Home > Schutz vor Ransomware – Sicherung mit Bacula Enterprise

Schutz vor Ransomware - Sicherung mit Bacula Enterprise

Der gestiegene Bedarf an Ransomware-Backup-Schutz

Ransomware hat weltweit Tausende von Unternehmen in über 150 Ländern ernsthaft in Mitleidenschaft gezogen. Die Häufigkeit von Ransomware-Angriffen hat sich bis 2020 um über 900% erhöht und dieser Trend wird sich mit zunehmender Raffinesse fortsetzen. So gibt es beispielsweise bereits Malware, die tatsächlich nach schwachen Backup-Systemen sucht und die gesicherten Daten selbst verschlüsselt.

Damit ein Unternehmen seine Backups ausreichend vor Ransomware schützen kann, ist eine gute Vorbereitung und Überlegung im Vorfeld erforderlich. Datenschutztechnologie, bewährte Backup- Praktiken und Mitarbeiterschulungen sind entscheidend, um die geschäftsbedrohenden Unterbrechungen zu mindern, die Ransomware-Angriffe auf die Backup-Server und -Computer eines Unternehmens verursachen können.

Einer der besten Schutzmaßnahmen gegen solche Angriffe ist eine unternehmenstaugliche Backup- Lösung mit korrekter Architektur und Best-Practice-Backup-Strategien sowie die Sicherstellung, dass alle Cloud-Backups angemessen geschützt und verfügbar sind. Das bedeutet, dass aktuelle Kopien dieser Daten an anderer Stelle verfügbar sein müssen. Die richtige Praxis bei der Datensicherung, - speicherung und -einhaltung kann den entscheidenden Unterschied zwischen dem Überleben und dem Scheitern eines Unternehmens ausmachen. Im Folgenden finden Sie die 7 wichtigsten Strategien von Bacula System zum Schutz vor Ransomware auf Backup-Servern:

Top 7 Ransomware-Schutz-Strategien für Backup-Server

Hier sind einige spezifische technische Überlegungen für Ihre Unternehmens-IT-Umgebung, um Ihren Backup-Server vor zukünftigen Ransomware-Angriffen zu schützen:

1. Verwenden Sie unterschiedliche Anmeldedaten, ausschließlich für die Backup-Speicherung

Dies ist eine grundlegende Best Practice und angesichts der zunehmenden Anzahl von Ransomware- Angriffen auf Backup-Server so notwendig wie eh und je. Der Benutzerkontext, der für den Zugriff auf den Backup-Speicher verwendet wird, sollte absolut vertraulich sein und nur für diesen Zweck verwendet werden. Außerdem sollten andere Sicherheitskontexte nicht auf den Backup-Speicher zugreifen können, mit Ausnahme der Konten, die für die eigentlichen Backup-Vorgänge benötigt werden.

Vermeiden Sie es, als Root oder Administrator zu arbeiten. Verwenden Sie, wann immer möglich, so weit wie möglich eingeschränkte Dienstkonten. Standardmäßig baut Bacula die Authentifizierung in das Design ein und ermöglicht es dem Benutzer, so viel Trennung wie möglich von den Produktions- Workloads zu implementieren. Zum Beispiel stellt die Standardinstallation sicher, dass die Daemons mit dedizierten Dienstkonten laufen.

2. Machen Sie Offline-Speicher zum Bestandteil der Backup-Strategie

Offline-Speicher ist eine der besten Verteidigungsmaßnahmen gegen die Ausbreitung von Ransomware-Verschlüsselung auf den Backup-Speicher. Es gibt eine Reihe von Offline- (und Semi-Offline-) Speicheroptionen, die verwendet werden können:

Medientyp Was ist wichtig?
Cloud-Ziel-Backups Diese verwenden einen anderen Authentifizierungsmechanismus. Sind nicht direkt mit dem Backup- System verbunden.
Primärspeicher Snapshots Sie verwenden besser einen anderen Authentifizierungsrahmen. Diese Snapshots können für die Wiederherstellung verwendet werden.
Replizierte VMs Am besten, wenn sie über ein anderes Authentifizierungs-Framework gesteuert werden, wie z. B. die Verwendung unterschiedlicher Domänen für z. B. vSphere- und Hyper-V-Hosts, und ausgeschaltet sind.
Festplatten/SSD Abgetrennt, nicht eingehängt oder offline, es sei denn, es wird von ihnen gelesen oder auf sie geschrieben.
Band Sie können nicht mehr offline sein als mit Bändern, die aus einer Bandbibliothek entladen wurden. Diese sind auch für die externe Speicherung geeignet. Bänder sollten verschlüsselt sein.
Appliances Appliances sind Blackboxen und müssen entsprechend gegen unbefugten Zugriff gesichert werden. Eine strengere Netzwerksicherheit als bei regulären Dateiservern ist ratsam, da Appliances mehr unerwartete Schwachstellen aufweisen können als reguläre Betriebssysteme.

