'Immutable Snapshots' wirklich effektiv als Schutz vor Ransomware?

[MLG]

Hallo,

wie 'Immutable Snapshots' mich vor Ransomware schützen sollen, erschließt sich mir irgendwie immer noch nicht. Vielleicht kann es mir noch mal einer erklären.

Ich habe verstanden mit AB4B kann ich kein Backup direkt in WORM-Ordner schreiben. Nachgefragt beim Synology Support erhielt ich die Rückmeldung, dies sei ganz bewusst so gedacht. Denn um gesicherte Backups vor Ransomware zu schützen, gäbe es schließlich 'Immutable Snapshots'. Den Artikel hab ich mir durchgelesen:

https://kb.synology.com/de-de/DSM/tutorial/what_is_an_immutable_snapshot

Nur wenn man sich das genauer anguckt, stellt man schnell fest, 'Immutable Snapshots' kann ich für maximal 30 Tage in die Vergangenheit anlegen. Synology empfiehlt sogar eher 7-14 Tage.

Damit ist das Feature jedoch als Maßnahme gegen "Schläfer" m. E. ziemlich witzlos. Es ist auch davon auszugehen, die Katze passt sich der Maus ebenfalls an und in Kenntnis von solchen Features würde ich dann meine Ransomware so einstellen, dass Sie frühstens ab Tag >31 nach Infektion beginnt zu verschlüsseln. Damit unterlaufe ich dann recht einfach den gesamten propagierten Schutz.

Oder habe ich es schlicht noch nicht richtig verstanden?

 

[ctrlaltdelete]

Klar, ab Tag 31 hast du dann 7 Tage Zeit es wiederherzustellen.
Edit Oder 30, wenn du immutable auf 30 setzt.

 

[MLG]

Ich hab da immer noch eine Denkbarriere.

Einfaches fiktives Szenario/Beispiel:

Ich mache täglich 1x ein Backup, sowie davon ebenfalls täglich 1x ein Snapshot. Beides - um meine Denkbarriere hier einfach zu illustrieren - mache ich für ein Jahr. Daraus resultieren 365 Tages-Backups sowie 365 Tages-Snapshots meiner Tages-Backups.

Jetzt ergänze ich das Beispiel um 'Immutable Snapshots'. Ich stelle das Maximum von 30 Tagen ein.

Folgend schleicht sich am Tag 63 eine Ransomware als Schläfer in die IT-Landschaft. Die Systeme sind sind kompromittiert, jedoch wurde die Verschlüsselung noch nicht gestartet. Weil niemand etwas bemerkt, mache ich brav täglich weiter meine Tages-Backups. Alles wirkt normal.

Inzwischen haben wir Tag 180. Die Ransomware entschließt sich zu verschlüsseln. Da es sich um eine bis dato unbekannte, ganz neue und weiterentwickelte Ransomware handelt, schafft sie es - trotz vorbildlicher Absicherung meines NAS ohne irgendwelche Freigaben - zur Verwunderung aller Fachexperten meine mit AB4B gepullten Tages-Backups zu verschlüsseln ... und zwar alle zurück bis Tag 1.

Dem Marketing glaubend denke ich mir "Kein Problem, hast ja Immutable Snapshots!" und tatsächlich sind die letzten 30 Tages-Snapshots auch nicht befallen, weil unveränderbar. Ich finde mühselig mittels Kripo, BSI und Forensikern in tagelanger Arbeit heraus, welchen Datenstand ich wiederherstellen sollte, nämlich möglichst Tag <63. Das kann ich nur leider nicht, weil mein letzter 'Immutable Snapshot' ja leider nur von Tag 150 stammt (Tag 180 minus 30 Tage).

Somit ist das doch Käse.

Viel besser wäre doch, ich pulle Backups mit AB4B in einen Ordner auf dem NAS, das NAS hat keinerlei freigegebene Ordner, und anschließend legt DSM 7.2 einen Schalter auf dem Ordner um á la Tages-Backup ist da, WORM-Schutz wird für x Tage aktiviert, fertig. Dann brauche ich auch keine Snapshots, welche mich offenbar ja sowieso nur einschränkt schützen, nämlich für sämtliche maximal 30 Tage verzögerten Angriffe.

