Snapshotreplikation - Ransomeware

[Uwenberger]

Hallo!

Gegen Ransomware Angriffe wird häufig die Snapshotreplikation als wirksame Abwehr erwähnt.

Insbesondere die Sicherung der Snapshots auf einer 2ten NAS /Remote NAS wird empfohlen.


Können durch einen Ransomeware Angriff die Snapshots (Lokal oder Remote) verschlüsselt und damit unbrauchbar werden?

Danke
Uwe

 

[Rene1]

Die lokalen Snapshots können nur gelesen werden, womit eine Verschlüsselung nicht möglich sein sollte.

 

[NSFH]

UNSINN! Warum hebt man den Finger und sagt "Ich weiss was" wenn man keine Ahnung hat und dann so ein Zeug von sich gibt?

Wenn Speichermedium, NAS oder Fileserver von Ransomware befallen werden sind alle Dateien verschlüsselt. Ob das die Originalen sind oder irgendwo auf dem System liegende Kopien oder Snapshots ist dabei egal.
Helfen tut nur ein Backup auf einem externen, nicht per normalem Filesystem oder USB/SATA verbundenen Speichersystem.
Zum Beispiel Hyperbackup Sicherungen auf einem anderen System, auf welches sonst kein Zugriff aus dem kompromittierten LAN möglich ist.
Alternativ: Rollierendes Backup auf mindestens 2 oder 3 externe HDs.
Die schönste Lösung ist immer eine zweite kleine Syno nur für Backups.

 

[RichardB]

Die schönste Lösung ist imho eine Backup-DS UND externe Backups (rollierend)

 

[NSFH]

nee Backup-DS und C2 oder ähnliches. Das Gewurschtel mit externen HDs muss man nicht unbedingt haben. Ist auch unnötig, wenn das Backup System vernünftig vom zu sichernden LAN getrennt ist.

 

[Puppetmaster]

Das Schöne ist: man muss gar nix, kann aber!

 

[RichardB]

@NSFH Stimmt. Nur an das Gewurschtel hab ich mich mittlerweile gewöhnt. Abgesehen davon, ist man gleich viel bedeutsamer, wenn man 1x/Woche "hinunter“ - sprich in den Tresorraum der Hausbank muss.

@Puppetmaster Stimmt auch. In Abhängigkeit von der Wichtigkeit der Daten sollte/könnte man aber durchaus.

 

[Rene1]

@NSFH Ich hebe den Finger und sage "ich weiß was" weil es einem bei diversen Zertifizierungen von Synology so erklrärt wird und es meiner Erfahrung nach auch so ist. Es sei denn die Syno selbst ist befallen und verschlüsselt, dann kann es evtl. sein das auch die Backups verschlüsselt sind (den Fall hatte ich noch nie).

LG
René

 

[NSFH]

Dann lese dich mal in die Vorgehensweise von Verschlüsselungstrojanern ein. Es werden nicht nur direkt angebundenen Datenträger verschlüsselt sondern die Kommunikation mit dem Speichersystem wird ebenfalls mitgelesen. Damit ist nichts mehr auf dem NAS sicher.
Deine "Erfahrungen" in Ehre, sie haben nichts mit den technischen Gegebenheiten zu tun.
Ausser einem externen Speichermedium hilft NullKommaNichts gegen eine derartigen Befall.

 

[THDev]

@NSFH er hat schon recht. Snapshot mit Snapshot Replication repliziert sind R/O. D.h eine Ransomware kann da nicht wirklich etwas ändern außer man mounted die in r/w was natürlich ohne Probleme möglich wäre.

 

[Rene1]

Zufällig gerade per Newsletter bekommen: passt zum Thema

 

[NSFH]

Das was da im Video erzählt wird ist hinsichtlich Snapshot nicht ganz korrekt. Der Sprecher unterschlägt, dass bei Ransomware eines der Ziele der Adminzugriff auf das Speichermedium ist um möglichst alle Daten zu erwischen. In diesem Fall sind natürlich auch Snapshots von der Verschlüsselung betroffen.
Backup for Business hilft nur bei verschlüsselten PCs oder weiteren Servern, nicht auf dem NAS selbst.
Die einzig brauchbare Sicherungsmethode ist Hyperbackup auf ein nicht im betroffenen LAN befindliches Speichersystem! Wobei man hier nicht unterschlagen darf, dass HB leider immer noch nur push und nich pull kann. Letzteres ist eigentlich unverzichtbar für den 100% Schutz!
Zum Glück spielen sich die Ransomzugriffe dann nur im Filesystem ab und nicht unter Nutzung der Apps, denn wäre auch HB mit Stzand heute ohne pull nicht mehr sicher.