Offline back-up tegen ransomware

Inleiding
Voor een schoolproject moet ik een netwerk creëren dat beschermt is tegen ransomware. Ik heb veel op Tweakers en andere forums gelezen dat een off-site back-up het beste “wapen” is tegen ransomware, ik zou dit graag willen toevoegen aan mijn project als extra onderdeel (is niet verplicht). Helaas heb ik op school beperkt materiaal om een bedrijfswaardig oplossing neer te zetten zoals LTO tapes, ik vroeg me af of iemand een idee heeft hoe ik dit toch kan realiseren met de materialen die ik op school tot mijn beschikking heb.

Situatie schets:
- 5 fysieke servers waar VMware Vsphere op draait
- Synology NAS (RackStation RS815)
- 1 fysieke firewall (Sophos UTM9)
- Gevirtualiseerde back-up server waar Acronis voor wordt gebruikt
- Aantal andere virtuele servers waar een back-up van worden gemaakt
- Een windows-based domain controller ( Server 2012 R2)

Wij hebben een rechtstreekse verbinding vanuit de back-up server naar een Synology NAS via ISCSI, deze NAS zal de opslag vault worden voor bestanden van gebruikers en system states van servers. Dagelijks zal er een differentiële back-up worden gemaakt en 1 keer in de week een full-backup.

Gewenste situatie:
Een off-site opslaglocatie dat beschermt is tegen ransomware, maar ook haalbaar is met het materiaal dat ik tot mijn beschikking heb.

Eigenonderzoek
Ik heb al veel op het internet gezocht naar een geschikte oplossing, helaas heb ik nog niet een oplossing gevonden omdat het bedrijfsleven het oplost met bijvoorbeeld een LTO tapes.
Ik heb een aantal ideeën in mijn hoofd over hoe ik dit aan zou willen pakken, ik heb er alleen nog geen oplossing voor, weet iemand of ik op de goede weg zit?

Een mogelijkheid zou een Samba server kunnen zijn, Linux is een stuk minder gevoelig voor Ransomware en de verbinding met een Windows Server is makkelijk opgezet. Ik heb alleen helaas niet kunnen vinden of het mogelijk is om er voor te zorgen dat men alleen maar op een bepaalde tijd een share kan benaderen, weet iemand of dit mogelijk is? Ik weet wel dat men kan aangeven dat men verplicht is om aan te melden voordat een share benaderbaar is, dit zou misschien al genoeg kunnen zijn tegen een ransomware aanval.

Een andere mogelijke oplossing waar ik aan denk is een Windows fileserver die op een bepaalde tijd automatisch een verbinding met het netwerk tot stand brengt en deze ook automatisch verbreekt. Ik heb helaas nog niks hier over kunnen vinden, weet iemand of dit mogelijk is in Windows of door een third-party applicatie?

Waar ik ook aan dacht is om een fileserver aan te sluiten op een ander VLAN dan die van het netwerk waar alle servers op draaien. Via de firewall zou ik dan de routering op een bepaald tijdstip willen starten en sluiten. Weet iemand of dit mogelijk is in Sophos? Het zou vergeleken met de twee andere oplossing niet ideaal zijn aangezien mijn managed switch bijna vol zit maar het zou wel geïmplementeerd kunnen worden.

Extra informatie
Naast deze back-up oplossing hebben wij ook nog een aantal andere oplossingen tegen ransomware zoals:
- First opinion anti-virus server en een second opinion anti-virus pakket
- Front-End/Back-End Exchange
- Netwerk wordt uitgebreid gemonitord
- Een edge firewall
Als het goed is ben ik zo al een heel stuk beschermt, maar als extra opdracht voor mij zelf zou ik graag ook een off-site back-up realiseren.

Conclusie
Weet iemand hoe ik dit aan kan pakken? Ik zoek naar een heel specifieke oplossing en het is daarom heel lastig om informatie te vinden over hoe ik dit het best kan aanpakken.
Mijn excuses als deze post op de verkeerde categorie staat, het gaat over verschillende onderwerpen.

Bedankt voor het helpen!

