Tipps für Backup-Strategie benötigt

[CitaroMan]

Hallo Synology-Jünger,

ich brauche mal ein paar Expertentipps für meine persönliche Backup-Strategie.

Voraussetzung:
DS1019+ mit 4x6TB / SHR / btrfs

Was mache ich bisher:

1. Tägliches Backup meiner wichtigsten Daten und Fotos mit Hyperbackup auf einen Speicher in der Cloud
2. Unregelmäßiges, rolierendes Backup auf drei externe HDs, die ich an einem anderen Ort lagere

Was fehlt mir fehlt ist ein einfaches internes Backup für nicht so wichtige Daten und kleinere Versehen.

Dazu folgende Fragen:

1. Wenn ich intern auf das gleiche Volume mit Hyperbackup Sicherungen mache: Bringt mir das Vor-/Nachteile gegenüber die Verwendung von Snapshots?
2. Ist die Verwendung der Driver-Dateiversionierung eine Technik, die ich in Betracht ziehen sollte?
3. Habt Ihr andere Ideen und Tipps?

Freue mich auf Tipps und Diskussionen.

 

[NSFH]

Für sowas würde ich ganz simpel Snapshot nutzen. Die Snapshot Zeiträume kannst du beliebig definieren. Einfacher geht es nicht.

 

[CitaroMan]

Danke für diese erste Rückmeldung.
Sind denn diese Snapshots resistent gegen emotet und andere Biester, die Daten verschlüsseln oder sind die Snapshots BIS zur Infektion davor sicher?

Gibt es noch weitere Meinungen & Erfahrungen?

 

[NSFH]

Natürlich sind die nicht resistent gegen Emotet. Snapshots helkfen dir nur schnell auf vor kurzem geänderte Dateizustände zurück zu greifen.
Emotet verschlüsselt alle im Zugriff befindliche Laufwerke, also auch deine USB Platten sobald du sie anschliesst. Dein einziges sicheres Backup ist das in der Cloud.

 

[Wollfuchs]

wenn zugriff auf die cloud besteht .. sehe ich die nicht als "ungefaehrdet".
Vielmehr wuerde ich sagen .."das einzige sichere Backup, ist das, auf das es keinen Zugriff gibt".

also z.B:
gepullt von einem anderen Backupsystem
nicht angesteckte USB Platte
...

 

[CitaroMan]

Ich habe die Cloud natürlich nicht dauerhaft angebunden. Hyper stellt die Verbindung beim Backup her. Da müsste ein Wurm schon das Passwort auf der Syno abgreifen und sich dann auf der Cloud zu schaffen machen..... nicht ganz unmöglich, aber doch sehr unwahrscheinlich...

 

[Synchrotron]

Alle Zugangsdaten, die auf dem Quellgerät liegen, sind gefährdet. Entweder direkt, oder weil ein Trojaner die geöffnete Verbindung kapert und sie offen hält, bis das böse Werk getan ist. In einem kürzlichen Fall hier im Forum erfolgte der Zugang über eine IoT-Installation in einem Docker, von dort auf die DS. Und es wurde (ist es nicht praktisch ...) die DS-eigene Verschlüsselungssoftware genutzt.

Wie @Wollfuchs schreibt, schützen nur 2 Strategien: Körperlich kein Zugriff (abgestecktes Laufwerk o.ä.), oder logisch kein Zugriff. Dafür liegen die Zugangsdaten nur auf dem Zielgerät. Es stellt die Verbindung her, kontrolliert, was darüber fließt, und kappt die Verbindung wieder, wenn der Backupjob getan ist.

Mit Synology-Bordmitteln geht das mit ActiveBackup for Business. Das setzt eine DS mit BTRFS als Backupziel voraus. Ohne diese Voraussetzung geht es mit UniversalBackup (mal im Forum suchen) oder rsync.

 

[NSFH]

Also ein abgestecktes Laufwerk ist kein Schutz! In der Regel installiert sich Emotet nicht auf einem System und legt gleich los sondern es lässt sich Zeit. Zeit genug um an mehreren Tagen jeweils per zB USB angesteckte Backup-HDs zu erkennen und zu verseuchen. Auch wenn auf der ext. HD noch nichts passiert ist hat man dann eine tickende Zeitbombe im Schrank liegen. Toll, wenn man diese anschliesst um sein verseuchtes System neu aufzusetzen....
Von daher halte ich auch die Sicherung auf exterene HDs für erstens zu umständlich und zweitens keinesfalls für sicher. Hier überlebt nur die HD, die schon lange im Schliessfach liegt um den worst case des kompletten Datenverlustes vorzubeugen.

Die Gefahr durch Emotet die Adminrechte offen zu legen sehe ich als die geringste an. Für den Fall ist natürlich alles gefährdet, worauf das NAS Zugriff hat, also auch Cloud-Backups.

 

[Der_Veranstalter]

Ich hatte letztes Jahr mal in einer Sandbox einen eine Woche alten Emotet. Platt gemacht, Backup von zwei Tage vor Verschlüsselung rein, dann aber nicht angeschaltet, sondern Desinfec't drüber laufen lassen - ging wieder alles. Ein ganzes Monat - so lange lief der Rechner noch - keine Emotet-Aktivität und auch keine weiteren infizierten Dateien laut Desinfec't. War ein Testsystem mit nur 50 GByte Nutzdaten und einem ziemlich jungfräulichen Windows sowie einem Office.
Will damit sagen, dass die Backups nicht sooo alt sein müssen. Schon infiziert, aber noch ruhend bekommt man anscheinend wieder gesund...

 

[Synchrotron]

Die Leute hinter Emotet arbeiten so (laut öffentlich zugänglichen Berichten):

Eine Gruppe infiziert Netzwerke. Sie führen eine Bewertung durch, was wohl zu holen sein wird.

Kleine private Netzwerke werden gebündelt und an weniger fortgeschrittene Hacker verkauft, die diese Exploits nutzen. Große, ertragreiche Netzwerke gehen an besser aufgestellte Hacker, die sich dort dann richtig eingraben.

Daher kann zwischen einer Infektion und der tatsächlichen Ausbeutung Zeit verstreichen, teilweise mehrere Monate. Es kann aber auch schnell gehen, das ist Zufällen überlassen. Emotet war eine zeitlang so "erfolgreich", dass es kaum noch Neuinfektionen gab. Man kam wohl nicht hinterher, die schon bestehenden "abzuarbeiten". Das sind keine Script Kiddies im Jugendzimmer, das ist eine professionelle, arbeitsteilige "Industrie".

Bei den meisten Pivatnutzern (incl. kleiner Unternehmensnetzwerke), bei denen es keiner großen Angriffsvorbereitungen bedarf, dürfte es von der Aktivierung des Exploits bis zur Forderung recht schnell gehen. Da können Backups noch gut helfen. Wogegen auch das Backup nicht schützt, sind Daten, die kopiert werden und mit deren Veröffentlichung zusätzlicher Druck gemacht wird.

Bei großen Netzwerken kann der Angriff über Monate andauern, bis er in die aktive Phase eintritt. Hier wird oft geduldig gewartet, bis z.B. bestimmte Anmeldedaten gewonnen werden konnten. Es werden auch sehr persistente Backdoors installiert, um wieder Zugang zu gelangen, wenn man ausgesperrt wurde. Das ist dann ein Fall für Profis in der Abwehr.