Cyberkriminelle suchen nach mehreren Wegen, um ein Netzwerk zu infiltrieren, daher müssen die Cybersicherheitsmaßnahmen entsprechend umfassend sein. Im Zusammenhang mit dem Schutz von Veeam-Backupdateien und den Speichervolumes, auf denen sie gespeichert sind, gibt es viele empfohlene Best Practices. Leider sind einige dieser Maßnahmen aufgrund von Ressourcenbeschränkungen oder anderen logistischen Herausforderungen möglicherweise nicht für den Einsatz in Zweigstellen oder Remote-Standorten praktikabel. Mehrere Remote-Standorte erweitern die Angriffsfläche für Hacker. Daher werden wir uns hier einige häufige Herausforderungen ansehen und zeigen, wie die Application Fingerprinting-Technologie eine kostengünstige und einfach zu implementierende Sicherheitslösung für Remote-Office-Installationen bieten kann.

Lokale Backups sind zum primären Ziel geworden

Es ist heute alltäglich, dass ein Unternehmen einem Cyberangriff zum Opfer fällt, nur um festzustellen, dass seine Backups zusammen mit anderen für den Geschäftsbetrieb wichtigen Dateien kompromittiert wurden. Backups sollten als Versicherungspolice dienen, um die Wiederherstellung des Betriebs nach einem Angriff zu ermöglichen, aber Cyberkriminelle wissen dies natürlich und machen sich daran, Backups zuerst zu lokalisieren und zu verschlüsseln.

Zur Sicherung einer Veeam Backup & Replication-Architektur stehen zahlreiche Best-Practice-Empfehlungen zur Verfügung. Ziel ist es, Angreifern möglichst viele Hürden in den Weg zu legen. Wir haben diese in unserem vorherigen Artikel behandelt Kurztipps für Veeam® Backup Security Daher werden sie hier nicht im Detail wiederholt, sondern auf die Praktiken hingewiesen, die sich an entfernten Standorten als schwierig erweisen können oder für viele Unternehmen unerschwinglich sind.

Objektspeicherung und OS-Härtung

Die übliche Vorgehensweise für einen Backup-Prozess in der Unternehmenszentrale besteht darin, ein Veeam-Backup-Repository vor Ort zu haben, das 14 bis 30 Tage lang Backup-Daten lokal speichern kann. Dem Systemadministrator stehen dann mehrere Optionen zur Verfügung, um diese Backup-Informationen zu schützen. Eine Möglichkeit besteht darin, Kopien der primären Backup-Daten an einen S3-basierten Objektspeicher in der Cloud zu senden, der dann die Object-Lock-Technologie nutzen kann. Dies könnte eine sofortige Kopie der Backup-Daten sein oder alternativ einen Alterungsprozess verwenden, bei dem beispielsweise Backup-Daten, die älter als 14 Tage sind, in den Objektspeicher kopiert werden.

Objektspeicher werden normalerweise in der Cloud bereitgestellt, aber lokale Lösungen werden immer beliebter. Obwohl beide sicherlich solide Sicherheitsoptionen sind, werden die Kosten für diese Dienste für viele Unternehmen unerschwinglich sein.

Mit der Veröffentlichung von Veeam V11 wurde die Möglichkeit zur Replikation von Backups auf ein gehärtetes Linux-basiertes Backup-Repository verfügbar. Dies ist eine sehr beliebte Option für Unternehmen, die bereits Linux in ihrer Infrastruktur verwenden und über die entsprechenden Fähigkeiten im eigenen Haus verfügen. Da Linux als Desktop-Betriebssystem weniger als 2% weltweit verbreitet ist, zögern viele Unternehmen leider, die Lernkurve zu absolvieren oder die erforderlichen Fähigkeiten hinzuzufügen, um Linux in ihre Windows-dominierte Architektur einzuführen.

Im Kontext von Zweigstellen und Remote-Standorten ist die Verbreitung von Linux noch geringer. Zusätzliche Herausforderungen können eine nicht optimale Netzwerkkonnektivität für die Verwendung von Cloud-basierten Backup-Lösungen und ein allgemeiner Mangel an technischen Ressourcen vor Ort sein.

