Autor: Achim Kaiser, ist seit gut 15 Jahren tätig im Bereich Backup & Recovery bei S&L
Vorwort.
Bei einer Ransomware Attacke sind nun auch die Backups in Gefahr, denn diese sind die „Lebensversicherung“ des Unternehmen. Das haben die Cyberkriminelle erkannt und gegen aktiv gegen das Backup vor. Um sie zu schützen, gibt es verschiedene Verfahren.
Wie z.B. ein gehärtetes Repository (Filesystem), ein Air Gap, Multifaktor-Authentifizierung (MFA) oder Software Lösungen wie Blocky for Veeam®.
Hier können verschiedenste Möglichkeiten im Einzelnen oder im Gesamten angewendet werden.
Grundsätzlich soll auf einem Backup Server nur die Anwendungen und Dienste installiert sein, die für die Datensicherung- und Widerherstellung nötig sind.
- Denken wir z.B. an zusätzliche Software wie Webbrowser, Java, Adobe Reader etc.
- Alle nicht benötigten Benutzerkonten werden gelöscht.
- Alle nicht benötigten Ports werden geschlossen.
- Restriktive Rechte werden gesetzt und komplexe Passwörter verwendet.
Einsatz von Verschlüsselung der Härtungsmaßnahmen sind getrennt von anderen Sicherungsmaßnahmen wie Patch-Zyklen zu betrachten. Absicherung durch intelligente Endpoint Protection mit EDR (Endpoint Detection and Response) Lösungen und Firewalls, VLAN´s (Segmentierung der Netze) etc.
Infrastruktur Hardening
Um Ihre Infrastruktur erfolgreich zu schützen, ist es wichtig, die aktuellen Angriffsvektoren zu verstehen. Was und gegen wen Sie Ihre Veeam-Infrastruktur schützen. Wenn Sie wissen, gegen was und wen Sie sich schützen, ist es einfacher, die richtigen Gegenmaßnahmen zu ergreifen. Eine dieser Gegenmaßnahmen ist die Härtung.
Wenn Sie die verschiedenen Komponenten von Veeam Backup & Replication betrachten, müssen Sie die folgenden Komponenten schützen:
- Veeam Backup-Server
- Benutzerkonten
- Backup-Repositories
- Backup-Datenströme
Best Practices für das Härten von Veeam Backup Repositories auf Windows Systemen:
- K.I.S.S. -Design – Keep It Simple and Straightforward.
- Verwenden Sie einen eigenständigen Windows-Server, der nicht Teil einer Microsoft Active Directory-Domäne ist.
- Stellen Sie sicher, dass die Repository-Server physisch gesichert sind.
- Verwenden Sie ein lokales Konto mit administrativem Zugriff, benennen Sie das lokale Administratorkonto um
- Legen Sie die Berechtigungen für das Repository-Verzeichnis nur auf dieses lokale Konto fest.
- Ändern Sie die Firewall mit dedizierten Regeln für Veeam, um den Zugriff auf bestimmte Ports zu erlauben.
- Deaktivieren Sie Remote-RDP-Dienste für die Repository-Server.
- Verwenden Sie Veeam-Verschlüsselung beim Speichern von Backups auf dem Repository.
Best Practices für die Härtung von Veeam Backup Repositories auf Basis von Linux sind:
- K.I.S.S.-Design – Keep It Simple and Straightforward.
- Stellen Sie sicher, dass die Server physisch gesichert sind.
- Erstellen Sie ein dediziertes Repository-Konto für Veeam, das auf den Ordner zugreifen kann, in dem Sie die Backups speichern.
- Setzen Sie die Berechtigungen für das Repository-Verzeichnis nur auf dieses Konto.
- Sie benötigen keine Root-Rechte, um ein Veeam Linux Repository zu verwenden.
- Verwenden Sie auch kein SUDO.
- Ändern Sie die Firewall, mit dedizierten Regeln für Veeam, um den Zugriff auf bestimmte Ports zu erlauben.
- Verwenden Sie die Veeam-Verschlüsselung beim Speichern von Backups auf dem Repository.
Einsatz von 3-Party Software
Blocky for Veeam® – Your Last Line of Defense
Immer wieder kommt es vor, dass Schadsoftware die generischen Schutzprogramme überwindet. In diesem Fall bildet Blocky for Veeam® die letzte und sicherste Verteidigungslinie vor Ihren Daten, an der die Schadsoftware abprallt. Denn Blocky ist speziell auf den Schutz von Veeam Backups zugeschnitten und kann so gezielter arbeiten als generische Schutzsoftware.
Zusätzlich bietet es eine einfache Konfiguration und kommt mit minimalem Administrations-Overhead aus. Da das Backup ein zentraler Bereich im Ransomware-Schutz von Unternehmen ist und neuere Cyber-Angriffe meist auf die Zerstörung der Backup-Daten abzielen, wird der Schutz dieser Backup-Daten immer wichtiger.
Mit Blocky for Veeam® als letzte Verteidigungslinie bleiben Ihre Daten jederzeit sicher geschützt.
