Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?

[frühSyn0loge]

Hallo Liebe Kollegen,

ich habe mir auch schon einige Gedanken zur Backup-Strategie gemacht und mich unter anderem auch durch diesen ganzen Thread gewühlt. Vieles konnte ich nachvollziehen, aber schlussendlich bin ich bei meiner bisherigen Lösung doch noch etwas ratlos und möchte hiermit um Rat fragen:

Ich habe folgenden Aufbau in einem kleinen Unternehmen:
- Die Windows-PCs speichern alles auf dem Synology NAS (durch die User) insofern könnten die selbst verschlüsselt werden und würden einfach neu formatiert werden und gut. Die Ordner des NAS sind als Netzlaufwerke mit den einzelnen PCs verbunden. Keiner der Pcs ist aber über das Admin-Konto des NAS mit dem NAS verbunden.
Ransomeware könnte also die eingebundenen Netzlaufwerke auf dem NAS von den PCs (Clients) aus verschlüsseln.
- Deshalb habe ich ein Backup welches wie folgt konfiguriert ist:
Auf der Synology (DS920+) läuft Hyper Backup und dieses ist mit Google drive verbunden. Dem wurde dort ein Ordner zugewiesen. Täglich am Abend sichert der dort hin.

Nun habe ich dazu folgende konkrete Fragen:

1. Könnte ein Trojaner der sich auf den Pcs oder dem NAS eingenistet hat Zugriff zu Google drive erlangen und mit Schreibzugriffen viele (alle?) Versionen unseres Backups von Google überschreiben ? Da ja HyperBackup genau diesen Zugriff hat wäre es zumindestens denkbar.

2. Kann man der Versionierung von Google-Drive trauen ? hat das schonmal jemand nutzen müssen ? Erstmal hört sich das ja an wie die ultimative Finale Lösung (also bis zu 30 Tage glaube ich), aber hat das schonmal jemand gebraucht und es hat auch geklappt ? Was ich bisher sehe ist die Tatsache, das der Versionsverlauf nicht auf Odernebene sondern nur auf Dateiebene angezeigt wird. Ich glaube das könnte dann ggfs. sehr mühsam werden sich die richtige Zusammenstellung aller für Hyperbackup nötigen Binärdateien zusammenzustellen.

3. Ich stelle mir die Frage ob ich für Google-drive extra für das BAckup vom NAS einen separaten User erstellen sollte. Denn jetzt habe ich dafür einfach meinen Drive User genommen, das bedeutet aber, dass der Zugang zu drive irgendwo auf dem PC liegt. Ein weiterer User kostet nicht die Welt, aber liegt zumindestens in der Größenordnung in der man dann auch andere separate Cloudspeicher mieten könnte.

Letztlich geht es mir um die Sicherheit der Kombi Hyperbackup mit Google drive bzw. wie sicher ist drive allgemein bzw. deren Versionierung. Denn wenn deren Zugriffssicherheit und Versionierung sehr gut wären, hätte ich ja keine Probleme mehr. Oder doch ?

Ja ok, also zumindestens wenn die Anzahl der Backups bzw. Versionen ausreicht.

PS: Ansonsten machen wir noch einmal pro Woche ein BAckup mit USBCopy auf externe HDD, aber da bin ich unsicher, da es während es an die Synology angeschlossen ist auch verschlüsselt werden kann. (oder irre ich mich da ?, wir lasses es über nach dranne)

Vielen Dank schonmal im vorraus.

 

[Georgius]

Also ich würde, bei mir auch noch nicht umgesetzt, die Laufwerke über Active Backup machen und den Usern an den PCs kein Recht auf die Verzeichnisse geben und den User unter dem Aktiv Backup for Business läuft mit einem sicheren Passwwort versehen und auch einen nicht trivialen Namen wählenä

 

[frühSyn0loge]

danke Georgius für dein Antwort, aber ich kann nicht ganz folgen.
Könntes du es etwas ausführlicher erklären ? Was meisnt du z.B. mit "die Laufwerke über Active Backup machen und den Usern an den PCs kein Recht auf die Verzeichnisse geben" denn genau ? Hier gehts ja um vele verschiedene Laufwerke und ich kann nicht folgen.
Du schreibst über BAckup for Business, dass aber verwende ich gar nicht. Ich habe Hyper Backup.

Vielleicht sonst noch jemand eine Meinung dazu ?
Eigentlich betrifft das Problem (oder die Frage) doch eigentlich alle User die mit Hyper Backup zu G-Drive backupen.

 

[Georgius]

Du schreibst über BAckup for Business, dass aber verwende ich gar nicht. Ich habe Hyper Backup.

Eben, das ist eines der Probleme. Du schiebst von den PCs auf ein Verzeichnis in der Synology. Das kann aber dann auch von einem Virus auch verschlüsselt werde. Das kannst Du mit Backup for business verhindern. Da muß der PC das Verzeichnis auf ddm Nas nicht beschreiben bzw. sehen.

