coreknabe
Goto Top

Frage zu NetApp - Ransomwareschutz

Moin,

da demnächst unser Leasing für die alten Speichersysteme ausläuft und der Funktionsumfang recht spärlich ist, die Konfigurationsoberfläche dazu aus der Hölle der späten 90er stammt, sehen wir uns nach einem neuen Storage um. Sehr interessant finde ich die Netapp AF-Systeme.

Meine Frage, bei aktuellen Ontap-Versionen kann ein Ransomwareschutz eingesetzt werden, der einen Snapshot bei Auffälligkeiten hinsichtlich Ransomware erzeugt. Funktioniert das ausreichend schnell, wenn die Verschlüsselung schon läuft? Macht das überhaupt Sinn, wenn ich davon ausgehe, dass in meinem System bereits eine Zeitbombe tickt, die zu einem bestimmten Zeitpunkt hochgeht?

Hat da jemand von Euch Erfahrung und kann näheres berichten? Bitte keine "Ich habe Netapp nicht im Einsatz, aber auf deren Internetseite steht das und das."-Antworten, geht mir rein um praktische Erfahrungen.

Gruß

Content-Key: 73444357304

Url: https://administrator.de/contentid/73444357304

Printed on: June 24, 2024 at 10:06 o'clock

Mitglied: 8585324113
8585324113 Sep 21, 2023 at 07:55:04 (UTC)
Goto Top
Moderne Malware wird deine NetApp gezielt angreifen.

Die NetApp wird das Prinzip nicht abstellen.

Du brauchst Immutable Back neudeutsch und das aufnehmende System sollte nur über das Blocklevel arbeiten und von der Quelle gar nichts wissen, außer die Blöcke lesen können und sie dann WORMen können.
Member: Coreknabe
Coreknabe Sep 21, 2023 at 07:58:21 (UTC)
Goto Top
Das beantwortet meine Frage nicht, trotzdem danke.

Gruß
Mitglied: 8585324113
8585324113 Sep 21, 2023 updated at 08:07:49 (UTC)
Goto Top
Doch beantwortet es. Die Verschlüsselung des LUNs dauert keine Sekunde oder die Malware löscht das LUN.

Gucke dir die prominenten aktuellen Opfer an und warum deren "Schutz" den Namen nicht wert war.

Malware ist im Schnitt über Monate bereits um Haus, bevor sie zuschlägt und fast niemand hat die Blöcke oder Dateien vom Frühjahr warm zur Hand.
Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Sep 21, 2023 updated at 08:06:35 (UTC)
Goto Top
Wenn ein Snapshot erstellt wird, dann landen alle Änderungen ab Erstellung im Snapshot. Den kann man dann verwerfen... das schützt aber nur gegen eine Fileshare-Verschlüsselung oder iSCSI Volume Verschlüsselung... aber nicht dagegen wenn die Netapp selber angegriffen wird.

und wer googelt, der findet - es gibt durchaus Zeroday Exploits auf aktuelle Netapp OS Versionen. Es ist besser, man baut ein Riverbed dazuwischen und läßt den Riverbed die Daten auf ein Zweitstorage replizieren, der z.B. von einem anderne Hersteller ist oder nur ein AWS deep archive als Datenhalde.
Member: Coreknabe
Coreknabe Sep 21, 2023 at 08:06:18 (UTC)
Goto Top
Es geht überhaupt nicht darum, ob die NetApp der einzige Schutz ist, ist sie natürlich nicht. Es KÖNNTE aber dann hilfreich sein, wenn die Verschlüsselung nach einem ungeschickten Klick auf einen Mail-Link gestartet wird.

Also bitte keine Diskussion über die NetApp als einzigem Schutz, davon ist keine Rede. Es geht mir um die technische Umsetzung in diesem speziellen Fall.

Gruß
Member: Coreknabe
Coreknabe Sep 21, 2023 at 08:08:59 (UTC)
Goto Top
@GrueneSosseMitSpeck
Danke Dir, das ist durchaus ein Aspekt. Habt Ihr selbst NetApp-Erfahrungen? Gerade auch, was den Support und das Stopfen von Sicherheitslücken angeht?

