際際滷

際際滷Share a Scribd company logo

Backup ransomware prevention_2017

Vladan Laxa
Vladan Laxa

Fight against ransomware, backup protection

1 of 35
Download to read offline
Backup vs. Ransomware Prevence proti ohro転en鱈 z叩loh Vladan Laxa Syst辿mov箪 specialista / konzultant/ ITI-R5 4/8 2 0 1 7
AGENDA 2 Nice 2007 Koda 2011 Barcelona 2016 Trendy Ochrana z叩loh vSphere a Ransomware Veeam Agent for Linux a Windows Veeam One monitoring - ransomware Z叩vr
Ransomware protection 3 Nice 2007 Koda 2011 Barcelona 2016 Trendy Ochrana z叩loh Veeam Agent for Linux a Windows Veeam One monitoring - ransomware vSphere a Ransomware acitivity Z叩vr
Kl鱈ov辿 poznatky 4 Nejd哲le転itj邸鱈m krokem k ochran proti Ransomware je Ochrana Va邸ich z叩loh! Backup server m叩 p鱈stup na v邸echno => ml by tedy b箪t nejv鱈ce zabezpeen箪m syst辿mem v infrastruktue Backup data jsou nejzaj鱈mavj邸鱈m c鱈lem pro 炭ton鱈ky!
P鱈klad ze svta 5 Ex-Admin deletes all customer data and wipes servers of Dutch Hosting Provider Verelox
Ochrana proti Ramsomware 6 Edukace u転ivatel哲 Definovan辿 politiky pro BYOD Definovan辿 politiky pro firemn鱈 desktopy Segmentace s鱈t na VLANy Pravideln辿 z叩lohy d哲le転it箪ch dat u転ivatel哲
TRENDY 7 3 kopie z叩loh 2 typy m辿di鱈 1 kopie offsite Disk 2 disk 2 tape Disk 2 disk 2 Cloud
TRENDY 8 vBR vDisk
Eliminace rizik 9 4 4 4 4 4 4 4 4 4 4
Eliminace rizik 10 MSCacheV2 hash pro domain u転ivatele NTLM hash pro local u転ivatele Brute-force 2,5mil/s na x86 hardware Aplikace Microsoft security doporuen鱈 AC v nkter箪ch implementac鱈ch praktikuje zak叩z叩n鱈 RDP p鱈stupu na virtu叩ln鱈 Veeam server a v nutn箪ch p鱈padech pro management vyu転鱈v叩 pouze VMware konzoli Lok叩ln instalovan箪 Veeam klient (Console)
Eliminace rizik levn辿 NAS 11 Pozor na aktualizovan箪 firmware na NAS za鱈zen鱈ch V ned叩vn dob odhalen箪 incident v nekonzistentn鱈ch datech na RAID5 po v箪padku HDD na QNAP za鱈zen鱈ch http://www.sbsfaq.com/?p=4277 https://www.qnap.com/en/technical- advisory/tec-201707-01
Zabezpeen鱈 vSphere platformy 12 Veeam vyu転鱈v叩 vCenter server vCenter umo転uje granul叩rn鱈 nastaven鱈 opr叩vnn鱈 Ka転d叩 operace vy転aduje jin箪 set opr叩vnn鱈 R哲zn辿 backup mode vy転aduj鱈 jin箪 set opr叩vnn鱈 Pokud existuje v鱈ce backup server哲 v infrastruktue, je mo転n辿 ka転d辿mu pidlit opr叩vnn鱈 jen na konkr辿tn鱈 叩st infrastruktury https://www.veeam.com/veeam_backup_9_ 0_permissions_pg.pdf