 

[frühSyn0loge]

.... ja ok, jetzt verstehe ich. Diese Lösung wurde oben weiter ja auch schon besprochen. Das würde bei mir dann aber nur mit einer zweiten Sweiten Synology bzw. einem NAS sinn machen. Denn das primäre NAS ist ja unser gemeinsamer Speicher im ganzen Unternehmen. Da müssen ja alle Clients (Pcs) drauf lesen und schreiben.

Danke für deine Hilfestellung, aber ich sucher immer noch infos bzgl der grundsätzlichen Sicherheit oder vorgehensweise mit NAS BAckup direkt ins drive mit Hyper BAckup. Ich dachte dass, das recht viele so machen...

Vielleicht hat ja doch noch jemand anders Erfahrungen damit ?

 

[Georgius]

Es geht ja nicht um die Rechte in der ganzen NAS. BfB schreibt in ein Verzeichnis die Backup. Und darauf muß man als User nicht zugreifen.
Solange kein Virus auf dem Nas selbst läuft (und sich auch keiner unerlaubt darauf zugriff verschafft) kann dem Backup direkt nicht geschehen.

 

[Benie]

Die Windows-PCs speichern alles auf dem Synology NAS (durch die User) insofern könnten die selbst verschlüsselt werden und würden einfach neu formatiert werden und gut. Die Ordner des NAS sind als Netzlaufwerke mit den einzelnen PCs verbunden. Keiner der Pcs ist aber über das Admin-Konto des NAS mit dem NAS verbunden.

Eben, das ist eines der Probleme. Du schiebst von den PCs auf ein Verzeichnis in der Synology.

Also wenn ich das richtig verstanden habe, dann arbeiten die User direkt im Netzlaufwerk, bzw mit Dateien die sich auf dem NAS befinden.

Mit HyperbackUp werden die Dateien ausschließlich in die Cloud - Google Drive - gesichert.

Den Ansatz für Active BackUp sehe ich nicht gegeben.

Es geht allein darum ob zb. Ransomware oder ein Virus über Hyperbackup bis nach Google Drive gelangen kann. Oder?

 

[macuser]

Hallo, hier hatten wir vor drei Jahren schon einmal Ransomware auf einem Verwaltungs-PC, E-Mail angeklickt und das Elend begann. Parallel dazu habe ich gerade den Verwaltungs-Laptop in einem Nebengebäude eingerichtet, über Synolgoy Drive Sync wurde gleich der neue Laptop mit ruiniert. Da war ich überhaupt nicht amüsiert.
An der RS1619xs hängt ein USB-Backup, im Netzwerk läuft noch ein automatisches Backup auf eine DS und eine DS fahre ich manuell für ein wöchentliches Backup hoch, damit auch etwas offline läuft.

Im Prinzip wurden nur alle Dateien im Drive-Ordner verschlüsselt.... abgesehen von den Rechner, das war nicht das Problem. Ich habe einfach den Verwaltungs-Account komplett gelöscht, die PC's vom Netz genommen und platt gemacht.
Dann habe ich einen neuen Account aus der RS erstellt und über Hyperbackup zurückgespielt. Das Hyberbackup über USB war nicht betroffen. Vermutlich ruiniert die Ransomware nur soweit, wie der entsprechende Benutzer Rechte hat.

Grüße

 

[Synchrotron]

So ist es, daher macht es Sinn, mehrere User auf einer DS anzulegen, und jedem nur genau die Zugriffe zu geben, die sie für seine Aufgabe benötigen. Ein Backup-User benötigt z.B. keinen DSM-Zugriff - der benötigt eigentlich überhaupt keinen Zugriff, außer auf sein Verzeichnis.

Außerdem sollte man es sich abgewöhnen, mit einem User mit Admin-Rechten seine Nicht-Admin-Aufgaben zu bearbeiten. Malware zieht sich selbst die Rechte des Benutzers, der sie (unwissend) installiert. Ist das ein Admin, ist es für die Malware der Jackpot.

Die aktuelle Malware geht gezielt erst die Backups an, und erst wenn die korrumpiert sind, die aktiven Daten. Daher wenn möglich Backup-Prozesse als "Pull" aufsetzen, nicht als "Push". Heißt bei einer DS entweder rsync oder ABfB.

 

[macuser]

Hallo, der Backup-User ist aber beim mir der Admin, ich will ja die gesamte RS sichern. Als extra angelegter Backup_User ohne Admin-Rechte kann ich ja nicht die Ebenen sichern, wo ich keinen Zugriff habe?

 

[Monacum]

Welche „Ebenen“ meinst du denn?

Ich verstehe @Synchrotron eher so, dass er den umgekehrten Weg meint, wenn du einen Benutzer erstellst, um damit Back-ups deines Laptops auf die Disk Station zu machen, dass dieser Benutzer dann lediglich Zugriff auf den Ordner auf der Disk Station braucht, in den das Back-up geschrieben wird und sonst nix.

