iT邦幫忙

6

根據鴻海被駭事件反思,備份主機以防駭客思維是否已經不足

根據新聞,駭客偷取了大約100GB的未加密資料,還刪除約20TB到30TB的備份資料

新聞來源:鴻海北美廠遭駭客病毒勒索

根據上述新聞
可以了解駭客思維並非單線思考攻擊
同時進行了避免復原資料的可能
做為網管工作者自身並不了解全部網路的內容
但是駭客可以用同樣的工具如SNMP,SFlow,NetFlow
得知網路資料大量集中的流向
在取得一定網域控制權後
除了盜取資料,發佈控制元件外
對於這些主機直接做低階格式摧毀即可

因為各企業佈建的思維都是一致
大量購買備份備援機制
以避免被勒索綁架後無法復原
但是卻容易正中駭客思維
徹底摧毀企業重建資料的可能才有收到贖金的機會

細思極恐
請問各位網管及資安先進
目前有沒有更好的辦法避免禍害發生

----- 12/11 更新 ------

根據資安事件的事後分析
駭客從入侵到掌握控制權限發動綁架
平均大約3-6個月,有時候甚至高達3年

在這樣的情況之下,根據前述的網管流量分析
任何的網路連線備份主機位置都會被尋獲
駭客如因加密不能解讀其資料
只要copy帶走後,摧毀資料儲存就好
越是加密越是顯示該資料重要
而雲端儲存已被證實會一樣被綁架

小弟目前的解決辦法仍然也是備份
但看起來除了離線且異地儲存可能有點效果之外
只要會有網路連線,威脅性都大受挑戰
因為內部網路安全似乎都難以防護
尤其前幾天國際資安界又出大事,更是令人氣餒
全球最大安全軟體公司之一FireEye被駭

感謝各位先進及前輩提供的各項意見
請問只能用"備份"這個挽救方案嗎?
有沒有什麼更好的預防或阻擋威脅的方法呢?

----- 12/15 更新 ------

感謝各位前輩的賜教,收益良多
但是有點小小的遺憾,就是大家多數還是在備份上著墨
小弟就在標題寫到認為備份是不足夠的說...
只有Jason Cheng (節省哥)大大有提到防護AD被攻破的方法
在他的簡報中GrayLog或許能起到一些作用
但建置似乎並不容易...
最佳解答就先給他好了

小弟覺得自己對網路的活動狀況實在太不了解
天下武功,唯快不破
看看我們跟駭客誰能先發現誰吧!

再次感謝各位大大、前輩!

備份,備份,再備份,不要備在同一台機器上
反思反思,要執行先看預算,看公司今年的財報,別說公司今年都虧錢了
你還提一個鴻海級的資安方案讓公司一定要買帳
這是不可能的,但參考別人的經驗,用現有的環境做最好的安排跟管理
這也是IT人員最重要的責任
sd3388 iT邦新手 5 級 ‧ 2020-12-11 10:49:28 檢舉
感謝大大提供的建議,有很好的參考價值。
4
最佳解答

嚇.. 被 cue 到了,分享一下上個月的簡報,第一個連結是導讀,第二個連結是完整簡報:


這裡面有分享我所使用到保護虛擬機備份檔的兩種架構,全都是使用開源軟體。一種是 Local Storage,一種是 Share Storage,看看有沒有能幫上忙的:

https://ithelp.ithome.com.tw/upload/images/20201211/201188481a4T7veKto.jpg

https://ithelp.ithome.com.tw/upload/images/20201211/20118848GLxtzuEk7j.jpg

至於檔案伺服器,不管是開源的 TrueNAS CORE (FreeNAS) 或是 Windows Server,都可以搭配前端架設一台 Nextcloud 做為存取隔離,大大增加安全性:

https://ithelp.ithome.com.tw/upload/images/20201211/20118848JmaYtC7hKL.jpg

看更多先前的回應...收起先前的回應...
kigg1234 iT邦新手 5 級 ‧ 2020-12-12 00:11:26 檢舉

想請教有開源的防火牆嗎?

raytracy iT邦大神 1 級 ‧ 2020-12-12 07:38:50 檢舉

pfSens, OPNSens, NGFirewall, Endian...
https://geekflare.com/best-open-source-firewall/

雷伊 iT邦好手 1 級 ‧ 2020-12-15 10:39:23 檢舉

不愧為節省哥,您光幫公司省的錢都快追上業務在前線賺的錢,不過在開源下去有考慮到SI公司的感受嗎?-_-" 我就沒有!

sd3388 iT邦新手 5 級 ‧ 2020-12-15 17:26:13 檢舉

感謝大大提供的建議,有很好的參考價值。

4

備份的思維還是可以防駭客的。
重點在於怎麼備份而已。

如果只是主機接上備份機,其主機還是可以操作備份機。
那這樣的備份可以等同沒啥作用。只是備份心酸的。

最好的備份是最好能做到他端操作處理。而非正式主機操作處理。
或是做到分離線處理。及一些外部証書操作的處理。

不過大數據也不能常這樣搞。
我比較常看到的是 正式主機-備份主機。這是為了方便操作。
但還會再多一層 備份主機a-備份主機b。

備份主機b採用的是被動連線式。平常是不跟a連結的。

之前在某間機房的備份。更是覺得好。
他們採用的的是熱拔插硬碟。
會固定一段時間更換抽離。
怎麼的我不太清楚。他們有一個流程,但當時並沒讓我去了解。
其目的就是為了將資料離線。且又不需要停機備份。