Ochrana dat z叩loh na 炭lo転i邸ti 13 Z叩lohov叩n鱈 na p叩sky Z叩lohov叩n鱈 na VORM m辿dia Z叩lohov叩n鱈 na SMB share Z叩lohov叩n鱈 na extern鱈 USB disk (rotov叩n鱈 disk哲) Nepipojovat SMB share nap鱈mo do Backup serveru Pihla邸ovac鱈 炭daje na SMB budou pak ulo転eny pouze 邸ifrovan ve Veeam datab叩zi Pokud je c鱈lem Windows syst辿m, doporuuje se jin箪 zp哲sob autentifikace (mimo dom辿nu)
Ochrana dat z叩loh na 炭lo転i邸ti 14 Off-line syst辿m a spu邸tn鱈 skrze out-of-band management tsn ped z叩lohovac鱈m oknem Jin辿 pihla邸ovac鱈 炭daje pro z叩lohovac鱈 炭lo転i邸t (jin叩 dom辿na bez trustu, lok叩ln鱈 炭ty) Vyu転it鱈 jin辿 platformy a tedy jin箪 zp哲sob oven鱈 pro Linux repository nap鱈klad ExaGrid Vyu転it鱈 Veeam Cloud Connect Vy邸邸鱈 frekvence z叩loh V鱈ce typ哲 z叩loh (Backup Copy, Replikace, Storage Snapshoty, dal邸鱈 backup job)
Retenn鱈 politika 15 Inkrement叩ln鱈 Vyu転鱈v叩me pro ukl叩d叩n鱈 na p叩sky .vbk .vib .vib .vib .vib .vib .vib .vbk PO T ST T P SO NE PO .vib T Active Full Virtual FullFull Backup Incremental Backup Po uplynut鱈 retence
Retenn鱈 politika 16 Revers Inkrement叩ln鱈 Pou転鱈v叩me pro lok叩ln鱈 repository .vbk .vib PO T ST T P SO NE PO T Full Backup .vrb .vib .vbk .vrb .vib .vbk .vib.vrb .vbk .vrb
Retenn鱈 politika 17 Forever Inkrement叩ln鱈 Pou転鱈v叩 se pro archivaci z叩loh na Data Domain, NAS za鱈zen鱈 .vbk .vib .vib .vib .vib .vib .vib PO T ST T P SO NE PO T Full Backup .vib .vib .vbk
Minimalizace RTO Bez nutnosti obnoven鱈 Quick Migration Instant VM recovery vPower NFS 18
Izolovan辿 prosted鱈 Testov叩n鱈 z叩loh On-Demand Sandbox Sure Backup Virtual LAB 19
Linux proxy appliance Testov叩n鱈 z叩loh Testovac鱈 prosted鱈 Virtual LAB 20
Integrace s EMC DataDomain Zrychlen鱈 a転 o 50% Mo転nost paraleln鱈ho zpracov叩n鱈 Podpora DD Boost vylep邸ana Deduplikace Integrace Deduplikan鱈ch 炭lo転i邸泥 21
Integrace Deduplikan鱈ch 炭lo転i邸泥 22
etzen鱈 soubor哲 podle VM 23 Vhodn辿 zejm辿na pro deduplikan鱈 za鱈zen鱈 Paraleln鱈 zpracov叩n鱈 10x vy邸邸鱈 propustnost A転 10 rychlej邸鱈 v箪kon z叩lohov叩n鱈
Podpora za鱈zen鱈 bez nativn鱈ch ovlada哲 pro Windows Glob叩ln鱈 fond m辿di鱈 Mo転nost aplikace GFS politiky Backup job jako zdroj dat pro archiv na p叩sku Paraleln鱈 zpracov叩n鱈 Integrace s p叩skov箪ma jednotkama 24
GFS na p叩sku 25
VTL do Cloudu 26
Vylou鱈 bloky smazan箪ch soubor哲 Vylou鱈 str叩nkovac鱈 a hybernan鱈 soubory Vylou鱈 u転ivatelem definovan辿 soubory a slo転ky Zkracuje dobu z叩lohy Zmen邸uje celkov箪 objem z叩lohy Po upgradu ze star邸鱈 verze nen鱈 zapnuto Veeam BitLooker 27