Gruß
Mitglied: 8585324113
8585324113 Sep 21, 2023 at 08:09:09 (UTC)
Goto Top
Eine File-Encryption per Storage abzusichern ist etwas grob. Hat ja nicht jeder Client oder jedes Büro sein eigenes Lun.
Member: nichtidentisch
nichtidentisch Sep 21, 2023 at 08:16:02 (UTC)
Goto Top
Ich kann dir die Netapp Kompakt Webinare empfehlen, hat mir einige Fragen beantwortet:

https://www.netapp.com/de/kompakt/
Member: NordicMike
NordicMike Sep 21, 2023 at 08:20:52 (UTC)
Goto Top
Schutz gegen Ransomware kann nicht mit einer intelligenten Erkennung erzeugt werden, da die Viruserzeuger auch nicht schlafen und ihre Methoden ändern. Auch Zero Day usw, da gibt es kaum Schutz.

Deswegen ist die einzig sicherste Methode einfach viele Backups zu machen. Tägliche Backups in der Nacht sowieso, während der Arbeitszeit dann stündliche Snapshots. Welches Storage System die Snapshots macht, ist dann nicht mehr so wichtig, ein NAS, ein SAN, iSCSI, ein Windows Server, ein Linux Server, egal, Hauptsache ist, dass dieses Storage nicht in der gleichen Domäne angemeldet ist und automatisch mit kompromittiert ist, wenn ein Virus erfolgreich einen Client in der Domäne erreicht hat.
Member: Coreknabe
Coreknabe Sep 21, 2023 at 08:47:41 (UTC)
Goto Top
@nichtidentisch
Danke für den Tipp!

Gruß
Member: SeaStorm
Solution SeaStorm Sep 21, 2023 updated at 22:05:08 (UTC)
Goto Top
Hi

ich setze auch mehrere Netapps ein und und stelle seit kurzem auf die neue Lizenz (Ontap One) um bei der der besagte Ransomware-Protection dabei ist.
Bisher nutzen wir dazu Cleondris. Keine Raketenwissenschaft und IMHO auch eher dazu gut die Änderungen zu loggen.
Der Schutz beschränkt sich ja im wesentlichen auf erkennen der bekannten Dateiendungen. Erkennt das System solche wird der User gesperrt und ein Snapshot gemacht.
Das Ding produziert also so lange false positives bis man quasi alles in der Ausnahme hat oder die threshholds so hoch geschraubt hat, das es effektiv nichts mehr bringt.

Das jetzt beinhaltete System macht das etwas (hoffentlich) intelligenter indem es den normalen Workload analysiert und Abweichungen erfasst. Ob das am Ende wirklich was bringt ist fraglich, aber es ist zumindest mal eine mögliche Schadensreduzierung durch das erstellen der Snapshots. Und da es in der Lizenz drin ist, warum nicht...

Da oben ja einige von LUNs etc sprechen: Das ganze ist eh nur für NFS und SMB/CIFS


Was allerdings viel Sinnvoller ist für den Fall der Fälle. ist die Netapp Nearstore Funktion.
Das ist einfach eine weitere Netapp mit viel Platz und auf die repliziert man alle seine Netapps (Snapshots). Das geht auch inkl. der ganzen Netzwerkkonfig der vServer .
Im Falle eines Angriffs muss man die Server für die Versicherung ja eh erst mal einfrieren für die Forensik. Heisst, die eigentlichen Prod Systeme stehen erst mal nicht zur Verfügung.
Auf der Nearstore hat man dann optimalerweise eine recht Lange Zeit die Snapshots aufbewahrt und kann weit zurück bis zu dem Zeitpunkt wo man keine Viren hatte. Dann läuft das alles einfach auf der Nearstore. Langsamer zwar, aber zumindest ist man halbwegs einsatzbereit.
Member: Coreknabe
Coreknabe Sep 22, 2023 at 07:46:33 (UTC)
Goto Top
Moin @SeaStorm,

danke für Deinen Beitrag, auf genau sowas habe ich gehofft face-smile

Heißt, Ihr werdet dann auch die NetApp-Ransomware Protection testen? Bin sehr an Ergebnissen interessiert.
Ich habe noch bis Ende nächsten Jahres Zeit, muss mich aber jetzt an die Budgetplanung für 2024 kümmern. Innerlich habe ich mich eigentlich schon auf NetApp festgelegt, an der mehr oder weniger sinnvollen Ransomware Protection mache ich das jetzt nicht fest, ist halt ne weitere Verteidigungslinie, so man denn davon sprechen kann.

Guter Punkt mit der Forensik, fraglich allerdings, ob ich einen kompletten Systemstillstand bei unserer Leitung durchsetzen kann, da ist NULL Affinität zur IT und zur Sicherheit schon gar nicht. Habe ich schon öfter gemacht, dass ich über Gefahren und Risiken nachweislich die Leitung informiere, um mich abzusichern. Wenn die dann der Meinung sind, es muss unbedingt weiterlaufe, bitte, gern. Da habe ich dann aber nix mit zu tun.