拔插都要去記錄時間點,從哪邊分離。接入哪一顆等等...。

sd3388 iT邦新手 5 級 ‧ 2020-12-11 10:49:40 檢舉

感謝大大提供的建議,有很好的參考價值。

kylen iT邦新手 4 級 ‧ 2020-12-17 08:46:05 檢舉

謝謝,又學到東西,順便請問一下,提到的備份主機b採用的是被動連線式。平常是不跟a連結的。這個可以舉例一下嗎??
想說更好懂些

用比較簡單的說法,就是由b去跟a連結。備份完後再b自行斷線。
確保不能由a連結到b。而且a與b之間只能用內網連接。
也就是b無法對外控制。

5
雷伊
iT邦好手 1 級 ‧ 2020-12-10 15:29:32

新人類備份的奧義:
共用資料夾不能備份到備份資料夾。(有權限的網路資料夾或網路磁碟機全部都會被感染)
而是要備份資料夾跟主要公用資料夾要資料。(異機備分)
備份區<=單向備份<=公用資料夾。(千萬別同步)
差別是主要公用資料夾沒有備份資料夾的權限,被感染時備份區資料還留一份。
(這時備份資料夾仍然會索要被感染的檔案,但不會覆蓋正常的資料)
PS:備份區不要開放任何共用資料夾權限。
PS:綁架勒贖病毒會清空陰影複製,所以別妄想用陰影複製當備份。
備份軟體可搜尋 Jason Cheng (節省哥) 的文章,章章精妙。

異機備份:(或雲端備份)
一樣是單向將備份區資料上傳至雲端。

無限備份之術:
利用各種手段如磁帶機、外接式硬碟、NAS、架設VM把虛擬主機多的空間拿來備份(備份完關閉網路),前提是老闆願意花錢。

公司內部仍有XP、Win7的舊系統的朋友,我先幫你們QQ一下,我保證必中想哭!

snk iT邦新手 5 級 ‧ 2020-12-10 16:36:59 檢舉

XP可以再戰10年 !

雷伊 iT邦好手 1 級 ‧ 2020-12-10 17:09:22 檢舉

snk
某駭客:XP不用驗證可以直接RDP你的電腦看謎片。
結果發現都是騎兵,火大把謎片全加密連碼都不用碼。

sd3388 iT邦新手 5 級 ‧ 2020-12-11 10:49:54 檢舉

感謝大大提供的建議,有很好的參考價值。

0
richardsuma
iT邦大師 1 級 ‧ 2020-12-10 19:05:29

要考慮的不只是備份問題,因為備份問題可以使用 WORM 的NAS解決。

重點是資料被竊,尤其是營業秘密資料,以及個人資料,你不願意付錢就
散佈你公司的資料,所以需要用到 eDiscovery 電子資料盤點系統,將
盤點出來的資料審核後,在下規則將屬於機密資料做加密的動作,即使
駭客竊取的資料也是加密過的資料,這才能保護公司機密資料,也能夠
了解哪一些人需要特別的保護。

再來除了防毒,還要有安全防護模組,應該採用白名單表列的方式,其他
一列阻攔動作,上線初期會遇到一些程式被攔下來,或是無法正常執行,
這一些程式都需要調校,但是可以確認電腦使用的程式都是經過驗證過的
程式,不是認為沒有病毒特徵的程式,兩個的差距是:一個用白名單,另
一個用黑名單,你認為那一個才能真正預防駭客攻擊?

sd3388 iT邦新手 5 級 ‧ 2020-12-11 10:50:18 檢舉

感謝大大提供的建議。

0

只怕病毒都是人給帶進去的,所以除了以上先進的看法外,員工的資安紀律也是要跟上的。
說實話,沒有定期 Update 的電腦也一樣有風險 (即便 WIN10 也是)…
尤其是那些讓員工出國/出差用的 NB,回來後最好先掃一掃、清一清,然後才讓連公司內網。
PS - USB 碟亦然,你我很方便、駭客更方便…

sd3388 iT邦新手 5 級 ‧ 2020-12-11 10:50:30 檢舉

感謝大大提供的建議。

0
royhutw
iT邦新手 5 級 ‧ 2020-12-13 14:49:07

有完善的備份機制至少有機會救回資料,維持營運,推薦樓主看一下:Veeam Backup & Replication Best Practices
但若是想要防止被針對性的竊取資料,個人認為這點實在是太困難,就連FireEye都被入侵了。公司愈大愈容易招來歹徒。

sd3388 iT邦新手 5 級 ‧ 2020-12-15 17:27:04 檢舉

感謝大大提供的建議。

我要發表回答

立即登入回答