Killah_Priest schreef op vrijdag 15 april 2016 @ 18:51:
Om je wellicht een idee te geven : hoe ik het thuis heb opgelost tegen ransomware :
- iSCSI target op Synology aangemaakt
- target mount ik op mijn PC
- ik maak een backup
- target gaat op de synology offline
- op mijn computer verwijder ik de iscsi verbinding (dubbelop aangezien deze op de syno al offline staat).

het komt erop neer dat de betreffende iscsi target (welke niet te bereiken is via de reguliere shares op de synology) alleen even online is tijdens een backup : daarna wordt deze weer gedisconnect (en omdat deze op de syno echt uit staat is het niet zo makkelijk om deze weer in te schakelen. alleen de connectie aan de PC zijde killen zou ook voldoende moeten zijn echter ben ik bang voor een automatische connect na bv een reboot)

Wel een handmatige actie het online/offline brengen van de iscsi target op de syno, hoewel dit te scripten moet zijn (het iscsi deel op de PC heb ik binnen 2 minuten in PS wel gescript, ik heb mij echter nooit verdiept in een eventuele API voor dit soort zaken op een synology)

Dankje voor je reactie, dit zou inderdaad een goede oplossing zijn.
Helaas hebben wij niet de mogelijkheid om de Synology NAS zelf te beheren, we hebben er alleen toegang tot. Het is de bedoeling dat er absoluut geen verbinding mag worden gemaakt na dat de back-up is gemaakt.

Verwijderd schreef op vrijdag 15 april 2016 @ 18:56:
Wat doe je als je een backup maakt van een geinfecteerde drive of share? Worden doelbestanden op je backup dan overschreven?
Je zou naar volume shadow copy of lvm snapshots kunnen kijken om dit te ondervangen.

Vooraf van een back-up job zal er een anti-virus scan gedraaid worden doormiddel van Kaspersky Total Security. Ik zit te denken om een bepaalde tijd tussen de online back-up en de offline-back up te laten zodat fouten kunnen worden hersteld bij de offline-backup.Dit is nog een punt waar ik goed over na moet denken.

KillerAce_NL schreef op vrijdag 15 april 2016 @ 19:03:
Backup naar ftp.
Ransomware kijkt waar het bijkan met jouw credentials. Dus automated backup met andere credentials naar een ftp kan een optie zijn.
Verder ben je beschermd met goed afgestelde shadow copies op eenfileserver.

Op de werkstations exe en macro blokkeren.

Dus een samba oplossing in combinatie met een ander wachtwoord dan dat er wordt gebruikt in de Windows omgeving moet goed genoeg zijn? Er staan verschillende policys ingesteld die het runnen van .exe etc alleen mogelijk maken doormiddel van een domein administrator wachtwoord.

Nogmaals bedankt iedereen voor de oplossingen!

Een "collega"van mij heeft naar Applocker gekeken, hij kwam al snel de conclusie dat deze oplossing te veel tijd zou gaan kosten om dit te realiseren (het uitzoeken wat wel mag draaien en wat niet).
Dit project gaat over het bewust worden over wat ransomware met een netwerk en hoe je het tegen kunt gaan, vooral BYOD is een groot gevaar inderdaad.

johnkeates schreef op vrijdag 15 april 2016 @ 19:49:
Backups tegen ransomware moet je extern initiëren, niet vanaf de PC waarop je aanvallen verwacht. Ook moet je een backup geschiedenis hebben zodat je bij een foute backup niet alles overschrijft.

Ik doe het zelf door naast normale backups ook remote een rsync te starten over SSH. Dan hoeft de PC in kwestie niks te weten over de backup of iets qua credentials en kan hij ook niet verbinding met de backupserver maken op eigen initiatief.

Daar heb ik helemaal niet aangedacht
Hoe pak jij die resync dan aan?
Doe je dit dan doormiddel van Linux of Windows?

Hero of Time schreef op vrijdag 15 april 2016 @ 21:34:
Voor eventueel geplande backups zonder te moeten scripten kan je ook kijken naar Bacula. Dat is een open source backup pakket dat o.a. naar tape kan schrijven, maar het kan ook een bestand gebruiken als virtuele tape. De server side draai je op Linux, voor de clients zijn er Windows agents beschikbaar. Op de server regel je vervolgens alles: tijd, soort, wat, waar, retentie, etc. Je moet het even door hebben, ik heb er een redelijke tijd aan gespendeerd om het fatsoenlijk te laten werken, maar met wat documentatie en goede voorbeelden kom je een heel eind. Plus, er is vast een hoop verandert in de afgelopen paar jaar waardoor het eenvoudiger is geworden.
Wat ik wel deed, en dat is mogelijk nog steeds nodig, is per machine een aparte file daemon of file storage opgeven zodat het meerdere servers tegelijk kan doen.

