DOMANDA Infrastruttura per ransomware

[CiccioBO]

Ciao a tutti,
ho ereditato un cliente da un concorrente che ha preso un ransomware su un server windows ed ovviamente ha perso vari dati perchè dal server è riuscito ad infettare 3 nas con i backup perchè le cartelle erano esposte con samba.

Per evitare un attacco futuro vi descrivo la loro struttura IT e quello che vorrei fare.

- PC client tutti windows 7, 8, 10
- 1 server VMWARE con all'interno una macchina virtuale Unix dove gira l'ERP
- 1 server Windows Server 2012 che ha il compito di fare il backup della macchina virtuale Unix, raccogliere i backup dei client (in ogni client, allo shutdown, parte una sincronizzazione verso il server Windows), eseguire i backup delle varie cartelle sui NAS.

Non con sicurezza certa, ma il server VMWARE e VM Unix non sono attaccabili, o meglio, VMWare forse si essendo Linux (se non erro!!).

Il server Windows, beh, è Windows...quindi decisamente attaccabile. Quello che pensavo di fare è questo:

- Windows continua ad eseguire il backup di Unix, raccogliere i backup dei client ed eseguire le copie sui nas non più passando dalla rete (disabiliterò samba sui nas) ma tramite ftp come connessione ai nas.
Aggiungerò un RDX per effettuare le stesse copie anche su supporto removibile, che saranno 5 cassette per ogni giorno della settimana (fortunatamente non arriviamo ad 1TB di dati in totale).
Come software di sincronizzazione (sia sui client verso srv windows, sia da srv windows verso i nas) viene utilizzato SynckBackPRO impostato con copia speculare dell'origine sulla destinazione ma non è possibile gestire backup "per giorni" perchè è sempre una copia 1 a 1 (come se fosse Google Drive), in merito avete qualche suggerimento?

Un alternativa a tutto, sarebbe quella di installare VMWARE anche sul server dove c'è installato windows così da poter creare una macchina virtuale Windows 2012 per fare quello che fa adesso, più una macchina virtuale Linux nella quale mettere l'immagine del sistema operativo Windows utilizzando, ad esempio Acronis TrueImage.

So che sono stato sicuramente molto prolisso, ma visto che questa azienda ha cambiato fornitore proprio per un ransomware (arrivato da una pec) non vorrei fare la stessa fine...

grazie a tutti!!!

 

[Ibernato]

Ciao a tutti,
ho ereditato un cliente da un concorrente che ha preso un ransomware su un server windows ed ovviamente ha perso vari dati perchè dal server è riuscito ad infettare 3 nas con i backup perchè le cartelle erano esposte con samba.

Per evitare un attacco futuro vi descrivo la loro struttura IT e quello che vorrei fare.

- PC client tutti windows 7, 8, 10
- 1 server VMWARE con all'interno una macchina virtuale Unix dove gira l'ERP
- 1 server Windows Server 2012 che ha il compito di fare il backup della macchina virtuale Unix, raccogliere i backup dei client (in ogni client, allo shutdown, parte una sincronizzazione verso il server Windows), eseguire i backup delle varie cartelle sui NAS.

Non con sicurezza certa, ma il server VMWARE e VM Unix non sono attaccabili, o meglio, VMWare forse si essendo Linux (se non erro!!).

Il server Windows, beh, è Windows...quindi decisamente attaccabile. Quello che pensavo di fare è questo:

- Windows continua ad eseguire il backup di Unix, raccogliere i backup dei client ed eseguire le copie sui nas non più passando dalla rete (disabiliterò samba sui nas) ma tramite ftp come connessione ai nas.
Aggiungerò un RDX per effettuare le stesse copie anche su supporto removibile, che saranno 5 cassette per ogni giorno della settimana (fortunatamente non arriviamo ad 1TB di dati in totale).
Come software di sincronizzazione (sia sui client verso srv windows, sia da srv windows verso i nas) viene utilizzato SynckBackPRO impostato con copia speculare dell'origine sulla destinazione ma non è possibile gestire backup "per giorni" perchè è sempre una copia 1 a 1 (come se fosse Google Drive), in merito avete qualche suggerimento?

Un alternativa a tutto, sarebbe quella di installare VMWARE anche sul server dove c'è installato windows così da poter creare una macchina virtuale Windows 2012 per fare quello che fa adesso, più una macchina virtuale Linux nella quale mettere l'immagine del sistema operativo Windows utilizzando, ad esempio Acronis TrueImage.

So che sono stato sicuramente molto prolisso, ma visto che questa azienda ha cambiato fornitore proprio per un ransomware (arrivato da una pec) non vorrei fare la stessa fine...

grazie a tutti!!!

Ciao,
è errato dire che una VM non è attaccabile. Anzi, se la VM è connessa in rete e condivide cartelle e compagnia, un malware può passare tranquillamente da una VM all'host.
La cosa utile delle VM sono le istantanee che ti permettono di ritornare allo stato precedente (è quello che facevo quando ho lavoro sul ransomware WannaCry).
Tra l'altro, in base al tipo di ransomware, potevi tentare di recuperare i file tramite un sito web che ti scopriva la chiave per decifrare.

