Infrastruttura per ransomware

[CiccioBO]

Ciao a tutti,
ho ereditato un cliente da un concorrente che ha preso un ransomware su un server windows ed ovviamente ha perso vari dati perchè dal server è riuscito ad infettare 3 nas con i backup perchè le cartelle erano esposte con samba.

Per evitare un attacco futuro vi descrivo la loro struttura IT e quello che vorrei fare.

- PC client tutti windows 7, 8, 10
- 1 server VMWARE con all'interno una macchina virtuale Unix dove gira l'ERP
- 1 server Windows Server 2012 che ha il compito di fare il backup della macchina virtuale Unix, raccogliere i backup dei client (in ogni client, allo shutdown, parte una sincronizzazione verso il server Windows), eseguire i backup delle varie cartelle sui NAS.

Non con sicurezza certa, ma il server VMWARE e VM Unix non sono attaccabili, o meglio, VMWare forse si essendo Linux (se non erro!!).

Il server Windows, beh, è Windows...quindi decisamente attaccabile. Quello che pensavo di fare è questo:

- Windows continua ad eseguire il backup di Unix, raccogliere i backup dei client ed eseguire le copie sui nas non più passando dalla rete (disabiliterò samba sui nas) ma tramite ftp come connessione ai nas.
Aggiungerò un RDX per effettuare le stesse copie anche su supporto removibile, che saranno 5 cassette per ogni giorno della settimana (fortunatamente non arriviamo ad 1TB di dati in totale).
Come software di sincronizzazione (sia sui client verso srv windows, sia da srv windows verso i nas) viene utilizzato SynckBackPRO impostato con copia speculare dell'origine sulla destinazione ma non è possibile gestire backup "per giorni" perchè è sempre una copia 1 a 1 (come se fosse Google Drive), in merito avete qualche suggerimento?

Un alternativa a tutto, sarebbe quella di installare VMWARE anche sul server dove c'è installato windows così da poter creare una macchina virtuale Windows 2012 per fare quello che fa adesso, più una macchina virtuale Linux nella quale mettere l'immagine del sistema operativo Windows utilizzando, ad esempio Acronis TrueImage.

So che sono stato sicuramente molto prolisso, ma visto che questa azienda ha cambiato fornitore proprio per un ransomware (arrivato da una pec) non vorrei fare la stessa fine...

grazie a tutti!!!

[!fazz]

Secondo me parti da un presupposto sbagliato, non esistono sistemi operativi attaccabili (perchè windows) o inattaccabili (perchè *nix) un ransomware è indipendente dalla tipologia di server che usi perchè un client infetto modifica i file sul server in cartelle dove ha l'accesso e per il server è un'operazione lecita

secondo me stai tirando su un architettura inutilmente complicata, imho ti basta una soluzione molto più semplice dove non si usa smb per i backup ma altri protocolli (ftp ad esempio) e in cui le credenziali di accesso siano salvate nel sw di backup

quindi sui nas di backup disabiliti tutti i protocolli tranne ftp e procedi da li

ps per i backup farei una soluzione con bakup completo + n incrementali o differenziali e per le unità rimuovibili puoi sempre usare la tecnica nonno padre figlio

[CiccioBO]

Quote:

ti basta una soluzione molto più semplice dove non si usa smb per i backup ma altri protocolli (ftp ad esempio)

Questo l'ho scritto nel messaggio, disabiliterò smb sui nas e passerò tramite ftp

Quote:

ps per i backup farei una soluzione con bakup completo + n incrementali o differenziali e per le unità rimuovibili puoi sempre usare la tecnica nonno padre figlio

Non so perchè (forse per esperienze sfortunate anni fa) sono sempre un po' scettico sull'uso dei backup incrementali/differenziali. se per un qualche motivo uno dei file incrementali si rovina...backup perso...(successo 5/6 anni fa).
Avendo a disposizione 2 nas ed una mole di dati relativamente piccola (non arrivo a 1 TB) pensavo di eseguire su un nas tramite SynckBack la sincronizzazione dei dati "in chiaro", mentre su un altro nas eseguire il backup della macchina virtuale Unix e l'immagine del server windows (ad esempio con Acronis True Image)...potrebbe essere una struttura valida?

Grazie mille

[no_side_fx]

Quote:

Originariamente inviato da CiccioBO

Non so perchè (forse per esperienze sfortunate anni fa) sono sempre un po' scettico sull'uso dei backup incrementali/differenziali. se per un qualche motivo uno dei file incrementali si rovina...backup perso...(successo 5/6 anni fa).
Avendo a disposizione 2 nas ed una mole di dati relativamente piccola (non arrivo a 1 TB) pensavo di eseguire su un nas tramite SynckBack la sincronizzazione dei dati "in chiaro", mentre su un altro nas eseguire il backup della macchina virtuale Unix e l'immagine del server windows (ad esempio con Acronis True Image)...potrebbe essere una struttura valida?

io terrei i backup incrementali/differenziali sulle nas configurate in mirror, in questo modo avresti due copie degli stessi backup, uno si può rovinare ma l'altro in linea di massima si salva, meglio ancora se una delle due nas si trova in un posto differente
per il discorso ransomware la migliore soluzione è il buonsenso e avere so e antivirus sempre aggiornati, per il resto non esiste la soluzione infallibile