Omdat de backup vanaf de server wordt gestart en communiceerd via een aparte verbinding en service, heeft de ransomware geen toegang tot de backup.

Dankje voor je reactie, een "collega" van mij regelt zelf de back-up software, daar ga ik niet over.
Het gaat meer over een extra locatie die niet verbonden is aan het netwerk. Ook is mijn Linux kennis niet geweldig en als jij het al moeilijk vind dan ga ik niet ver komen denk ik

Jazzy schreef op vrijdag 15 april 2016 @ 21:38:
[...]

Heb je nog een paar tientjes budget voor een externe harddisk? Dan ben je er namelijk ook. Wel eentje die je na de backup loskoppelt en weg legt dan natuurlijk.

Zou kunnen, maar het liefst zou ik een geautomatiseerd systeem creëren waar men niet iedere keer een externe HDD hoeft aan te sluiten. Dit had ik misschien moeten vermelden.

Verwijderd schreef op vrijdag 15 april 2016 @ 22:00:
Goede backup software is gewoon bestand tegen ransomware. "Mijn" klanten worden zo vaak aangevallen tegenwoordig. Restoren van een disk library en klaar. Tapes is maar klote. Duurt lang voor je ze in huis hebt, verwerken duurt lang.... Er heeft niemand toegang tot die libraries. Data staat er ook niet in een human readable formaat op en je bewaart meerdere cycli. Tape is in mijn ogen echt een last resort.

Ik weet dat de situatie die ik nu wil realiseren overkill is, maar ik zie het ook als een uitdaging voor mij zelf om uit te zoeken. Naar mijn weten worden tapes nog vaak gebruikt, ik kan fout zitten aangezien ik nog maar een groentje ben op IT gebied (3e jaars ICT Beheerder).

johnkeates schreef op vrijdag 15 april 2016 @ 20:12:
Ik pak rsync met: sudo apt-get install rsync
Ik gebruik dus Linux Met Windows kan het net zo goed (server-side en client-side).

Zou ik ook via SSH de gemaakte back-up kunnen syncen naar een Samba server?
Wat ik op het internet lees is dat het meer Windows naar Windows is en Linux naar Linux.
Misschien vraag ik wel hele stomme vragen, ik ben helemaal niet bekend met Linux.

Zijn er misschien ook andere oplossingen waar ik nog niet aan heb gedacht?
Bedankt voor alle reacties en interesse tot nu toe, dit helpt me veel

Killah_Priest schreef op zaterdag 16 april 2016 @ 09:15:
Ik moet nog wel even kwijt dat ik dit een leuk schoolproject vind wat ook gewoon echt aansluit bij de realiteit en gewoon een actueel probleem is waar je tegenwoordig vrij makkelijk mee te maken kunt hebben.
Ik lees regelmatig over projecten die men op scholen krijgt en verbaas mij er vaak hoe onrealistisch de opdrachten vaak zijn (vaak ook met verouderde server iedities).

Mijn complimenten aan degene die deze opdracht verzonnen heeft want dit zijn nou juist de zaken waar op school al aandacht naar uit moet gaan.

Leuk om te horen de leraren doen hun best om het zo goed mogelijk op een IT werkvloer te laten lijken. We hebben ons eigen datacenter met eigen servers, eigen internetaansluiting en een eigen UPS. Dit zie je bij de meeste schoolen niet omdat er vaak gewoon in VMware Workstation wordt gewerkt. Ook hebben wij hiervoor een project in Azure gedraait waarbij we een on-premise en een off-premise netwerk met een X aantsl eisen moesten realiseren.

Verwijderd schreef op zaterdag 16 april 2016 @ 11:56:
[...]

Helemaal waar hoor: tapes worden nog erg veel gebruikt. Maar je ziet wel een forse afname in het aantal restores vanaf tape, omdat die tape tegenwoordig echt meer bedoeld is voor extreme disaster recovery scenario's. De data staat dus "ook" op tape, voor het geval de data die op 3 locaties op disk staat (productie, backup op productie site en backup op DR site/Cloud) niet meer bruikbaar is. Wat je ook nog vaak ziet, is dat bedrijven hele lange retentie zetten op maandelijkse tape backups, terwijl ze op disk eerder vervallen om te besparen op de kosten voor de disk opslag.