 

[montafoner]

Ich nutze meine NAS nur für meine Backups. Die Backups werden mit Active Backup for Business gemacht.
Um auf die Backups zugreifen zu können muss man sich mit 2FA anmelden. Diese Backups werden in die C2 hinaufgeladen.
Soweit habe ich das Gefühl dass ich gegen Ransomeware geschützt bin.

Nun habe ich mir überlegt dass eine Ransomeware die Daten verschlüsseln könnte aber dennoch bereitsstellt
und z.b. erst in 6 monaten den zugriff verweigert. Dann habe ich im Backups verschlüsselte Dateien die ich auch in
die Tonne werfen kann. Liege ich da richtig? Wie schützt Ihr euch?

 

[Synchrotron]

Gute Backups sind versioniert. Selbst wenn sich das Backupprogramm eine verschlüsselte Version einer Datei ziehen würde, sind die Versionen davor nicht verschlüsselt.

Deshalb sollte die BackupDS auch mehr Kapazität haben als die Backup-Quelle.

Wer soweit gehen will, legt zusätzlich regelmäßig Backups auf nicht dauerhaft verbundenen Datenträgern an. Einen Airgap zu überwinden schafft auch die „beste“ Ransomware nicht.

 

[montafoner]

Okay, ich mache versionierte Backups.

Ich möchte meine Bedenken beispielhaft darstellen.

Backup Monat 1 --> Datei gesichert --> Datei zugänglich
Backup Monat 2 --> Datei gesichert Ransomeware verschlüsselt fortlaufent die Dateien unbemerkt über einen langen Zeitraum --> Datei jedoch ganz normal zugänglich
Backup Monat 3 --> Datei gesichert Ransomeware --> Datei nicht mehr zugänglich weil Ransomeware "den Schlüssel gezogen hat"

In diesem Fall habe ich ein Backup vom Monat 1 wo die Daten zu alt sind. Ein Backup von Monat 2 wo jedoch kein Schlüssel vorhanden ist.
Ich bin nur Laie aber der Gedanke macht mich etwas nervös.

 

[JUK-Bavaria]

Erstmal Hallo - ich bin der Neue hier und bekomme meine Synology morgen.

Ich habe mal eine Frage zur Versionierung mit Active Backup (so wie ich verstanden habe, die einzige Lösung für die Synology aus rsync, wo der PC und damit Ransomware keinen direkten Zugriff auf das Backup-Volumen hat):

Ich arbeite mit großen Videodateien, die ich während der Zeit des Schnittes (kann mal 2-6 Wochen dauern, ich mach das privat) nicht verlieren möchte. Ist das Video fertig geschnitten, brauch ich das Rohmaterial nicht mehr und da ich die Festplattenhersteller nicht unnötig reichen machen möchte, wird es dann gelöscht.

Jetzt meine konkrete Frage: Gibt es irgendwie eine Möglichkeit, bei den gesicherten Daten bez. der Versionierung zu unterscheiden, ob Daten gelöscht wurden oder nicht? Wenn mir nach vier Wochen noch nicht aufgefallen ist, dass ich versehentlich was gelöscht habe, war es auch nicht wichtig. Aber ich hätte wegen Ransomware schon gerne ein Versionierung über mindestens 6-9 Monate. Wenn jetzt aber meine ganzen gelöschten Riesen-Videodateien da drin sind, mache ich Festplattenhersteller und Synology doch reich.

Ihr versteht mein Problem?

 

[sky63]

Naja, du kannst nicht die Butter haben und das Geld für die Butter. Soll heißen, wenn du eine Retention-Time von 9 Monaten haben willst, wirst du nicht umhinkommen den Plattenplatz dafür bereit zu stellen.

gruss,
sky

 

[ctrlaltdelete]

Wo liegen die Videodateien, auf dem NAS oder auf dem PC?

 

[JUK-Bavaria]

Naja, du kannst nicht die Butter haben und das Geld für die Butter.

Schöne Formulierung - ich hätte halt gerne für Dateien aus einem bestimmten Verzeichnis die Butter bei Änderungen und Magarine bei Löschungen

Wo liegen die Videodateien, auf dem NAS oder auf dem PC?

Auf dem PC und dann als Sicherung sollen sie aufs NAS. Wenn sie auf dem NAS liegen würden, wäre es zu einem zu langsam und außerdem wäre der Share dann ja auch angreifbar.

 

[ctrlaltdelete]

Wie groß sind die einzelnen Videos im Durchschnitt?

 

[ctrlaltdelete]

Mein Gedanke wäre AB4B zu nutzen, alleine schon wegen der durch Deduplizierung Einsparung an Speicherplatz und das in Kombination mit immutable Snapshots.
Man müsste nur wegen der Versionierung aufpassen oder ggf. nach Beendigung des Projektes ein neues Fullbackup fahren und das alte löschen.