Cyber-Angriffe haben in der Regel zwei übergeordnete Ziele: Das erste besteht darin, den Geschäftsbetrieb durch die Verschlüsselung wichtiger Produktionsdaten lahmzulegen, und der zweite neuere Trend ist die Erfassung und Verletzung sensibler persönlicher Identifizierungsinformationen (PII). Backups spielen eine Schlüsselrolle bei der Abwehr von Cyberangriffen und ermöglichen möglicherweise die Wiederherstellung von Systemen zu einem bekannten sicheren Betriebszeitpunkt; Sie bieten jedoch auch einen „One-Stop-Shop“ für den Erwerb von PII.

Die Definition von PII ist weit gefasst, kann aber als Information zusammengefasst werden, die bei Verlust, Kompromittierung oder Offenlegung zu erheblichen Schäden, Peinlichkeiten, Unannehmlichkeiten oder Ungerechtigkeit gegenüber einer Person führen könnte. Darüber hinaus können aufgedeckte PII von Kriminellen verwendet werden, um Identitätsdiebstahl, Erpressung, Stalking oder andere Verbrechen gegen ihre Opfer durchzuführen.

Häufig sind Vorfälle mit Datenschutzverletzungen so schwerwiegend, dass sie auf den Titelseiten erscheinen und den beteiligten Unternehmen irreparable Reputationsschäden zufügen. In diesem Artikel werden wir uns einige wichtige Bereiche ansehen, die berücksichtigt werden müssen, um sicherzustellen, dass Backups sicher aufbewahrt werden und um zu vermeiden, dass sie zu einer einfachen Quelle für Datenverletzungskampagnen werden.

Veeam Backup-Verschlüsselung

Verschlüsselung ist die wichtigste Taktik bei den meisten Ransomware-Angriffen. Schauen wir uns also zunächst die Veeam-Verschlüsselungsmöglichkeiten an, um Cyberkriminelle auf eigene Faust zu besiegen.

Veeam Backup & Replication bietet eine integrierte Verschlüsselung zum Schutz von Daten in Backups. Daher ist es wichtig, dass Unternehmen diese Funktion in Betracht ziehen. Die Verschlüsselung innerhalb von Veeam Backup & Replication funktioniert auf folgenden Ebenen: Backup-Job, Backup-Kopier-Job, VeeamZIP und für Bänder in Medienpools. Es gibt jedoch einige Vorbehalte und Nuancen, die verstanden werden müssen, bevor die Backup-Verschlüsselung aktiviert wird.

Ein wichtiger Punkt ist, dass die Verschlüsselung in Veeam Backup & Replication nicht rückwirkend ist. Wenn die Verschlüsselung für einen bestehenden Backup-Job aktiviert ist, verschlüsselt Veeam Backup & Replication die vorher mit diesem Job erstellte Backup-Kette nicht. Sie können daher eine neue Kette beginnen, damit die unverschlüsselte vorherige Kette auf andere Weise getrennt und gesichert werden kann. Wenn Sie die Verschlüsselung für einen bestehenden Job aktivieren, erstellt Veeam Backup & Replication während der nächsten Jobsitzung eine vollständige Sicherungsdatei.

Die Verschlüsselung wirkt sich auch negativ auf die Deduplizierungsraten aus, wenn Sie eine deduplizierende Speicher-Appliance als Ziel verwenden. Für jede Jobsitzung wird ein anderer Verschlüsselungsschlüssel verwendet, daher erscheinen verschlüsselte Datenblöcke, die an deduplizierende Speichergeräte gesendet werden, als unterschiedlich, obwohl sie möglicherweise doppelte Daten enthalten. Durch das Deaktivieren der Datenverschlüsselung wird eine höhere Deduplizierungsrate erreicht, jedoch auf Kosten einer verringerten Sicherheit. Unternehmen müssen daher ihre eigenen Risikobewertungen durchführen, um fundierte Entscheidungen bezüglich ihrer Cybersicherheit zu treffen.

