Backup vs. RansomwarePrevenceprotiohroženízáloh

VladanLaxaSystémovýspecialista/konzultant/ ITI-R5

4/82017

AGENDA2

Nice2007 Kodaň2011

Barcelona2016

– Trendy

– Ochranazáloh

– vSphere aRansomware

– Veeam Agentfor LinuxaWindows

– Veeam One monitoring- ransomware

– Závěr

Ransomware protection3

Nice2007 Kodaň2011

Barcelona2016

– Trendy

– Ochranazáloh

– Veeam Agentfor LinuxaWindows

– Veeam One monitoring- ransomware

– vSphere aRansomware acitivity

– Závěr

Klíčové poznatky4

– NejdůležitějšímkrokemkochraněprotiRansomware jeOchranaVašichzáloh!

– Backup servermápřístupnavšechno=>mělbytedybýtnejvícezabezpečenýmsystémemvinfrastruktuře

– Backup datajsounejzajímavějšímcílemproútočníky!

Příklad ze světa5

– Ex-Admin deletes all customer dataandwipes servers of Dutch Hosting ProviderVerelox

Ochrana proti Ramsomware6

– Edukaceuživatelů

– DefinovanépolitikyproBYOD

– Definovanépolitikyprofiremnídesktopy

– SegmentacesítěnaVLANy

– Pravidelnézálohydůležitýchdatuživatelů

TRENDY7

– 3kopiezáloh

– 2typymédií

– 1kopieoffsite

– Disk2disk2tape

– Disk2disk2Cloud

TRENDY8

vBRvDisk

Eliminace rizik9

4

4

4

4

4

4

4

4

4

4

Eliminace rizik10

– MSCacheV2hash prodomain uživatele

– NTLMhash prolocal uživatele

– Brute-force 2,5mil/snax86hardware

– AplikaceMicrosoftsecurity doporučení

– ACvněkterýchimplementacíchpraktikujezakázáníRDPpřístupunavirtuálníVeeamserveravnutnýchpřípadechpromanagementvyužívápouzeVMware konzoli

– LokálněinstalovanýVeeam klient(Console)

Eliminace rizik – levné NAS11

– Pozornaaktualizovanýfirmware naNASzařízeních

– Vnedávnědoběodhalenýincident vnekonzistentníchdatechnaRAID5povýpadkuHDDnaQNAP zařízeních

– http://www.sbsfaq.com/?p=4277

– https://www.qnap.com/en/technical-advisory/tec-201707-01

Zabezpečení vSphere platformy12

– Veeam využívávCenter server

– vCenter umožňujegranulárnínastaveníoprávnění

– Každáoperacevyžadujejinýsetoprávnění

– Různébackup modevyžadujíjinýsetoprávnění

– Pokudexistujevícebackup serverůvinfrastruktuře,jemožnékaždémupřidělitoprávněníjennakonkrétníčástinfrastruktury

– https://www.veeam.com/veeam_backup_9_0_permissions_pg.pdf

Ochrana dat záloh naúložišti13

– Zálohovánínapásky

– ZálohovánínaVORMmédia

– ZálohovánínaSMBshare

– ZálohovánínaexterníUSBdisk(rotovánídisků)

– NepřipojovatSMBshare napřímodoBackup serveru

– PřihlašovacíúdajenaSMBbudoupakuloženypouzešifrovaněveVeeam databázi

– PokudjecílemWindowssystém,doporučujesejinýzpůsobautentifikace(mimodoménu)

Ochrana dat záloh naúložišti14

– Off-linesystémaspuštěnískrzeout-of-bandmanagementtěsněpředzálohovacímoknem

– Jinépřihlašovacíúdajeprozálohovacíúložiště(jinádoménabeztrustu,lokálníúčty)

– VyužitíjinéplatformyatedyjinýzpůsobověřeníproLinuxrepository napříkladExaGrid

– VyužitíVeeam Cloud Connect

– Vyššífrekvencezáloh

– Vícetypůzáloh(Backup Copy,Replikace,Storage Snapshoty,dalšíbackup job)