D鱈ve Endpoint Backup Agent na syst辿mu Cel箪 server image based Volume-level File-level Bare-metal recovery ISO boot Exclude file masky Integrace do Backup Repository Veeam Agent for Windows 2.0 28
Agent na syst辿mu Cel箪 server image based Volume-level File-level Pre-freeze a post-thaw scripty SQLlite konfigurace Web GUI, CLI management Integrace do Backup repository Veeam Agent for Linux 29
Veeam Agent for Linux 30
Veeam One zabezpeen鱈 31 HTTPS port叩l Riziko snifov叩n鱈 hesla Kdo nikdy nekliknul accept na varov叩n鱈 certificate error ? Ped verz鱈 9.5 defaultn nen鱈 pou転鱈v叩no HTTPS Ransomware activity alert
Veeam v9.5 PowerShell Automation 32 P鱈klad restore VM do odli邸n辿ho um鱈stn鱈: Nacten鱈 backup jobu do promnn辿 PS C:PS> $backup = Get-VBRBackup -Name "Daily_Backup" V箪ber nejaktu叩lnj邸鱈ho restorepointu PS C:PS> $restorepoint = Get-VBRRestorePoint -Backup $backup -Name test_001" | Select -Last 1 V箪ber serveru pro restore PS C:PS> $server = Get-VBRServer -Name "esx5.sm.agcom.cz V箪ber resource poolu PS C:PS> $resourcepool = Find-VBRViResourcePool -Server $server -Name Servery Spusteni samotn辿ho restore PS C:PS> Start-VBRRestoreVM -RestorePoint $restorepoint -Server $server -ResourcePool $resourcepool PS C:PS> Get-VBRBackup | Remove-VMRBackup FromDisk Confirm:$False !!!!!!!!!!!!
57 Restore sc辿n叩哲 v9.5 33 Ale odkud, pokud m叩me soubory z叩loh zakryptovan辿 d鱈ky 炭sp邸n辿mu Ransmoware 炭toku?
Nemus鱈te platit v箪paln辿 z鱈tra Podniknte opaten鱈 je邸t DNES! 34
Vladan Laxa Syst辿mov箪 specialista / konzultant / ITI-R5 +420 737 212 422 vladan.laxa@autocont.cz AutoCont CZ a.s. / Hornopoln鱈 3322/34702 00 Ostrava / www.autocont.cz

More Related Content

Backup ransomware prevention_2017

  • 2. AGENDA 2 Nice 2007 Koda 2011 Barcelona 2016 Trendy Ochrana z叩loh vSphere a Ransomware Veeam Agent for Linux a Windows Veeam One monitoring - ransomware Z叩vr
  • 3. Ransomware protection 3 Nice 2007 Koda 2011 Barcelona 2016 Trendy Ochrana z叩loh Veeam Agent for Linux a Windows Veeam One monitoring - ransomware vSphere a Ransomware acitivity Z叩vr
  • 4. Kl鱈ov辿 poznatky 4 Nejd哲le転itj邸鱈m krokem k ochran proti Ransomware je Ochrana Va邸ich z叩loh! Backup server m叩 p鱈stup na v邸echno => ml by tedy b箪t nejv鱈ce zabezpeen箪m syst辿mem v infrastruktue Backup data jsou nejzaj鱈mavj邸鱈m c鱈lem pro 炭ton鱈ky!