Veeam bietet hier Best Practices zum Aktivieren der Verschlüsselung in Veeam Backup & Replication.

Verschlüsselung der Veeam-Datenbankkonfiguration

Eine weitere Quelle von Sicherheitsrisiken ist die Backup & Replication-Konfigurationsdatenbank, die Anmeldeinformationen speichert, um eine Verbindung zu virtuellen Servern und anderen Systemen in der Backup & Replication-Infrastruktur herzustellen. Alle in dieser Datenbank gespeicherten Passwörter sind verschlüsselt, jedoch könnte ein Benutzer mit Administratorrechten auf dem Backup-Server die Passwörter entschlüsseln, was eine potenzielle Bedrohung darstellt.

Um die Backup & Replication-Konfigurationsdatenbank zu sichern, befolgen Sie diese Richtlinien:

  • Stellen Sie sicher, dass nur autorisierte Benutzer auf den Backup-Server und den Server zugreifen können, der die Veeam Backup & Replication-Konfigurationsdatenbank hostet (wenn die Datenbank auf einem Remote-Server läuft).
  • Aktivieren Sie die Datenverschlüsselung für die Konfigurationssicherung, um sensible Daten zu schützen, die in der Konfigurationsdatenbank gespeichert sind.

Weitere Informationen finden Sie in der Veeam-Ressource:Erstellen verschlüsselter Konfigurationssicherungen.

Verschlüsselung von Netzwerkdaten

Um vollständige Sicherheit zu gewährleisten, müssen Daten sowohl während der Übertragung als auch im Ruhezustand geschützt werden. Backup-Daten, die verschlüsselt und auf ein Backup-Zielvolume geschrieben werden, sind sicher und gelten als ruhende Daten, aber diese Daten müssen möglicherweise auch auf ihrem Transportweg von der Quelle zum Backup-Repository-Server geschützt werden. Das Abfangen von Daten während einer Übertragung ist eine gängige Taktik bei der Cyberkriminalität, daher ist auch die Verschlüsselung von Daten während der Übertragung von entscheidender Bedeutung.

Veeam Backup & Replication verschlüsselt standardmäßig Daten, die zwischen öffentlichen Netzwerken übertragen werden. Dies gilt jedoch nicht für Daten, die innerhalb desselben Netzwerks übertragen werden. Wenn Sie Ihren internen Netzwerkverkehr verschlüsseln möchten, müssen Sie eine Netzwerkverkehrsregel für dieses Netzwerk erstellen und die Datenverschlüsselung innerhalb dieser Regel aktivieren.

Weitere Informationen zu Veeam Network Traffic Management einschließlich Verschlüsselung finden Sie hier.

Physische Sicherheit

Die Sicherheit des physischen Zugriffs auf IT-Assets und -Netzwerke des Unternehmens ist natürlich ein großes Thema, und die verfügbaren Techniken hängen von der Größe des Unternehmens und dem verfügbaren physischen Raum für die Lagerung von Geräten ab. Hier sind einige Richtlinien, die in den meisten Szenarien implementiert werden können:

Wenn Sie Geräteracks verwenden, sei es in einem Rechenzentrum vor Ort in Ihrem Büro, sperren Sie diese Racks standardmäßig.

Seien Sie schlau bei der Platzierung der physischen Ausrüstung. Platzieren Sie beispielsweise den/die Veeam Repository-Server nicht in demselben Rack oder in denselben Racks wie Ihren Produktionsspeicher oder andere Hypervisor-Hardware.

Implementieren Sie rollenbasierte physische Zugriffskontrollen, indem Sie dem Prinzip der geringsten Rechte folgen. Geben Sie den Menschen die richtigen physischen Zugriffsrechte, um ihre Arbeit zu erledigen. Beispielsweise benötigt ein Web-Entwicklungsteam keinen Zugriff auf Racks mit Backup-Servern und ebenso braucht ein Backup-Systemadministrator keinen Zugriff auf Entwicklungsplattformen.