Ja het wordt ook echt verteld als aller laatste oplossing. Leuk om te lezen hoe het ook anders kan en hoe dit gebruikt wordt in praktijk, ik heb al eens gekeken wat er mogelijk is in bijvoorbeeld Azure en ik zie de Cloud ook als een prima waterdichte back-up kan worden gebruikt.

Question Mark schreef op zaterdag 16 april 2016 @ 11:59:
[mbr]Gelet op het onderwerp en de raakvlakken met beveiliging heb ik even een alias aangemaakt naar Beveiliging & Virussen

Complimenten overigens voor de extra inzet tov je schoolopdracht en de nette topicstart. [/]

Bedankt! Ik vond het lastig om te bepalen onder welk kopje het zou passen, het gaat over verschillende onderwerpen

arjants schreef op zaterdag 16 april 2016 @ 12:41:
De share op de nas alleen bereibaar maken voor 1 backup user die je aan de service van acronis toevoegd en verder nergens anders gebruikt lijkt me in jou geval de meest simpele oplossing. Geen user/pc die bij die share kan, alleen de acronis service/software.

In veeam makkelijk te regelen mocht je een trial versie willen proberen, combineerd prima met je vmware omgeving.
Veeam zou je zowiezo eens moeten proberen met een dergelijke opstelling

Mooie oplossing, helaas hebben wij het advies gekregen om de NAS alleen maar te verbinden via ISCSI en dit is ook de enige mogelijkheid die we op dit moment hebben. Een ander clubje heeft Veaam dit jaar al als back-up programma gebruikt en het zag er heel mooi en stabiel uit. Helaas heb ik niet de keuze welk pakket wij gebruiken, ik zorg alleen voor een tweede locatie om de back-up te plaatsen.

Over de externe-hardeschijf gesproken, dit zou ik kunnen toepassen en verschillende andere studenten doen dit ook. Ik ben echter opzoek naar een oplossing dat geautomatiseerd kan worden, er komen bij de beoordeling van dit project een aantal bedrijven die ook naar onze oplossingen gaan kijken.

CurlyMo schreef op zaterdag 16 april 2016 @ 14:48:
Het veiligste is een ZFS server en snapshots + ZFS readonly offsite backup.

1. Je bouwt een FreeBSD / Linux server met een sterk root wachtwoord voor lokaal gebruik + staat louter keybased logins toe voor internet toegang.
2. Je bouwt een ZFS op je server op met automatische snapshots.

3. Je bouwt eenzelfde server als offsite backup met een readonly ZFS. Dat betekent dat alleen root en ZFS zelfs iets aan het FS kunnen aanpassen, niemand anders, en alleen ZFS ernaar kan schrijven.
4. Je laat de offsite backup inloggen op je server via SSH keys (niet andersom) en een ZFS send/receive starten om je snapshots in sync te brengen.

Mocht ransomware je raken, dan worden inderdaad je encrypted snapshots meegestuurd, maar de oude snapshots blijven intact. Ook kan je ransomware nooit je offsite backup bereiken, want daar heeft hij simpelweg geen toegang toe. Als je het goed opzet is het voor ransomware onmogelijk om erachter te komen waar de offsite backup server staat.

Deze opzet kan ook werken met andere tools, maar de kracht van ZFS is nu juist de snapshot en readonly FS mogelijkheid.

Conclusie, en zoals eerder al gezegd, zorg dat je offsite zelf de backup initialiseert, en niet de lokale server. Dan hoeft de lokale server geen weet te hebben van je offsite backup en dus mogelijk ransomware ook niet.

Dat klinkt als een waterdicht plan, helaas is mijn kennis in Linux niet geweldig en ik ben bang dat ik door de beperkte tijd deze oplossing niet kan toepassen. Ik zit ook nog eens vast aan de collega die Acronis gebruikt.

