:strip_icc():strip_exif()/u/211182/chip-60x60.jpg?f=community)
Afgelopen tijd heb ik met stijgende verbazing gekeken hoever cyberinbrekers gaan om ervoor te zorgen dat hun ransomware effectief is, bijvoorbeeld door te zoeken naar on-site backups en deze te vernietigen. Nu werk ik voor een kleine organisatie waar het me niet waarschijnlijk lijkt dat iemand weken of maanden de tijd gaat nemen om ongemerkt alle backups onklaar te maken, maar alsnog zit dit scenario met regelmaat in mijn hoofd.
Mijn casus: ik beheer een server van een kleine organisatie (ongeveer 4 FTE kantoorpersoneel) met als belangrijkste een "gedeelde map" (WebDAV) van 15GB waarop allerlei bestanden staan die voor de bedrijfsvoering belangrijk zijn, zoals CAD tekeningen, facturen, foto's, opdrachtbevestigingen etc. Deze map staat op twee harde schijven in RAID-1. Er wordt elke dag een read-only snapshot gemaakt (via BTRFS) welke toegankelijk is voor iedereen, om per ongeluk gewiste of overschreven bestanden terug te kunnen halen. Alle bestanden worden dagelijks naar Amazon S3 geüpload, naar een bucket waar versioning aanstaat. De server heeft eigen inlog met beperkte rechten, waardoor bestanden geüpload, overschreven en verwijderd kunnen worden, maar deze account heeft geen rechten om oude versies te verwijderen. Het log van de backup wordt per e-mail verstuurd en ik controleer dagelijks of er rare dingen tussen staan.
Op zich denk ik dat het veel slechter dan dit kan, maar ik zit nog met een aantal dingen. Zo heb ik nog geen eenvoudige manier gevonden om de backup van Amazon S3 te herstellen naar een bepaalde datum. Stel bijvoorbeeld dat de ransomware ergens in een weekend alle data versleuteld, dit vrolijk naar de backup geupload wordt, en ik wil dan alle oude versies van de vrijdag voor het weekend herstellen. Dit kan niet zomaar automatisch met de tools die ik heb, en duizenden bestanden met de hand doorpluizen lijkt me ook niks.
Daarom heb ik het volgende bedacht: Stel dat ik alle data backup naar een multi-sessie Blu-ray disc. Met behulp van de tool growisofs kan ik volledig transparant incrementele backups maken. Steek ik de Blu-ray in een computer, dan komen er tientallen snapshots tevoorschijn, maar op de achtergrond zijn al deze bestanden ontdubbeld. (elke nieuwe sessie wijst waar mogelijk naar een gebied op de BD-R dat bij een eerdere sessie hoort) Als een inbreker dit doorheeft, kan hij er hoogstens een sessie achteraanzetten, maar moetwillig overschrijven zal de firmware van de Blu-ray brander niet toestaan. Voordelen? Backup is snel te gebruiken (on-site) en bij overschrijving van bestanden is oude versie snel terug op te vragen. Overschrijven of verwijderen is niet mogelijk, tenzij de firmware van de brander lek is. De offsite backup bij Amazon is dan vooral voor problemen als brand, waarbij de onsite backups ook verloren gaan.
Of denk ik nu veel te moeilijk?
Mijn casus: ik beheer een server van een kleine organisatie (ongeveer 4 FTE kantoorpersoneel) met als belangrijkste een "gedeelde map" (WebDAV) van 15GB waarop allerlei bestanden staan die voor de bedrijfsvoering belangrijk zijn, zoals CAD tekeningen, facturen, foto's, opdrachtbevestigingen etc. Deze map staat op twee harde schijven in RAID-1. Er wordt elke dag een read-only snapshot gemaakt (via BTRFS) welke toegankelijk is voor iedereen, om per ongeluk gewiste of overschreven bestanden terug te kunnen halen. Alle bestanden worden dagelijks naar Amazon S3 geüpload, naar een bucket waar versioning aanstaat. De server heeft eigen inlog met beperkte rechten, waardoor bestanden geüpload, overschreven en verwijderd kunnen worden, maar deze account heeft geen rechten om oude versies te verwijderen. Het log van de backup wordt per e-mail verstuurd en ik controleer dagelijks of er rare dingen tussen staan.
Op zich denk ik dat het veel slechter dan dit kan, maar ik zit nog met een aantal dingen. Zo heb ik nog geen eenvoudige manier gevonden om de backup van Amazon S3 te herstellen naar een bepaalde datum. Stel bijvoorbeeld dat de ransomware ergens in een weekend alle data versleuteld, dit vrolijk naar de backup geupload wordt, en ik wil dan alle oude versies van de vrijdag voor het weekend herstellen. Dit kan niet zomaar automatisch met de tools die ik heb, en duizenden bestanden met de hand doorpluizen lijkt me ook niks.
Daarom heb ik het volgende bedacht: Stel dat ik alle data backup naar een multi-sessie Blu-ray disc. Met behulp van de tool growisofs kan ik volledig transparant incrementele backups maken. Steek ik de Blu-ray in een computer, dan komen er tientallen snapshots tevoorschijn, maar op de achtergrond zijn al deze bestanden ontdubbeld. (elke nieuwe sessie wijst waar mogelijk naar een gebied op de BD-R dat bij een eerdere sessie hoort) Als een inbreker dit doorheeft, kan hij er hoogstens een sessie achteraanzetten, maar moetwillig overschrijven zal de firmware van de Blu-ray brander niet toestaan. Voordelen? Backup is snel te gebruiken (on-site) en bij overschrijving van bestanden is oude versie snel terug op te vragen. Overschrijven of verwijderen is niet mogelijk, tenzij de firmware van de brander lek is. De offsite backup bij Amazon is dan vooral voor problemen als brand, waarbij de onsite backups ook verloren gaan.
Of denk ik nu veel te moeilijk?
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)
:strip_exif()/u/29138/caffeine.gif?f=community)