxaWindows
– Veeam One monitoring- ransomware
– Závěr
Ransomware protection3
Nice2007 Kodaň2011
Barcelona2016
– Trendy
– Ochranazáloh
– Veeam Agentfor LinuxaWindows
– Veeam One monitoring- ransomware
– vSphere aRansomware acitivity
– Závěr
Klíčové poznatky4
– NejdůležitějšímkrokemkochraněprotiRansomware jeOchranaVašichzáloh!
– Backup servermápřístupnavšechno=>mělbytedybýtnejvícezabezpečenýmsystémemvinfrastruktuře
– Backup datajsounejzajímavějšímcílemproútočníky!
Příklad ze světa5
– Ex-Admin deletes all customer dataandwipes servers of Dutch Hosting ProviderVerelox
Ochrana proti Ramsomware6
– Edukaceuživatelů
– DefinovanépolitikyproBYOD
– Definovanépolitikyprofiremnídesktopy
– SegmentacesítěnaVLANy
– Pravidelnézálohydůležitýchdatuživatelů
TRENDY7
– 3kopiezáloh
– 2typymédií
– 1kopieoffsite
– Disk2disk2tape
– Disk2disk2Cloud
TRENDY8
vBRvDisk
Eliminace rizik9
4
4
4
4
4
4
4
4
4
4
Eliminace rizik10
– MSCacheV2hash prodomain uživatele
– NTLMhash prolocal uživatele
– Brute-force 2,5mil/snax86hardware
– AplikaceMicrosoftsecurity doporučení
– ACvněkterýchimplementacíchpraktikujezakázáníRDPpřístupunavirtuálníVeeamserveravnutnýchpřípadechpromanagementvyužívápouzeVMware konzoli
– LokálněinstalovanýVeeam klient(Console)
Eliminace rizik – levné NAS11
– Pozornaaktualizovanýfirmware naNASzařízeních
– Vnedávnědoběodhalenýincident vnekonzistentníchdatechnaRAID5povýpadkuHDDnaQNAP zařízeních
– http://www.sbsfaq.com/?p=4277
– https://www.qnap.com/en/technical-advisory/tec-201707-01
Zabezpečení vSphere platformy12
– Veeam využívávCenter server
– vCenter umožňujegranulárnínastaveníoprávnění
– Každáoperacevyžadujejinýsetoprávnění
– Různébackup modevyžadujíjinýsetoprávnění
– Pokudexistujevícebackup serverůvinfrastruktuře,jemožnékaždémupřidělitoprávněníjennakonkrétníčástinfrastruktury
– https://www.veeam.com/veeam_backup_9_0_permissions_pg.pdf
Ochrana dat záloh naúložišti13
– Zálohovánínapásky
– ZálohovánínaVORMmédia
– ZálohovánínaSMBshare
– ZálohovánínaexterníUSBdisk(rotovánídisků)
– NepřipojovatSMBshare napřímodoBackup serveru
– PřihlašovacíúdajenaSMBbudoupakuloženypouzešifrovaněveVeeam databázi
– PokudjecílemWindowssystém,doporučujesejinýzpůsobautentifikace(mimodoménu)
Ochrana dat záloh naúložišti14
– Off-linesystémaspuštěnískrzeout-of-bandmanagementtěsněpředzálohovacímoknem
– Jinépřihlašovacíúdajeprozálohovacíúložiště(jinádoménabeztrustu,lokálníúčty)
– VyužitíjinéplatformyatedyjinýzpůsobověřeníproLinuxrepository napříkladExaGrid
– VyužitíVeeam Cloud Connect
– Vyššífrekvencezáloh
– Vícetypůzáloh(Backup Copy,Replikace,Storage Snapshoty,dalšíbackup job)
Retenční politika15
– Inkrementální
– Využívámeproukládánínapásky
.vbk
.vib .vib .vib .vib .vib .vib
.vbk
PO ÚT ST ČT PÁ SO NE PO
.vib
ÚT
Active FullVirtual FullFullBackup
Incremental Backup
Pouplynutíretence
Retenční politika16
– ReversInkrementální
– Používámeprolokálnírepository