De situatie is zo dat er een fileserver moet worden gemaakt die afgesloten kan worden op bepaalde momenten op de dag (Ik ben nu begonnen met Samba) en hierop moet de door Acronis gemaakte back-up extra worden geplaatst naast die van de Synology. Is er een manier hoe ik automatisch deze back-up bestanden van de Windows Server kan afhalen en plaatsen op de samba server zonder dat de Windows Server er iets vanaf weet? Ik zat te denken om de Windows kant te laten inloggen op de Samba share doormiddel van een useraccount in Linux die automatisch op bepaalde tijden actief en non-actief is, zo is de share op bijvoorbeeld kantooruren niet beschikbaar voor de fileserver. De server moet dan zelf wel de connectie leggen dus dat zou niet zo''n geweldige oplossing zijn vergeleken met een situatie dat de Linux server de verbinding legt zonder dat de Windows machine er iets van af weet.

Verwijderd schreef op zaterdag 16 april 2016 @ 15:09:
[...]

Ik heb toch wel problemen met deze zienswihze. Naar mijn mening zou je _altijd_ moeten weten wat er op je netwerk draait en welk beleid je daar op los laat.
Daabij komt dat BYOD steeds vaker (zeker in het onderwijs) voorkomt. Daar zal je ook beleid op moetenmaken en voorzorgsmaatregelen bij treffen.
Bijvoorbeeld een quarantaine subnet creeren waarin je byod clients plaats en misschien een 2e subnet waarin geinfecteerde clients geplaatst worden in afwachting van behandeling. (Of automatisch behandelen)

Dit klopt, dit onderdeel is helaas niet van mij en wordt geregeld door een collega. Ik heb mijn eigen taken dit project wat er voor zorgt dat ik geen tijd heb om hem te helpen hiermee. Zelf heb ik de taak monitoring (On-site, off-site via een site-to-site vpn)) en anti-virus, het stuk met de BYOD zou zeker een mooie oplossing zijn maar ik zit wel aan een beperkte tijd (helaas).

coolbvrobin schreef op zaterdag 16 april 2016 @ 15:13:
Leuke opdracht ja.
Was zelf ook aan het kijken voor een veilige backup tegen ransom ware
Ik heb er vrij weinig verstand van maar Ik zat zelf zo te denken .
Een externe harde schijf aansluiten op de router. met een wachtwoord beveiliging
En via windows backup er naar toe laten schrijven.
En gewoon iedere week password veranderen.
Geen water dicht plan maar, lijkt in mijn ogen best een goed idee.

Oei, dat lijkt mij absoluut niet een geweldig plan.
Het lijkt A al niet verstandig om je HDD op een router aan te sluiten, je router is waarschijnlijk ook jouw eigen firewall thuis. (waarschijnlijk))
en B een bescherming met een wachtwoord maakt in principe niks uit, als er een machine verbonden is die het virus heeft met je externe HDD dan ben je al gelocked.
Als consument zou ik gewoon gebruik maken van een oplossing zoals OneDrive of Google Drive.

coolbvrobin schreef op zaterdag 16 april 2016 @ 15:55:
[...]


Ik gebruik router op router situatie.
Dus als ik dat zou doen zou dat wel meevallen kwa beveiliging.
Alleen inderdaad wat je zegt de machine is nog steeds verbonden met de externe harde schijf
One drive lijkt me persoonlijk ook geen goed plan. omdat je er met je windows machine standaard aan verbonden bent.
.

Als ik mij niet vergis heeft OneDrive automatisch vanuit Microsoft versiebeheer.
Je kunt zo dus makkelijk terug naar een vorige periode toen alles nog mooi was.

Ik ga nog eens goed kijken naar de situatie en teken het even voor mijzelf uit zodat ik misschien een makkelijke oplossing kan vinden.

[ Voor 10% gewijzigd door derpadin op 16-04-2016 16:04 ]

Ik heb het even uitgetekend hoe ver ik het tot nu toe weet:
Oude situatie: http://imgur.com/VIbusSp
Nieuwe mogelijke situatie: http://imgur.com/hIglvfp

In de nieuwe situatie is er een extra fileserver deze zit:
- In een ander subnet
- Niet verbonden met het bedrijfsnetwerk

Om er zeker van te zijn dat er niks van het bedrijf subnet naar het fileserver subnet kan gaan zou ik een VLAN kunnen inzetten, misschien is dit wel overkill.

Nu vraag ik me alleen wel af hoe ik de bestanden van BU01 kan verplaatsen vanuit de fileserver kant, zou dus via een share kunnen (misschien lastig omdat de fileserver niet in het zelfde domein zit)? en is dit wel veilig om te doen (back-up op een share zetten)?