Retenční politika15

– Inkrementální

– Využívámeproukládánínapásky

.vbk

.vib .vib .vib .vib .vib .vib

.vbk

PO ÚT ST ČT PÁ SO NE PO

.vib

ÚT

Active FullVirtual FullFullBackup

Incremental Backup

Pouplynutíretence

Retenční politika16

– ReversInkrementální

– Používámeprolokálnírepository

.vbk

.vib

PO ÚT ST ČT PÁ SO NE PO ÚT

FullBackup

.vrb .vib

.vbk

.vrb .vib

.vbk

.vib.vrb

.vbk

.vrb

Retenční politika17

– Forever Inkrementální

– PoužíváseproarchivacizálohnaDataDomain,NASzařízení

.vbk

.vib .vib .vib .vib .vib .vib

PO ÚT ST ČT PÁ SO NE PO ÚT

FullBackup

.vib .vib

.vbk

– MinimalizaceRTO

– Beznutnostiobnovení

– Quick Migration

Instant VMrecovery – vPower NFS18

– Izolovanéprostředí

– Testovánízáloh

– On-Demand Sandbox

– Sure Backup

VirtualLAB19

– Linuxproxy appliance

– Testovánízáloh

– Testovacíprostředí

VirtualLAB20

– IntegracesEMCDataDomain

– Zrychleníažo50%

– Možnostparalelníhozpracování

– PodporaDDBoost vylepšana

– Deduplikace

Integrace Deduplikačních úložišť21

Integrace Deduplikačních úložišť22

Řetězení souborů podle VM23

– Vhodnézejménaprodeduplikační zařízení

– Paralelnízpracování

– 10xvyššípropustnost

Až10× rychlejšívýkonzálohování

– PodporazařízeníbeznativníchovladačůproWindows

– Globálnífondmédií

– MožnostaplikaceGFSpolitiky

– Backup job jakozdrojdatproarchivnapásku

– Paralelnízpracování

Integrace s páskovýma jednotkama24

GFSnapásku25

VTLdoCloudu26

– Vyloučíblokysmazanýchsouborů

– Vyloučístránkovacíahybernační soubory

– Vyloučíuživatelemdefinovanésouboryasložky

– Zkracujedobuzálohy

– Zmenšujecelkovýobjemzálohy

– Poupgraduzestaršíverzenenízapnuto

Veeam BitLooker27

– DříveEndpoint Backup

– Agentnasystému

– Celýserverimagebased

– Volume-level

– File-level

– Bare-metalrecovery ISOboot

– Exclude file masky

– IntegracedoBackup Repository

Veeam AgentforWindows2.028

– Agentnasystému

– Celýserverimagebased

– Volume-level

– File-level

– Pre-freeze apost-thaw scripty

– SQLlite konfigurace

– WebGUI,CLImanagement

– IntegracedoBackup repository

Veeam AgentforLinux29

Veeam AgentforLinux30

Veeam One zabezpečení31

– HTTPSportál

– Rizikosnifování hesla

– Kdonikdynekliknul„accept“navarování„certificate error“?

– Předverzí9.5defaultněnenípoužívánoHTTPS

– Ransomware activity alert

Veeam v9.5 PowerShell Automation32

– PříkladrestoreVMdoodlišnéhoumístění:

– Nacteníbackupjobudoproměnné

– PSC:\PS>$backup=Get-VBRBackup-Name"Daily_Backup"

– Výbernejaktuálnějšíhorestorepointu

– PSC:\PS>$restorepoint=Get-VBRRestorePoint-Backup$backup-Name„test_001"|Select-Last1

– Výberserveruprorestore

– PSC:\PS>$server=Get-VBRServer-Name"esx5.sm.agcom.cz„

– Výberresourcepoolu

– PSC:\PS>$resourcepool=Find-VBRViResourcePool-Server$server-Name„Servery„

– Spustenisamotnéhorestore

– PSC:\PS>Start-VBRRestoreVM-RestorePoint$restorepoint-Server$server-ResourcePool$resourcepool

PSC:\PS>Get-VBRBackup |Remove-VMRBackup –FromDisk –Confirm:$False !!!!!!!!!!!!

57Restore scénářů v9.533

Aleodkud,pokudmámesouboryzálohzakryptované díkyúspěšnémuRansmoware útoku?

– Nemusíteplatitvýpalnézítra

Podnikněte opatření ještě DNES!34

VladanLaxaSystémovýspecialista/konzultant/ ITI-R5

+420737212422vladan.laxa@autocont.cz

AutoContCZa.s./ Hornopolní3322/3470200Ostrava/ www.autocont.cz