.vbk
.vib
PO ÚT ST ČT PÁ SO NE PO ÚT
FullBackup
.vrb .vib
.vbk
.vrb .vib
.vbk
.vib.vrb
.vbk
.vrb
Retenční politika17
– Forever Inkrementální
– PoužíváseproarchivacizálohnaDataDomain,NASzařízení
.vbk
.vib .vib .vib .vib .vib .vib
PO ÚT ST ČT PÁ SO NE PO ÚT
FullBackup
.vib .vib
.vbk
– MinimalizaceRTO
– Beznutnostiobnovení
– Quick Migration
Instant VMrecovery – vPower NFS18
– Izolovanéprostředí
– Testovánízáloh
– On-Demand Sandbox
– Sure Backup
VirtualLAB19
– Linuxproxy appliance
– Testovánízáloh
– Testovacíprostředí
VirtualLAB20
– IntegracesEMCDataDomain
– Zrychleníažo50%
– Možnostparalelníhozpracování
– PodporaDDBoost vylepšana
– Deduplikace
Integrace Deduplikačních úložišť21
Integrace Deduplikačních úložišť22
Řetězení souborů podle VM23
– Vhodnézejménaprodeduplikační zařízení
– Paralelnízpracování
– 10xvyššípropustnost
Až10× rychlejšívýkonzálohování
– PodporazařízeníbeznativníchovladačůproWindows
– Globálnífondmédií
– MožnostaplikaceGFSpolitiky
– Backup job jakozdrojdatproarchivnapásku
– Paralelnízpracování
Integrace s páskovýma jednotkama24
GFSnapásku25
VTLdoCloudu26
– Vyloučíblokysmazanýchsouborů
– Vyloučístránkovacíahybernační soubory
– Vyloučíuživatelemdefinovanésouboryasložky
– Zkracujedobuzálohy
– Zmenšujecelkovýobjemzálohy
– Poupgraduzestaršíverzenenízapnuto
Veeam BitLooker27
– DříveEndpoint Backup
– Agentnasystému
– Celýserverimagebased
– Volume-level
– File-level
– Bare-metalrecovery ISOboot
– Exclude file masky
– IntegracedoBackup Repository
Veeam AgentforWindows2.028
– Agentnasystému
– Celýserverimagebased
– Volume-level
– File-level
– Pre-freeze apost-thaw scripty
– SQLlite konfigurace
– WebGUI,CLImanagement
– IntegracedoBackup repository
Veeam AgentforLinux29
Veeam AgentforLinux30
Veeam One zabezpečení31
– HTTPSportál
– Rizikosnifování hesla
– Kdonikdynekliknul„accept“navarování„certificate error“?
– Předverzí9.5defaultněnenípoužívánoHTTPS
– Ransomware activity alert
Veeam v9.5 PowerShell Automation32
– PříkladrestoreVMdoodlišnéhoumístění:
– Nacteníbackupjobudoproměnné
– PSC:\PS>$backup=Get-VBRBackup-Name"Daily_Backup"
– Výbernejaktuálnějšíhorestorepointu
– PSC:\PS>$restorepoint=Get-VBRRestorePoint-Backup$backup-Name„test_001"|Select-Last1
– Výberserveruprorestore
– PSC:\PS>$server=Get-VBRServer-Name"esx5.sm.agcom.cz„
– Výberresourcepoolu
– PSC:\PS>$resourcepool=Find-VBRViResourcePool-Server$server-Name„Servery„
– Spustenisamotnéhorestore
– PSC:\PS>Start-VBRRestoreVM-RestorePoint$restorepoint-Server$server-ResourcePool$resourcepool
PSC:\PS>Get-VBRBackup |Remove-VMRBackup –FromDisk –Confirm:$False !!!!!!!!!!!!
57Restore scénářů v9.533
Aleodkud,pokudmámesouboryzálohzakryptované díkyúspěšnémuRansmoware útoku?
– Nemusíteplatitvýpalnézítra
Podnikněte opatření ještě DNES!34
VladanLaxaSystémovýspecialista/konzultant/ ITI-R5
AutoContCZa.s./ Hornopolní3322/3470200Ostrava/ www.autocont.cz