  • 5. P鱈klad ze svta 5 Ex-Admin deletes all customer data and wipes servers of Dutch Hosting Provider Verelox
  • 6. Ochrana proti Ramsomware 6 Edukace u転ivatel哲 Definovan辿 politiky pro BYOD Definovan辿 politiky pro firemn鱈 desktopy Segmentace s鱈t na VLANy Pravideln辿 z叩lohy d哲le転it箪ch dat u転ivatel哲
  • 7. TRENDY 7 3 kopie z叩loh 2 typy m辿di鱈 1 kopie offsite Disk 2 disk 2 tape Disk 2 disk 2 Cloud
  • 10. Eliminace rizik 10 MSCacheV2 hash pro domain u転ivatele NTLM hash pro local u転ivatele Brute-force 2,5mil/s na x86 hardware Aplikace Microsoft security doporuen鱈 AC v nkter箪ch implementac鱈ch praktikuje zak叩z叩n鱈 RDP p鱈stupu na virtu叩ln鱈 Veeam server a v nutn箪ch p鱈padech pro management vyu転鱈v叩 pouze VMware konzoli Lok叩ln instalovan箪 Veeam klient (Console)
  • 11. Eliminace rizik levn辿 NAS 11 Pozor na aktualizovan箪 firmware na NAS za鱈zen鱈ch V ned叩vn dob odhalen箪 incident v nekonzistentn鱈ch datech na RAID5 po v箪padku HDD na QNAP za鱈zen鱈ch http://www.sbsfaq.com/?p=4277 https://www.qnap.com/en/technical- advisory/tec-201707-01
  • 12. Zabezpeen鱈 vSphere platformy 12 Veeam vyu転鱈v叩 vCenter server vCenter umo転uje granul叩rn鱈 nastaven鱈 opr叩vnn鱈 Ka転d叩 operace vy転aduje jin箪 set opr叩vnn鱈 R哲zn辿 backup mode vy転aduj鱈 jin箪 set opr叩vnn鱈 Pokud existuje v鱈ce backup server哲 v infrastruktue, je mo転n辿 ka転d辿mu pidlit opr叩vnn鱈 jen na konkr辿tn鱈 叩st infrastruktury https://www.veeam.com/veeam_backup_9_ 0_permissions_pg.pdf
  • 13. Ochrana dat z叩loh na 炭lo転i邸ti 13 Z叩lohov叩n鱈 na p叩sky Z叩lohov叩n鱈 na VORM m辿dia Z叩lohov叩n鱈 na SMB share Z叩lohov叩n鱈 na extern鱈 USB disk (rotov叩n鱈 disk哲) Nepipojovat SMB share nap鱈mo do Backup serveru Pihla邸ovac鱈 炭daje na SMB budou pak ulo転eny pouze 邸ifrovan ve Veeam datab叩zi Pokud je c鱈lem Windows syst辿m, doporuuje se jin箪 zp哲sob autentifikace (mimo dom辿nu)
  • 14. Ochrana dat z叩loh na 炭lo転i邸ti 14 Off-line syst辿m a spu邸tn鱈 skrze out-of-band management tsn ped z叩lohovac鱈m oknem Jin辿 pihla邸ovac鱈 炭daje pro z叩lohovac鱈 炭lo転i邸t (jin叩 dom辿na bez trustu, lok叩ln鱈 炭ty) Vyu転it鱈 jin辿 platformy a tedy jin箪 zp哲sob oven鱈 pro Linux repository nap鱈klad ExaGrid Vyu転it鱈 Veeam Cloud Connect Vy邸邸鱈 frekvence z叩loh V鱈ce typ哲 z叩loh (Backup Copy, Replikace, Storage Snapshoty, dal邸鱈 backup job)
  • 15. Retenn鱈 politika 15 Inkrement叩ln鱈 Vyu転鱈v叩me pro ukl叩d叩n鱈 na p叩sky .vbk .vib .vib .vib .vib .vib .vib .vbk PO T ST T P SO NE PO .vib T Active Full Virtual FullFull Backup Incremental Backup Po uplynut鱈 retence
  • 16. Retenn鱈 politika 16 Revers Inkrement叩ln鱈 Pou転鱈v叩me pro lok叩ln鱈 repository .vbk .vib PO T ST T P SO NE PO T Full Backup .vrb .vib .vbk .vrb .vib .vbk .vib.vrb .vbk .vrb