Ein Windows-basiertes System zu härten ist weitaus schwieriger, da es ein viel umfangreicheres Betriebssystem als Linux ist und leider ein Opfer seiner eigenen Popularität ist. Die Sicherheit eines Betriebssystems hängt in hohem Maße von der Größe seiner installierten Basis ab. Für Malware-Autoren bietet Windows ein riesiges Spielfeld, daher gibt ihnen die Konzentration darauf den größten Gewinn für ihre Bemühungen.

Härten eines Windows® Veeam Repository für Remote-Standorte

Veeam bietet einige großartige Best-Practice-Ressourcen für die Sicherung einer Backup-Umgebung, einschließlich Tipps für Ein Backup-Repository härten, das unter Windows ausgeführt wird Diese Schritte führen jedoch nie zu einer wirklich gehärteten Windows-Plattform. Wenn diese Schritte befolgt werden, wird es für Cyberkriminelle sicherlich schwieriger sein, in die Umgebung einzudringen, aber Veeam-Backup-Volumes bleiben weiterhin anfällig.

Remote-Standorte verwenden in der Regel den lokalen Speicher als Staging-Bereich für Backups mit einem Alter von bis zu einer Woche, und die Speicherung von Backups auf lokalem Speicher bietet die schnellstmögliche Wiederherstellungszeit. Während Cloud-basierter Objektspeicher effektiv ist, kann dies aufgrund der Beschränkungen der Netzwerkbandbreite an entfernten Standorten unpraktisch sein, um die Wiederherstellungszeitziele im Falle eines Cyberangriffs oder eines anderen Notfallwiederherstellungsszenarios zu erreichen.

Blocky for Veeam® bietet eine Lösung für Windows-basierte Backup-Repositorys in Remote- und Hauptbüros mit lokalem Speicher, die verhindert, dass unbefugte Systemprozesse den Inhalt bestimmter Backup-Volumes oder -Ordner ändern.

Der Systemadministrator würde auswählen, welche Speichervolumes oder Ordner der ersten Ebene geschützt werden müssen, und dann das Blocky for Veeam®-Filtertreiber-Dienstprogramm anweisen, eine Anwendungs-Fingerabdruck-Analyse der erforderlichen Veeam Backup & Replication-Anwendungsprozesse durchzuführen. Sobald der Schutz aktiviert wurde, können nur diese Prozesse mit Fingerabdruck auf die geschützten Volumes schreiben. Kein Malware-Code kann sich als Veeam-Anwendungsprozess ausgeben, da er nicht mit dem Anwendungs-Fingerabdruck übereinstimmt, der aus den echten Veeam-Prozessen erstellt wurde.

Früherkennung ist entscheidend, um den Schaden eines Cyberangriffs zu begrenzen

Malware-Payloads und anschließende Ransomware-Anforderungen werden in der Regel gestartet, nachdem die beteiligten Hacker längere Zeit unentdeckt in der IT-Infrastruktur gearbeitet haben. Dies geschieht, wenn „Zero-Day“-Schwachstellen ausgenutzt wurden, um Zugang zum Netzwerk zu erhalten. Dies kann in Form von neuen Schlupflöchern in der Betriebssystem- oder Netzwerkhardware oder einfach durch die Entwicklung neuer Malware-Codes entstehen, die unbekannt sind und daher in den aktuellen Antiviren-Definitionsdateien nicht vorhanden sind.

Auch wenn die Bereitstellung eines gehärteten Linux-basierten Veeam-Backup-Repository wirksam ist, um die Kompromittierung von Backup-Dateien zu verhindern, wird das Linux-Repository selbst nicht vor unbefugten Zugriffsversuchen oder anderen verdächtigen Netzwerkverhaltensweisen warnen.

Blocky for Veeam® hingegen kann über Systemprotokolldateien, E-Mail, SMTP und über das Blocky for Veeam®-Logging-Panel Warnungen über alle unbefugten Zugriffsversuche senden, wenn ein Administrator die GUI geöffnet hat. Die frühzeitige Erkennung verdächtiger Aktivitäten, insbesondere von „Zero-Day“-Bedrohungen, kann viel dazu beitragen, den durch einen Cyberangriff verursachten Schaden zu begrenzen.

Zweigniederlassungen und Außenstellen sind ein wichtiger Einstiegspunkt für Cyberangriffe. Aufgrund von Herausforderungen vor Ort können Sicherheitslösungen mit Cloud-Technologien, Bandarchiven oder einem gehärteten Linux-Betriebssystem unpraktisch sein. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.