3. Verwenden Sie Sicherungskopieraufträge, um das Risiko zu minimieren

Der Sicherungskopierauftrag ist ein großartiger Mechanismus, um Wiederherstellungspunkte auf einem anderen Speicher und mit anderen Aufbewahrungsregeln als der reguläre Sicherungsauftrag zu erstellen. Wenn die oben genannten Punkte berücksichtigt werden, kann der Sicherungskopierauftrag in einer Ransomware-Situation ein wertvoller Mechanismus sein, da mit dem Sicherungskopierauftrag verschiedene Wiederherstellungspunkte verwendet werden.

4. Verlassen Sie sich nicht auf unterschiedliche Dateisysteme, um den Backup-Speicher zu schützen

Obwohl die Verwendung unterschiedlicher Protokolle eine weitere Möglichkeit sein kann, die Ausbreitung von Ransomware zu verhindern, sollten Sie sich darüber im Klaren sein, dass dies sicherlich keine Garantie gegen Ransomware-Backup-Angriffe ist. Selbst wenn die Ransomware oder Viren von heute nicht auf, sagen wir, ext4-Dateisystemen arbeiten können, werden die von morgen dazu in der Lage sein. Verlassen Sie sich also stattdessen auf die richtige Sicherheit: Sicherungsspeicher sollten so weit wie möglich unzugänglich sein, und es sollte nur ein einziges Dienstkonto auf bekannten Rechnern geben, das darauf zugreifen muss. Dateisystem-Speicherorte, die zum Speichern von Sicherungsdaten verwendet werden, sollten nur für die entsprechenden Dienstkonten zugänglich sein. Es gibt keinen Grund, warum Endbenutzer von verschiedenen Systemen jemals die Berechtigung haben sollten, auf sie zuzugreifen. Die Verwendung eines anderen Satzes von Anmeldeinformationen, um den Zugriff auf gemeinsam genutzte Dateisysteme zu ermöglichen, z. B. für Snapshots, Offline-Freigaben oder Cloud-Speicher, ist ein von Natur aus unsicherer Ansatz - all diese sollten ausschließlich auf das Konto des Sicherungsdienstes beschränkt sein.

5. Beachten Sie die 3-2-1-1-Regel

Das Befolgen der 3-2-1-Regel bedeutet, dass Sie drei verschiedene Kopien Ihrer Daten auf zwei verschiedenen Medien haben, von denen sich eine außerhalb des Unternehmens befindet. Die Stärke dieses Ansatzes ist, dass er nahezu jedes Ausfallszenario abdecken kann und keine spezielle Technologie erfordert. In der Ransomware-Ära empfiehlt Bacula, eine weitere "1" zu der Regel hinzuzufügen, wenn eines der Medien offline ist. Die oben aufgeführten Offline-Speicheroptionen haben eine Reihe von Möglichkeiten aufgezeigt, wie Sie eine Offline- oder Semi-Offline-Kopie der Daten implementieren können. In der Praxis sind Sie dieser Regel schon sehr nahe, wenn Sie auf Nicht-Dateisystem-Ziele sichern. Daher sind Bänder und Cloud-Objektspeicher-Ziele für Sie hilfreich. Das Ablegen von Bändern in einem Tresor, nachdem sie geschrieben wurden, ist eine seit langem bewährte Praxis.

Cloud-Speicherziele können aus der Backup-Perspektive als Semi-Offline-Speicher fungieren. Die Daten befinden sich nicht vor Ort, und der Zugriff auf sie erfordert benutzerdefinierte Protokolle und eine sekundäre Authentifizierung. Einige Cloud-Anbieter erlauben es, Objekte in einen unveränderlichen Zustand zu versetzen, was die Anforderung erfüllen würde, dass sie nicht von einem Angreifer beschädigt werden können. Wie bei jeder Cloud-Implementierung wird ein gewisses Maß an Zuverlässigkeit und Sicherheitsrisiko in Kauf genommen, indem man dem Cloud-Anbieter kritische Daten anvertraut, aber als sekundäre Backup-Quelle ist die Cloud sehr überzeugend.

6. Vorsicht bei der Verwendung von Speicher-Snapshots auf dem Backup-Speicher

Speicher-Snapshots sind nützlich, um gelöschte Dateien zu einem bestimmten Zeitpunkt wiederherzustellen, sind aber kein Backup im eigentlichen Sinne. Speicher-Snapshots verfügen in der Regel nicht über ein fortschrittliches Aufbewahrungsmanagement und Reporting, und alle Daten werden immer noch auf demselben System gespeichert und sind daher möglicherweise anfällig für Angriffe, die die primären Daten betreffen.