Misschien zou ik ook kunnen regelen in vcenter dat de fileserver op een bepaalde tijd aan en uit gaan, zo weet ik zeker dat er tijdens bijvoorbeeld kantooruren niks bij kan komen.

Ik denk dat als ik deze opties toepas dat ik een redelijk makkelijke oplossing heb die ook nog eens effectief is.

Hero of Time schreef op zaterdag 16 april 2016 @ 17:16:
Machines op gezette tijden uitschakelen gaat uiteindelijk fout. Je backup gaat uiteindelijk alleen maar meer data bevatten, dus de taak zelf gaat vanzelfsprekend steeds langer duren. Totdat je op een moment komt dat je reservekopie machine pas aan de slag kan en klaar is als het alweer 8:00 is, het punt dat-ie normaal uit zou staan.

Voor je huidige opzet dat dit geen probleem zijn, maar als een bedrijf dit zou gaan toepassen, lopen ze hoe dan ook een keer hier tegenaan. Denk ook aan security through obscurity. Dat een machine uit staat wil niet zeggen dat een virus 'm uiteindelijk niet kan infecteren. Je zet 'm tenslotte een keer aan om aan het werk te gaan.

Ik ben er van bewust dat dit tot problemen kan leiden, het is wel zo dat onze netwerken meer gericht zijn naar grotere bedrijven die vaak een eigen IT afdeling hebben, die zouden kunnen zien of de tijden nog goed kloppen. Aangezien de gebruikers zelf de grootste risico zijn voor ransomware kies ik er voor om ministens tijdens kantooruren de server uit te laten. Uiteindelijk zal de server ook ooit overdag aangaan voor bijvoorbeeld onderhoud maar de kans lijkt mij zo kleiner. Uiteindelijk is het maar een schoolproject en men vind de gedachtegang belangrijker dan bijvoorbeeld een instelling.

-- Discussie over externe HDD ja/nee --
We moeten niet vergeten dat heel deze post over een schoolproject gaat.
Ieder pakt een netwerk anders aan en dat is juist wat ik mooi aan ICT vind, er is geen standaardoplossing want elke situatie is anders.
Ik denk dat we beter met de discussie kunnen stoppen aangezien de sfeer hier niet beter op wordt.
Ik lees al een langere tijd deze forums en ik respecteer zowel Jazzy als Hero of Time omdat jullie beiden gespecialiseerd zijn in jullie eigen onderdelen. Het mooie van Tweakers vind ik dat ik als IT groentje kan praten met IT professionals zoals jullie in een respectvolle manier en ik wil dat dit ook zo blijft.

Over het off-site gedeelte, het hoeft niet per se een off-site oplossing zijn, zolang het een oplossing is waar men altijd op terug kan vallen is het goed.

Zou de oplossing die nu staat goed beveiligd zijn tegen ransomware? Ik ga kijken naar een rsync oplossing van windows tot windows om zo veilig mogelijk de back-up te kunnen verplaatsen.

reller schreef op maandag 18 april 2016 @ 10:34:
We hebben alle documenten op een NAS staan.
Daar wordt 2x per week een backup van gemaakt naar een andere NAS waarop een energiebeheer schema staat zodat deze NAS alleen 2-3 uur op die specifieke dag aanstaat voor de backup.
Daarnaast hebben we een losse externe HD waar 2 wekelijks een offline backup naartoe wordt geschreven (deze is dus niet fysiek aan het netwerk aangesloten, enkel op tijden dat de backup wordt gemaakt).
Ook hebben we een maandelijkse backup naar OneDrive.

Ik heb zelf het gevoel dat we in geval van ransomware de schade enigszins beperkt blijft op deze manier maar er toch niet achter te hoeven komen.

Mooie oplossing
Moet zeker de schade goed beperken, kunt beter wat meer geld investeren in een goede oplossing dan daadwerkelijk geraakt worden en dan alles kwijt zijn met alle kosten van dien.

Mijn plan is goed gekeurd inmiddels en ik ga beginnen met het realiseren hier van.
Bedankt iedereen voor de vele hulp en tips

RVW schreef op maandag 18 april 2016 @ 15:13:
Niet specifiek over backup, maar hier staan een aantal praktische tips om je Windows netwerk te 'hardenen' tegen ransomware:

https://offensivetechblog...s-admins-we-need-to-talk/

Vooral het stukje over FSRM is een aanrader, hiermee kun (dmv een simpel scriptje) automatisch een file share killen als er bestanden worden geschreven die gelinked zijn aan ransomware.