Altro suggerimento, perchè non usate una macchina AWS?
Hai pensato di mettere i backup sul Cloud?

 

[CiccioBO]

è errato dire che una VM non è attaccabile. Anzi, se la VM è connessa in rete e condivide cartelle e compagnia, un malware può passare tranquillamente da una VM all'host.

Parlo del server VMWARE con VM Unix: il sistema Unix, per la sua gestione del filesystem, non è attaccabile e non condivide niente con il resto della lan. Gli utenti lavorano sull'erp tramite un emulatore che esegue una telnet. Per quanto riguarda l'host, quindi VMWare, alzo le mani, nel senso che sicuramente è più sicuro di un sistema Windows essendo basato su Linux.

Altro suggerimento, perchè non usate una macchina AWS?

Non mi sono mai documentato sulle macchine AWS e sinceramente non saprei da dove iniziare (qualche fonte da suggerire?).

Hai pensato di mettere i backup sul Cloud?

Ottimo quesito: nel caso specifico, sono un po' scoraggiato per la banda in upload (adsl fibra 30 mega down e 3 mega up) e non saprei a quale servizio cloud storage affidarmi, hai qualche consiglio in merito? Inoltre, metodo di caricamento dei dati? Quale scegliere?

Grazie mille!

 

[Ibernato]

Parlo del server VMWARE con VM Unix: il sistema Unix, per la sua gestione del filesystem, non è attaccabile e non condivide niente con il resto della lan. Gli utenti lavorano sull'erp tramite un emulatore che esegue una telnet. Per quanto riguarda l'host, quindi VMWare, alzo le mani, nel senso che sicuramente è più sicuro di un sistema Windows essendo basato su Linux.


Non mi sono mai documentato sulle macchine AWS e sinceramente non saprei da dove iniziare (qualche fonte da suggerire?).


Ottimo quesito: nel caso specifico, sono un po' scoraggiato per la banda in upload (adsl fibra 30 mega down e 3 mega up) e non saprei a quale servizio cloud storage affidarmi, hai qualche consiglio in merito? Inoltre, metodo di caricamento dei dati? Quale scegliere?

Grazie mille!

Per il servizio Cloud dipende dal budget, idem per le macchine AWS (costano in base all'uso).

Per la vm dicevo in generale e non per Unix. Conta che comunque esistono malware per Unix.

 

[r3dl4nce]

Prendi vSphere con licenza, veeam backup & replication con licenza, imposti un NAS come destinazione dei backup di veeam, importante condivisione del NAS protetta da username e password (non pubblica / accesso guest) e imposti nome e password della condivisione solo su veeam.
Imposti anche l'agent di veeam sui PC client così fai il backup anche di quelli nello stesso repository.
Poi con le funzioni del nas replichi la cartella dei backup su uno o più dischi usb da usare a rotazione.
Non usare gli RDX che sono una tecnologia morta

Ho varie installazioni così fatte e non ho mai perso una virgola, sia problemi dovuti a virus, guasti, errori umani ecc ho sempre tranquillamente recuperato dai backup, file singoli o intere macchine virtuali / PC fisici
Veeam è semplicemente lo standard de facto per il backup in ambiente vmware

 

[CiccioBO]

Per il servizio Cloud dipende dal budget, idem per le macchine AWS (costano in base all'uso).

Per la vm dicevo in generale e non per Unix. Conta che comunque esistono malware per Unix.

Indipendentemente dai costi, come servizio cloud a chi ti affideresti come qualità?

grazie!

Post unito automaticamente: 11 Luglio 2019

Prendi vSphere con licenza, veeam backup & replication con licenza, imposti un NAS come destinazione dei backup di veeam, importante condivisione del NAS protetta da username e password (non pubblica / accesso guest) e imposti nome e password della condivisione solo su veeam.
Imposti anche l'agent di veeam sui PC client così fai il backup anche di quelli nello stesso repository.
Poi con le funzioni del nas replichi la cartella dei backup su uno o più dischi usb da usare a rotazione.
Non usare gli RDX che sono una tecnologia morta

Ho varie installazioni così fatte e non ho mai perso una virgola, sia problemi dovuti a virus, guasti, errori umani ecc ho sempre tranquillamente recuperato dai backup, file singoli o intere macchine virtuali / PC fisici
Veeam è semplicemente lo standard de facto per il backup in ambiente vmware

vSPhere è già presente su 1 server (nel quale c'è la macchina virtuale Unix). Come backup della macchina virtuale utilizzo Iperius Backup. Il "problema" di come eseguire il backup è riferito al server fisico windows...
Per evitare di usare gli RDX al posto di far cambiare la cassetta dovrei far cambiare direttamente un disco usb esterno in pratica...

Grazie!

 

[r3dl4nce]

Se ci sono dati personali, devi andare su servizi cloud europei che siano GDPR compliant