7. Stellen Sie sicher, dass Sie alle Systeme von Bare Metal wiederherstellen können

Bare-Metal-Recovery wird auf viele verschiedene Arten durchgeführt. Viele Unternehmen stellen einfach ein Standard-Image bereit, stellen Software bereit und stellen dann Daten und/oder Benutzereinstellungen wieder her. In vielen Fällen sind alle Daten bereits dezentral gespeichert und das System selbst ist weitgehend unwichtig. In vielen Fällen ist dies jedoch kein praktikabler Ansatz, und die Fähigkeit, einen Rechner zu einem bestimmten Zeitpunkt vollständig wiederherzustellen, ist eine wichtige Funktion der Disaster-Recovery-Implementierung. Die Möglichkeit, einen mit Ransomware verschlüsselten Computer zu einem aktuellen Zeitpunkt wiederherzustellen, einschließlich aller lokal gespeicherten Benutzerdaten, kann ein notwendiger Teil einer mehrschichtigen Verteidigung sein. Der gleiche Ansatz kann auf virtualisierte Systeme angewendet werden, obwohl es in der Regel bessere Optionen auf dem Hypervisor gibt.

Fazit

Für einen maximalen Schutz Ihres Backups gegen Ransomware und ähnliche Bedrohungen rät Bacula Systems dringend, dass Ihr Unternehmen die oben aufgeführten Best Practices zur Datensicherung und -wiederherstellung vollständig einhält. Die oben skizzierten Methoden und Werkzeuge werden von den Kunden von Bacula Systems regelmäßig eingesetzt.

Bacula ist einzigartig in der Backup- und Recovery-Branche, da es ein extrem hohes Sicherheitsniveau bietet. Ein besonders wichtiger Faktor für die Widerstandsfähigkeit von Bacula gegenüber Angriffen ist seine überlegene Sicherheitsarchitektur. Diese Hochsicherheitsarchitektur besteht aus einigen wichtigen Sicherheitselementen, von denen im Folgenden einige aufgeführt sind:

◾ Der zu sichernde Client hat nie Kenntnis von den Speicherzielen und besitzt keine Zugangsdaten für den Zugriff darauf
◾ Speicher- und Speicherdeamon-Hosts sind dedizierte, streng gesicherte Systeme, die nur Bacula- bezogenen Datenverkehr und Admin-Zugriff erlauben - sonst nichts.
◾ Baculas "Director" (Kern-Management-Modul) ist ein dediziertes System mit demselben restriktiven Zugriff
◾ Baculas "Director" initiiert alle Aktivitäten und vergibt insbesondere einmalige Zugriffsberechtigungen an Clients und erlaubt damit nur Bacula-bezogene Aktivitäten
◾ Bacula Enterprise bietet keinen direkten Zugriff von Clients auf den Speicher; dies ist nicht im Protokoll vorgesehen. Somit kann auch ein kompromittierter Client nicht auf die Backup-Daten zugreifen, weder um sie zu lesen, zu überschreiben, zu modifizieren oder zu löschen.

Hier sind einige weitere Schlüsselfaktoren, von denen uns unsere Kunden berichtet haben, die Bacula für sie besonders attraktiv machen, oft im Zusammenhang mit dem Schutz vor Ransomware:

◾ FIPS 140-2-konform
◾ Verifizierung der Zuverlässigkeit vorhandener gesicherter Daten
◾ Erkennung von stiller Datenbeschädigung
◾ Datenverschlüsselungs-Chiffre (AES 128, AES192, AES256 oder Blowfish) und der Digest-Algorithmus
◾ Automatische Verwendung von TLS für die gesamte Netzwerkkommunikation (kann auch ausgeschaltet werden)
◾ Verifizierung von zuvor katalogisierten Dateien, was eine Tripwire-ähnliche Fähigkeit ermöglicht (Systemeinbruchserkennung)
◾ CRAM-MD5-Passwort-Authentifizierung zwischen den einzelnen Komponenten (Daemon)
◾ Konfigurierbare TLS(SSL)-Kommunikationsverschlüsselung zwischen den einzelnen Komponenten
◾ Konfigurierbare Verschlüsselung der Daten (auf dem Datenträger) auf einer Client-zu-Client-Basis
◾ Berechnung von MD5- oder SHA1-Signaturen der Dateidaten auf Wunsch
◾ Windows Verschlüsselndes Dateisystem (EFS)
◾ Immutable Disk Volume-Funktion für zusätzlichen Schutz vor Ransomware
◾ Option zur LDAP-Verzeichnisintegration der Kernarchitektur für zusätzlichen Schutz

Bacula Enterprise erfüllt auch die wichtige "3-2-1-1-Regel", indem es eine besonders breite Kompatibilität mit verschiedenen Bandtechnologien, der Cloud und anderen Offsite-Speichermedien bietet. Darüber hinaus ist das Bare-Metal-Recovery-Tool von Bacula sowohl für Linux- als auch für Windows-Server verfügbar und ermöglicht es einem Unternehmen, eine sichere und zuverlässige Disaster-Recovery durchzuführen.

Unternehmen, die über keine fortschrittlichen Datensicherungslösungen verfügen, empfiehlt Bacula Systems dringend, ihre Backup-Strategie vollständig zu überprüfen und eine moderne Backup- und Recovery-Lösung zu evaluieren. Kontaktieren Sie uns jetzt, um herauszufinden, wie Bacula Ihnen helfen kann.