Natürlich sind viele Unternehmen nicht in der Lage, ein eigenes Rechenzentrum zu haben oder wollen den Aufwand für die Wartung eines Rechenzentrums. Unabhängig davon, ob Sie Rechenzentrumsfläche mieten oder nur ein Infrastructure as a Service (IaaS)-Modell verwenden, überprüfen Sie immer, wie die physische Sicherheit angeordnet ist, um sicherzustellen, dass sie mit Ihrer Sicherheitsrichtlinie übereinstimmt.

Infrastrukturhärtung

Die Aufgabe, die potenzielle Chance für einen Cyberangriff zu verringern, wird als Verringerung der Angriffsfläche bezeichnet. Dabei werden so viele potenzielle Schwachstellen wie möglich in Ihrem IT-Ökosystem beseitigt. Dazu gehört der oben beschriebene physische Zugriff sowie Netzwerk- und Anwendungsschwachstellen.

In unserem früheren Artikel The Blocky for Veeam® – Anleitung in 5 Schritten zu einem sichereren Netzwerk Wir haben uns die Probleme rund um das Microsoft Remote Desktop Protocol angesehen und wie dies in einigen Fällen Cyberkriminellen Tür und Tor öffnen könnte. Um die Backup-Sicherheit zu verbessern, ist es wichtig, so viele unerwünschte Softwareanwendungen, Protokolle und unnötige Anwendungsfunktionen wie möglich zu entfernen, um Ihre Angriffsfläche weiter zu reduzieren.

Das Entfernen aller nicht wesentlichen Anwendungen und Funktionen innerhalb Ihrer Veeam-Implementierung ist Teil des Infrastructure Hardening-Prozesses und sollte auf Veeam Backup & Replication-Installationen angewendet werden.

Während viele Dienstprogramme dem Backup-Administrator nützliche Funktionen bieten können, sollten sie entfernt werden, wenn sie einen "Hintertür"-Zugriff auf das System ermöglichen. Ziehen Sie auch zusätzliche Software wie Webbrowser und Java auf Ihren Repository-Servern in Betracht. Elemente, die nicht zum Betriebssystem oder zu aktiven Veeam-Komponenten gehören, sollten entfernt werden. Dadurch wird auch die Wartung auf Software-Patch-Ebene viel einfacher.

Für den Veeam Backup & Replication Server sollten mindestens die folgenden Härtungsverfahren in Betracht gezogen werden:

    • Entfernen Sie die Backup & Replication-Konsole vom Veeam Backup & Replication-Server. Die Konsole wird standardmäßig lokal auf dem Backup-Server installiert.
    • Schalten Sie den Veeam vPower NFS-Dienst aus, wenn Sie die folgenden Veeam-Funktionen nicht verwenden möchten: SureBackup, Instant Recovery oder Other-OS File Level Recovery (FLR)-Vorgänge.

Beachten Sie, dass die Backup & Replication Console nicht über das Installationsprogramm oder mithilfe von Hinzufügen/Entfernen in Windows entfernt werden kann. Außerdem müssen Sie zuerst alle Veeam Explorer deinstallieren, bevor Sie die Konsole entfernen. Weitere Informationen finden Sie in der Veeam Help Center-Dokumentation für Ihre aktuelle Version von Veeam Backup & Replication.

Ein weiteres Ziel für den Härtungsprozess ist der Veeam Backup Enterprise Manager (Enterprise Manager), eine Verwaltungs- und Berichtskomponente, mit der Sie mehrere Veeam Backup & Replication-Installationen von einer einzigen Webkonsole aus verwalten können. Wenn Enterprise Manager nicht verwendet wird, deinstallieren Sie ihn auf ähnliche Weise und entfernen Sie ihn aus Ihrer Umgebung, um die Sicherheit zu erhöhen.

Cybersicherheit kann bei so vielen Schlupflöchern eine entmutigende Aufgabe sein, aber mit einem systematischen Ansatz können Sie ein hohes Maß an Schutz für Ihre Backup-Umgebung erreichen. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.