  • 17. Retenn鱈 politika 17 Forever Inkrement叩ln鱈 Pou転鱈v叩 se pro archivaci z叩loh na Data Domain, NAS za鱈zen鱈 .vbk .vib .vib .vib .vib .vib .vib PO T ST T P SO NE PO T Full Backup .vib .vib .vbk
  • 18. Minimalizace RTO Bez nutnosti obnoven鱈 Quick Migration Instant VM recovery vPower NFS 18
  • 19. Izolovan辿 prosted鱈 Testov叩n鱈 z叩loh On-Demand Sandbox Sure Backup Virtual LAB 19
  • 20. Linux proxy appliance Testov叩n鱈 z叩loh Testovac鱈 prosted鱈 Virtual LAB 20
  • 21. Integrace s EMC DataDomain Zrychlen鱈 a転 o 50% Mo転nost paraleln鱈ho zpracov叩n鱈 Podpora DD Boost vylep邸ana Deduplikace Integrace Deduplikan鱈ch 炭lo転i邸泥 21
  • 23. etzen鱈 soubor哲 podle VM 23 Vhodn辿 zejm辿na pro deduplikan鱈 za鱈zen鱈 Paraleln鱈 zpracov叩n鱈 10x vy邸邸鱈 propustnost A転 10 rychlej邸鱈 v箪kon z叩lohov叩n鱈
  • 24. Podpora za鱈zen鱈 bez nativn鱈ch ovlada哲 pro Windows Glob叩ln鱈 fond m辿di鱈 Mo転nost aplikace GFS politiky Backup job jako zdroj dat pro archiv na p叩sku Paraleln鱈 zpracov叩n鱈 Integrace s p叩skov箪ma jednotkama 24
  • 27. Vylou鱈 bloky smazan箪ch soubor哲 Vylou鱈 str叩nkovac鱈 a hybernan鱈 soubory Vylou鱈 u転ivatelem definovan辿 soubory a slo転ky Zkracuje dobu z叩lohy Zmen邸uje celkov箪 objem z叩lohy Po upgradu ze star邸鱈 verze nen鱈 zapnuto Veeam BitLooker 27
  • 28. D鱈ve Endpoint Backup Agent na syst辿mu Cel箪 server image based Volume-level File-level Bare-metal recovery ISO boot Exclude file masky Integrace do Backup Repository Veeam Agent for Windows 2.0 28
  • 29. Agent na syst辿mu Cel箪 server image based Volume-level File-level Pre-freeze a post-thaw scripty SQLlite konfigurace Web GUI, CLI management Integrace do Backup repository Veeam Agent for Linux 29
  • 31. Veeam One zabezpeen鱈 31 HTTPS port叩l Riziko snifov叩n鱈 hesla Kdo nikdy nekliknul accept na varov叩n鱈 certificate error ? Ped verz鱈 9.5 defaultn nen鱈 pou転鱈v叩no HTTPS Ransomware activity alert
  • 32. Veeam v9.5 PowerShell Automation 32 P鱈klad restore VM do odli邸n辿ho um鱈stn鱈: Nacten鱈 backup jobu do promnn辿 PS C:PS> $backup = Get-VBRBackup -Name "Daily_Backup" V箪ber nejaktu叩lnj邸鱈ho restorepointu PS C:PS> $restorepoint = Get-VBRRestorePoint -Backup $backup -Name test_001" | Select -Last 1 V箪ber serveru pro restore PS C:PS> $server = Get-VBRServer -Name "esx5.sm.agcom.cz V箪ber resource poolu PS C:PS> $resourcepool = Find-VBRViResourcePool -Server $server -Name Servery Spusteni samotn辿ho restore PS C:PS> Start-VBRRestoreVM -RestorePoint $restorepoint -Server $server -ResourcePool $resourcepool PS C:PS> Get-VBRBackup | Remove-VMRBackup FromDisk Confirm:$False !!!!!!!!!!!!
  • 33. 57 Restore sc辿n叩哲 v9.5 33 Ale odkud, pokud m叩me soubory z叩loh zakryptovan辿 d鱈ky 炭sp邸n辿mu Ransmoware 炭toku?