Cloud backup gevoelig voor ransomware?

Bepaalde backupproducten hebben techniek ingebouwd die jou een bericht sturen op moment dat ransomware je backup dreigt aan te vallen. Als voorbeeldje. Er zijn meerdere manieren, ik zou niet weten wat elke leverancier zoal kan.

Misschien is het wel handig om een stap terug te doen en te zorgen dat je je interne beveiliging op orde hebt. Installeer goede antivirus, MFA en zorg dat poorten dicht staan. Ook weer als voorbeeld. Er zijn genoeg zaken waar je rekening mee moet houden.

Als er een koppeling is, is er een kans dat een virus erbij kan. Dat betekent niet dat een cloudstorageprovider daar geen maatregelen tegen treft, maar de mogelijkheid is er.

Echter, je kan het een doen en het ander niet nalaten! Als jullie voortaan je dagelijkse back-up naar de cloud doen én een wekelijkse back-up op een schijf blijven doen kan je een mooie middenweg treffen tussen gebruikersgemak en beveiliging. Daarvoor moet je natuurlijk wel accepteren dat, als het mis zou gaan, je niet een dag maar misschien meerdere dagen aan data kwijt bent. Een afweging om te overwegen

Wat niet werkt is iets simpels wat synct zoals Google Drive of Microsoft Onedrive. Na de sync staat de ransomware versie in de cloud. Dan heb je nog wel zoiets als versioning maar dat is ook de oplossing niet.

Als Veeam draaid op een server en alleen die server kan verbinding maken met de cloud locatie dan kan een besmette client denk ik niet je oude backups verneucken.

Wij gebruiken Acronis. Dat werkt met een agent op de server of client. De ransomware zou dan de agent moeten manipuleren. In theorie kan dat natuurlijk ook maar hoe groot is die kans? En als dat gebeurd is de ransomware nog niet in staat oude backups te verwijderen.

Alleen een offline backup gaat je echt beschermen tegen ransomware uiteindelijk. Die hoeft natuurlijk niet ook off-site te zijn, dus bewaar die usb disks voortaan lokaal en je probleem is opgelost. Je cloud backup of 2e site is dan off-site.

Wel vind ik usb-disks een vreemde manier, klein bedrijfje neem ik aan? Niet perse verkeerd, maar toch. Zorg ook dat je meerdere maanden/jaren terug kan ivm ransomware die pas na een tijd actief wordt.

Het antwoord op je vraag is ja.
Alle backups zijn gevoelig als de client die backupt geïnfecteerd is.

Je kunt het risico wel verkleinen door de al eerder genoemde suggesties tav up-to-date bescherming e.d. en opvoeding van je gebruikers.

Verder heb ik (als eenvoudige thuisgebruiker) ook een wat uitgebreider rechtenmodel: de backup vindt plaats onder een bepaalde (non-local) user die enkel en alleen read/write access heeft op de backup target. Verder is de backup-target niet permanent gemount en niet standaard gekoppeld voor "gewone" gebruikers.
Dit voorkomt dat één gebruiker de bestanden van een andere gebruiker gaat encrypten.

Als je veel met gedeelde bestanden werkt, dan zou ik voor een meertraps-backup kiezen: eerst alles bijeen in een soort staging area. Daarop kun je dan uitgebreide scans/checks uitvoeren om het risico nog verder te beperken.

Uiteindelijk ontkom je denk ik niet aan een model waarin je hourlies/dailies/weeklies/monthlies gescheiden maakt, waarmee je dus het risico loopt die periode aan data kwijt te raken.

Een cloud backup is wat mij betreft niet veel meer dan een extra target binnen je hele backup-strategie, met ook voors en tegens.

waal70 schreef op woensdag 11 september 2019 @ 15:47:
Het antwoord op je vraag is ja.
Alle backups zijn gevoelig als de client die backupt geïnfecteerd is.

Open deur, maar toch: met als enige uitzondering de huidige backups die off-line zijn.

Als je veel met gedeelde bestanden werkt, dan zou ik voor een meertraps-backup kiezen: eerst alles bijeen in een soort staging area. Daarop kun je dan uitgebreide scans/checks uitvoeren om het risico nog verder te beperken.

Heel apart om de data die naar de backup gaat uitgebreider te scannen dan je live data. Nergens voor nodig en niet effectiever dan gewoon je live data goed scannen.

Aikon schreef op woensdag 11 september 2019 @ 16:36:
[...]