Bedankt voor de link! Zulke "kleine" onderdelen worden net zo hard naar gekeken als de grote dingen dus dit gaat zeker helpen

goarilla schreef op maandag 18 april 2016 @ 17:00:
Dit is inderdaad een goede realistische oefening.
Onze universiteit word nu ook al een tijdje geteisterd door ransomware (teslacrypt, ctblocker, ...).
Mijn persoonlijk verhaal.

Ik ben door persoonlijke catastrofes een maand afwezig geweest. In die tijd is mijn laatste collega en baas van job veranderd. Toen ik op 1 April (geen grap) terug ging werken was dit het eerste dat op mijn bord lag.
Ransomware had lelijk huisgehouden op een gedeelde schijf (samba) van het technisch personeel.

Aan de hand van de timestamps van het dreigbericht kon ik de outbreak plaatsen
tussen 29 en 30 maart 2016 met een bepaalde login. Ik kon de data restoren met IBM's dsmc (TSM).
Verder heb ik met file(1) nagekeken of er niet teveel bestanden "data" waren geworden.

Achteraf gezien wou ik dat ik de volgende dingen voorhanden had gehad:
- Samba audit logs (liefst vfs_full_audit maar vfs_audit werkt ook).
- Geen onnodige "force user" share opties.
- Filesystem snapshots.
- TSM logs en wat statistieken rond de share activiteit.
- Meer tijd en een collega

Ik heb zelf een jaar stage gelopen bij een IT afdeling van een universiteit in het land, blijkbaar waren gerichte aanvallen gewoon een dagelijks iets. Gelukkig beschikken ze over een aantal palo alto firewalls die hun tot heden goed hebben beschermt.
Een universiteit blijft een leuke targer voor studenten die hun opdrachten niet op tijd af hebben of voor gevoelige onderzoeken.

dehoogstraat schreef op maandag 18 april 2016 @ 22:17:
ga je niet een beetje voorbij aan het feit dat ransomware nagenoeg in alle gevallen via een eindgebruiker op je fileshares/systemen terecht komt? tenzij je email en internet gebruikt op de servers, is daar een snapshot/backup met enige retentie voldoende (synology heeft time-backup en werkt best aardig voor fileshares op bijv. CIFS).

Maar goed, bescherming van het end-point (Windows werkplek) zou ook je aandacht moeten hebben in het 'ransomware proof' maken van je setup. Voorkomen dat ransomware los gaat is uiteindelijk veel ellende voorkomen.

Dit kan dmv policies of zoals wij het inrichten via whitelisting van executables (alle varianten) via MD5 hash-check. Hier heb je wel third party tools voor nodig (wij gebruiken RES workspace manager).

Macro's uitschakelen in office is ook een zinvolle policy. En 'natuurlijk' een bijgewerkt mail-scanner (sophos heeft daar ook wel iets voor gok ik, maar ken ik niet).

Als je architectuur in plaats van een NAS uit gaat van een SAN (dat kan rackstation zijn via NFS of ISCSI bijvoorbeeld), dan kun je snapshots maken, zeg, iedere 4 uur. Die bewaar je dan 7 dagen en je bent aardig op weg in een foolproof oplossing. Moet je wel binnen 7 dagen er achter komen dat je cryptoware los is gegaan, maar dat weet je snel genoeg in de praktijk.

cryptoware gaat in principe over bestanden en daar ligt dan m.i. ook de focus van je project toch?

(nb: in je titel staat 'offline backup'. maar waarom zou je die moeite allemaal doen. Hoe je het ook doet, je zult altijd (tijdens de backup) een online verbinding moeten maken.). Wist je trouwens dat je ook virtuele LTO tape systemen hebt (maar dat kost wel weer extra euro's)

succes!

Op werkstation draait Kaspersky Endpoint Protection + Hitman Pro Alert, macros uitgeschakeld en daarnaast hebben we een heel stuk policys draaien op het netwerk.

Over het offline gedeelte, in principe zou er nu niks bij de FS02 moeten kunnen komen, ik ben maar een arme student dus al die dure softwarepakketten worden lastig haha

Ik ga morgen kijken naar die RES workspace manager, bedankt voor de tip!