 

[metalworker]

man muss da 2 dinge betrachten.

1.
Du brauchst ja nur eine unverschlüsselte Sicherung.
Daraus ziehst deine Daten.
Infiziert sind ja deine Clients oder Server . Die musst eh neu aufsetzen . Normal nimmt man die bei so einem Szenario nicht aus nem Backup.


2.
Mist mit nem Pullbackup schon sehr sicher.
Wenn du das noch auf nem anderne System machst wo du von deinem Netzt keinen direkt zugriff hast.
Dann bist schon sehr sicher .

 

[MLG]

@metalworker: Danke Dir! Okay, heißt also, wenn ich Dich richtig verstehe, optimiere ich hier gerade meine bereits auf nahezu perfekten Sicherheitsniveau befindliche Strategie in Richtung einer 130% Lösung?

Ja, Endpoints würde ich in so einem Szenario in der Tat auch neu aufsetzen und nicht aus einem Backup zurück spielen.

Sorge bereiten mir primär nur die wesentlichen, lebenswichtigen Daten auf dem NAS. Da will ich nichts anbrennen lassen und kaufe notfalls ein paar Platten oder irgendein Gerät mehr.

Und alle Welt spricht in diesem Zusammenhang dann immer von den Snapshots als Wunderwaffe. Der auf die Tastatur fallende Mitarbeiter ist dabei gar nicht so sehr mein Problem, sondern primär die Sorge vor cleverer Ransomware.

Die zahlreichen Beispielvideos von Synology sowie der Knowledge Base Artikel zu dem Thema haben mir da zu wenig Tiefgang bspw. keine Beispiele mit praktischen Use Cases. Die enden inhaltlich immer genau dort, wo es eigentlich spannend wird. Entsprechend schwer kann man dann folgen, was denn die Einstellungsmöglichkeit nun heißt bzw. wie sie sich konkret auswirkt.

Auf meine konkrete Nachfrage, teilte mir Synology jedenfalls mit, "Immutable Snapshots" seien das ultimative Mittel der Wahl gegen Ransomware und mir erschließt sich halt die Genialität des Features irgendwie noch nicht plausibel. Drum dachte ich, ich hab da sicherlich irgendwas nicht richtig verstanden und frage besser hier noch mal nach.

Bin wohl nicht alleine ...
https://www.reddit.com/r/synology/comments/198chno/trying_to_understand_why_the_immutable_snapshot/

 

[metalworker]

Ich verstehe was du meinst und mache es genauso .

Ich hab bei mir darum verschiedene Backups.
Also einmal Desaster Recovery und dann direkt Daten und Backups der Applikationen selbst.
Diese Daten sichere ich extra nochmal auf ne Hetzner Storage Box.
Und diese macht davon Snapshots.

Den Zugang der Hetzner Box hab ich gar nicht hier liegen. Den gibts nur ausdgedruckt um Safe.
So hat da nen Angreifer selbst wenn er komplett im System ist gar keine Chance die Snapshots bei Hetzner zu löschen.

 

[MLG]

Verstehe. Du hattest die Lösung ja auch in dem anderen Thread schon ins Spiel gebracht.

Dann mach ich jetzt erstmal einen 1. Pull der lebenswichtigen Daten via AB4B auf das NAS, dort gibts 2. Großvater-Vater-Sohn-Ansatz und 3. parallel geht eine zusätzliche Sicherung in die Cloud zu z. B. Hetzner (die mir im Gegensatz zum C2 Storage wirklich erschwinglich scheinen).

Den WORM/Snapshot-Firlefanz lasse ich vorerst erst mal weg.

Weißt Du zufällig ob C2 Storage auch Snapshots macht? Wenn der Zugang zur Hetzner Box bei Dir im Safe ist, wie kommt dann Dein NAS auf die Hetzner Box? Du pushed doch sicherlich vom NAS zu Hetzner, oder etwa nicht?

 

[metalworker]

Bei C2 kenne ich mich nicht aus .

Für das Rsync gibt's nen eigene Passwort von Hetzner .
Damit kommst du aber nicht auf die Oberfläche .

Sprich du könntest zwar damit das Backup löschen .
Aber um die Snapshots zu bearbeiten musst du dich mit dem anderen Account anmelden .