Heel apart om de data die naar de backup gaat uitgebreider te scannen dan je live data. Nergens voor nodig en niet effectiever dan gewoon je live data goed scannen.

Eens met het punt dat live data scannen de primaire verdediging is.
In staging heb je minder potentiële stoorfactoren. Bijvoorbeeld een in-memory cliënt proces dat je live scan beïnvloedt. De data “uit context” scannen kan dus een extra horde zijn. Maar inderdaad, als dit een reeel risico voor je is, zitten er wel grotere problemen in je infra.

Ransomeware is maar een kleine bedreiging maar wel een reële dreiging. In principe betekent toegang gewoon ook toegang. Veel bedreigingen komen echter van eigen werknemers. Het voordeel van off-site is dat je niet even een tape of hdd wist wanneer een rancuneuze beheerder je omgeving compromiteert en ook zorgt dat je nooit meer terug kan naar een backup.

Let wel, een tape library is gewoon on-line, tot de tape er daadwerkelijk uit is.

Je zou als eerste beveiliging een nas kunnen plaatsen en 1 user aanmaken die je gebruikt voor de veeam services en als enige rechten geeft op de share van de nas.
Dan kan bij een “standaard” ransomware aanval iig geen standaard user bij je share.
In veeam kun je daarnaast ook een ‘copy job’ aanmaken die je daily backup incremental naar een online storage overzet.

Met die combinatie zit he redelijk safe en kun je toch snel data restoren die niet te oud is.

Ik werk met cloud backup en daarmee voel ik redelijk safe aangezien want ook heeft deze een sync, toch bewaard het systeem tot 30 oude versies van files. Daarnaast kan je niet zomaar toegang krijgen tot deze cloud backup want je moet nog inloggen en de wachtwoorden zijn vrij complex en werkt niet op e-mailadres. Dat wil dan nog niet zeggen dat je veilig waant maar wel rustiger.
Daarnaast ben ik ook nog bezig met pushsecurity met inloggen van o.a. backup/Office365. Als dat gaat werken dan hoef je niet direct zoveel zorgen maken.
Ook Office365 moet ook nog goed gebackuped worden want MS doet daar niets aan las ik ergens. Dus als Ransomware toeslaat heb je daar ook een probleem.

fRiEtJeSaTe schreef op woensdag 11 september 2019 @ 14:35:
Op dit moment backuppen we zakelijk met Veeam naar een usb-schijf die dagelijks wordt gewisseld. Kopieën liggen dus off-premise. Solide, maar arbeidsintensief. Daarnaast niet handig wanneer er wat oudere data nodig, omdat iemand de disk moet gaan halen.

Nu zit ik te kijken naar het gebruiken van een opslagfaciliteit. Op onze 2e site, of anders in de cloud. Maar hoe beschermt men dit tegen malware / ransomware? In principe als ik met Veeam kan backuppen naar de locatie, kan ransomware er toch ook bij? Ik heb het dan strict over een ransomware aanval bij ons (niet de storage provider zelf).

Kan me voorstellen dat cloud-opslag niet via SMB werkt en daardoor veilig(er) is?

Wij backuppen data naar S3 buckets waarbij de endpoint die de backup initieert enkel mag schrijven. Na het schrijven van de backup wordt de data direct gearchiveerd en hierdoor niet meer te manipuleren.

Ik verwacht dat het met Veeam ook wel te realiseren is door de backups naar een SAN of externe netwerklocatie te schrijven waar je de rechten en policies wat strakker kunt instellen.

Verwijderd schreef op zaterdag 14 september 2019 @ 10:18:
[...]

Wij backuppen data naar S3 buckets waarbij de endpoint die de backup initieert enkel mag schrijven. Na het schrijven van de backup wordt de data direct gearchiveerd en hierdoor niet meer te manipuleren.

Ik verwacht dat het met Veeam ook wel te realiseren is door de backups naar een SAN of externe netwerklocatie te schrijven waar je de rechten en policies wat strakker kunt instellen.

Veam kan ook naar S3 schrijven.

Offline backups zou ik wel blijven doen voor echt critische systemen (erp en (indien aanwezig) pcs en crm)

Er zijn 2 soorten ransomware aanvallen: geautomatiseerd (virus/worm) en handmatig (criminelen) bij die laatste variant moet je je echt zorgen maken om alle on-line backups.

Even de eerste google hit over dit soort verhalen: https://www.alvaka.net/ra...ncrypted-deleted-backups/