Snapshotreplikation - Ransomeware

Uwenberger

Benutzer
Mitglied seit
05. Apr 2016
Beiträge
22
Punkte für Reaktionen
5
Punkte
3
Hallo!

Gegen Ransomware Angriffe wird häufig die Snapshotreplikation als wirksame Abwehr erwähnt.

Insbesondere die Sicherung der Snapshots auf einer 2ten NAS /Remote NAS wird empfohlen.


Können durch einen Ransomeware Angriff die Snapshots (Lokal oder Remote) verschlüsselt und damit unbrauchbar werden?

Danke
Uwe
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
201
Punkte für Reaktionen
38
Punkte
28
Die lokalen Snapshots können nur gelesen werden, womit eine Verschlüsselung nicht möglich sein sollte.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
UNSINN! Warum hebt man den Finger und sagt "Ich weiss was" wenn man keine Ahnung hat und dann so ein Zeug von sich gibt?

Wenn Speichermedium, NAS oder Fileserver von Ransomware befallen werden sind alle Dateien verschlüsselt. Ob das die Originalen sind oder irgendwo auf dem System liegende Kopien oder Snapshots ist dabei egal.
Helfen tut nur ein Backup auf einem externen, nicht per normalem Filesystem oder USB/SATA verbundenen Speichersystem.
Zum Beispiel Hyperbackup Sicherungen auf einem anderen System, auf welches sonst kein Zugriff aus dem kompromittierten LAN möglich ist.
Alternativ: Rollierendes Backup auf mindestens 2 oder 3 externe HDs.
Die schönste Lösung ist immer eine zweite kleine Syno nur für Backups.
 
  • Like
Reaktionen: RichardB

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.574
Punkte für Reaktionen
883
Punkte
174
Die schönste Lösung ist imho eine Backup-DS UND externe Backups (rollierend) ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
:) nee Backup-DS und C2 oder ähnliches. Das Gewurschtel mit externen HDs muss man nicht unbedingt haben. Ist auch unnötig, wenn das Backup System vernünftig vom zu sichernden LAN getrennt ist.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Das Schöne ist: man muss gar nix, kann aber! :)
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.574
Punkte für Reaktionen
883
Punkte
174
@NSFH Stimmt. Nur an das Gewurschtel hab ich mich mittlerweile gewöhnt. Abgesehen davon, ist man gleich viel bedeutsamer, wenn man 1x/Woche "hinunter“ - sprich in den Tresorraum der Hausbank muss.

@Puppetmaster Stimmt auch. In Abhängigkeit von der Wichtigkeit der Daten sollte/könnte man aber durchaus.
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
201
Punkte für Reaktionen
38
Punkte
28
@NSFH Ich hebe den Finger und sage "ich weiß was" weil es einem bei diversen Zertifizierungen von Synology so erklrärt wird und es meiner Erfahrung nach auch so ist. Es sei denn die Syno selbst ist befallen und verschlüsselt, dann kann es evtl. sein das auch die Backups verschlüsselt sind (den Fall hatte ich noch nie).

LG
René
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Dann lese dich mal in die Vorgehensweise von Verschlüsselungstrojanern ein. Es werden nicht nur direkt angebundenen Datenträger verschlüsselt sondern die Kommunikation mit dem Speichersystem wird ebenfalls mitgelesen. Damit ist nichts mehr auf dem NAS sicher.
Deine "Erfahrungen" in Ehre, sie haben nichts mit den technischen Gegebenheiten zu tun.
Ausser einem externen Speichermedium hilft NullKommaNichts gegen eine derartigen Befall.
 

THDev

Benutzer
Mitglied seit
27. Mrz 2020
Beiträge
354
Punkte für Reaktionen
122
Punkte
93
@NSFH er hat schon recht. Snapshot mit Snapshot Replication repliziert sind R/O. D.h eine Ransomware kann da nicht wirklich etwas ändern außer man mounted die in r/w was natürlich ohne Probleme möglich wäre.
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
201
Punkte für Reaktionen
38
Punkte
28

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Das was da im Video erzählt wird ist hinsichtlich Snapshot nicht ganz korrekt. Der Sprecher unterschlägt, dass bei Ransomware eines der Ziele der Adminzugriff auf das Speichermedium ist um möglichst alle Daten zu erwischen. In diesem Fall sind natürlich auch Snapshots von der Verschlüsselung betroffen.
Backup for Business hilft nur bei verschlüsselten PCs oder weiteren Servern, nicht auf dem NAS selbst.
Die einzig brauchbare Sicherungsmethode ist Hyperbackup auf ein nicht im betroffenen LAN befindliches Speichersystem! Wobei man hier nicht unterschlagen darf, dass HB leider immer noch nur push und nich pull kann. Letzteres ist eigentlich unverzichtbar für den 100% Schutz!
Zum Glück spielen sich die Ransomzugriffe dann nur im Filesystem ab und nicht unter Nutzung der Apps, denn wäre auch HB mit Stzand heute ohne pull nicht mehr sicher.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat