Frage zu NetApp - Ransomwareschutz

Doch beantwortet es. Die Verschlüsselung des LUNs dauert keine Sekunde oder die Malware löscht das LUN.

Gucke dir die prominenten aktuellen Opfer an und warum deren "Schutz" den Namen nicht wert war.

Malware ist im Schnitt über Monate bereits um Haus, bevor sie zuschlägt und fast niemand hat die Blöcke oder Dateien vom Frühjahr warm zur Hand.

Wenn ein Snapshot erstellt wird, dann landen alle Änderungen ab Erstellung im Snapshot. Den kann man dann verwerfen... das schützt aber nur gegen eine Fileshare-Verschlüsselung oder iSCSI Volume Verschlüsselung... aber nicht dagegen wenn die Netapp selber angegriffen wird.

und wer googelt, der findet - es gibt durchaus Zeroday Exploits auf aktuelle Netapp OS Versionen. Es ist besser, man baut ein Riverbed dazuwischen und läßt den Riverbed die Daten auf ein Zweitstorage replizieren, der z.B. von einem anderne Hersteller ist oder nur ein AWS deep archive als Datenhalde.

Eine File-Encryption per Storage abzusichern ist etwas grob. Hat ja nicht jeder Client oder jedes Büro sein eigenes Lun.

Ich kann dir die Netapp Kompakt Webinare empfehlen, hat mir einige Fragen beantwortet:

https://www.netapp.com/de/kompakt/

Schutz gegen Ransomware kann nicht mit einer intelligenten Erkennung erzeugt werden, da die Viruserzeuger auch nicht schlafen und ihre Methoden ändern. Auch Zero Day usw, da gibt es kaum Schutz.

Deswegen ist die einzig sicherste Methode einfach viele Backups zu machen. Tägliche Backups in der Nacht sowieso, während der Arbeitszeit dann stündliche Snapshots. Welches Storage System die Snapshots macht, ist dann nicht mehr so wichtig, ein NAS, ein SAN, iSCSI, ein Windows Server, ein Linux Server, egal, Hauptsache ist, dass dieses Storage nicht in der gleichen Domäne angemeldet ist und automatisch mit kompromittiert ist, wenn ein Virus erfolgreich einen Client in der Domäne erreicht hat.

Hi

ich setze auch mehrere Netapps ein und und stelle seit kurzem auf die neue Lizenz (Ontap One) um bei der der besagte Ransomware-Protection dabei ist.
Bisher nutzen wir dazu Cleondris. Keine Raketenwissenschaft und IMHO auch eher dazu gut die Änderungen zu loggen.
Der Schutz beschränkt sich ja im wesentlichen auf erkennen der bekannten Dateiendungen. Erkennt das System solche wird der User gesperrt und ein Snapshot gemacht.
Das Ding produziert also so lange false positives bis man quasi alles in der Ausnahme hat oder die threshholds so hoch geschraubt hat, das es effektiv nichts mehr bringt.

Das jetzt beinhaltete System macht das etwas (hoffentlich) intelligenter indem es den normalen Workload analysiert und Abweichungen erfasst. Ob das am Ende wirklich was bringt ist fraglich, aber es ist zumindest mal eine mögliche Schadensreduzierung durch das erstellen der Snapshots. Und da es in der Lizenz drin ist, warum nicht...

Da oben ja einige von LUNs etc sprechen: Das ganze ist eh nur für NFS und SMB/CIFS


Was allerdings viel Sinnvoller ist für den Fall der Fälle. ist die Netapp Nearstore Funktion.
Das ist einfach eine weitere Netapp mit viel Platz und auf die repliziert man alle seine Netapps (Snapshots). Das geht auch inkl. der ganzen Netzwerkkonfig der vServer .
Im Falle eines Angriffs muss man die Server für die Versicherung ja eh erst mal einfrieren für die Forensik. Heisst, die eigentlichen Prod Systeme stehen erst mal nicht zur Verfügung.
Auf der Nearstore hat man dann optimalerweise eine recht Lange Zeit die Snapshots aufbewahrt und kann weit zurück bis zu dem Zeitpunkt wo man keine Viren hatte. Dann läuft das alles einfach auf der Nearstore. Langsamer zwar, aber zumindest ist man halbwegs einsatzbereit.

SAN und LAN ist doch eine Stärke der NetApps. Deren SMB3 und NFS Performance ist nennenswert.

Ich persönlich finde die NetApps zu teuer in der Anschaffung und Unterhaltung.

Bezüglich des Ramsomeware "Schutz" hast du den Zaunpfahlwink verstanden vom Seastorm? Der Schutz soll auf Ebene der Applikationen auf hören Protokollen was reißen. Daher viel Glück.

Ich hoffe ja in der Praxis nein
Man kann hier selbst ja nur Labor-Tests machen und schauen ob das System anschlägt. Ein Angreifer weiss aber selbst das ein solches System bei Netapps vorhanden ist und wird da im Zweifelsfall einen Weg drum rum finden.
Verschwende da also nicht so viel Zeit und vor allem Hoffnung darauf.

Genau das

Im falle das ihr eine Cyberversicherung habt hat die Leitung da nichts mitzureden. Das bestimmt dann die Versicherung, sonst gibts keinen Cent von denen.
Deshalb ist eine Nearstore ja so interessant.
1. sind da alle Daten noch mal vorhanden,
2. kann man die Nearstore für den weiterbetrieb nutzen ohne das Prod-System zu benötigen.

Tipp: Erzähl nichts von den technischen Risiken. Verstehen die nicht. Frag ganz einfach: Wie viel Umsatz machen wir am Tag. - OK, und geschätzt brauchen wir nach einem Cyberangriff [7-14] Tage um wieder EINGESCHRÄNKT BETRIEBSBEREIT zu sein. So lange steht die Butze.
Daran kann die GL dann das Budget festmachen

Unsere VMs laufen per NFS und die Fileshares auf den Netapp CIFS Servern.
Einzigstes Problem das ich damit habe ist ein spezielles verhalten von Netapp beim verschieben von Daten innerhalb eines Volumens. Da werden die Berechtigungen 1:1 mit verschoben und machen damit ggf die Berechtigungsstrukturen kaputt. Unter einem Windows Server kann man das so verändern das die Berechtigungen nicht mitgenommen werden, sondern anhand des Zielorndners geerbt werden. Das geht bei Netapps nicht. Ist aber kein Showstopper.
Ja. Man muss aber entweder wissen was man tut oder ein kompetentes Systemhaus an der Hand haben. Die Dinger sind nichts für Gelegenheits-Admins