Ich würde die NetApp für SAN (VMs) und NAS (Fileshares) einsetzen, Ich weiß, Best Practice ist das nicht, bin aber bislang gut damit gefahren.

Sonst seid Ihr mit den NetApps zufrieden?

Gruß
Mitglied: 8585324113
8585324113 Sep 22, 2023 at 07:53:02 (UTC)
Goto Top
Zitat von @Coreknabe:

Moin @SeaStorm,

danke für Deinen Beitrag, auf genau sowas habe ich gehofft face-smile


Ich würde die NetApp für SAN (VMs) und NAS (Fileshares) einsetzen, Ich weiß, Best Practice ist das nicht, bin aber bislang gut damit gefahren.

Sonst seid Ihr mit den NetApps zufrieden?

Gruß

SAN und LAN ist doch eine Stärke der NetApps. Deren SMB3 und NFS Performance ist nennenswert.

Ich persönlich finde die NetApps zu teuer in der Anschaffung und Unterhaltung.

Bezüglich des Ramsomeware "Schutz" hast du den Zaunpfahlwink verstanden vom Seastorm? Der Schutz soll auf Ebene der Applikationen auf hören Protokollen was reißen. Daher viel Glück.
Member: SeaStorm
SeaStorm Sep 22, 2023 at 15:26:22 (UTC)
Goto Top
Heißt, Ihr werdet dann auch die NetApp-Ransomware Protection testen?
Ich hoffe ja in der Praxis nein face-smile
Man kann hier selbst ja nur Labor-Tests machen und schauen ob das System anschlägt. Ein Angreifer weiss aber selbst das ein solches System bei Netapps vorhanden ist und wird da im Zweifelsfall einen Weg drum rum finden.
Verschwende da also nicht so viel Zeit und vor allem Hoffnung darauf.

ist halt ne weitere Verteidigungslinie, so man denn davon sprechen kann.
Genau das

Guter Punkt mit der Forensik, fraglich allerdings, ob ich einen kompletten Systemstillstand bei unserer Leitung durchsetzen kann,
Im falle das ihr eine Cyberversicherung habt hat die Leitung da nichts mitzureden. Das bestimmt dann die Versicherung, sonst gibts keinen Cent von denen.
Deshalb ist eine Nearstore ja so interessant.
1. sind da alle Daten noch mal vorhanden,
2. kann man die Nearstore für den weiterbetrieb nutzen ohne das Prod-System zu benötigen.

ist NULL Affinität zur IT und zur Sicherheit schon gar nicht. Habe ich schon öfter gemacht, dass ich über Gefahren und Risiken nachweislich die Leitung informiere, um mich abzusichern. Wenn die dann der Meinung sind, es muss unbedingt weiterlaufe, bitte, gern. Da habe ich dann aber nix mit zu tun.
Tipp: Erzähl nichts von den technischen Risiken. Verstehen die nicht. Frag ganz einfach: Wie viel Umsatz machen wir am Tag. - OK, und geschätzt brauchen wir nach einem Cyberangriff [7-14] Tage um wieder EINGESCHRÄNKT BETRIEBSBEREIT zu sein. So lange steht die Butze.
Daran kann die GL dann das Budget festmachen

Ich würde die NetApp für SAN (VMs) und NAS (Fileshares) einsetzen, Ich weiß, Best Practice ist das nicht, bin aber bislang gut damit gefahren.
Unsere VMs laufen per NFS und die Fileshares auf den Netapp CIFS Servern.
Einzigstes Problem das ich damit habe ist ein spezielles verhalten von Netapp beim verschieben von Daten innerhalb eines Volumens. Da werden die Berechtigungen 1:1 mit verschoben und machen damit ggf die Berechtigungsstrukturen kaputt. Unter einem Windows Server kann man das so verändern das die Berechtigungen nicht mitgenommen werden, sondern anhand des Zielorndners geerbt werden. Das geht bei Netapps nicht. Ist aber kein Showstopper.
Sonst seid Ihr mit den NetApps zufrieden?
Ja. Man muss aber entweder wissen was man tut oder ein kompetentes Systemhaus an der Hand haben. Die Dinger sind nichts für Gelegenheits-Admins
Member: Dani
Solution Dani Sep 22, 2023 at 16:39:59 (UTC)
Goto Top
Moin,
Sonst seid Ihr mit den NetApps zufrieden?
Ja. face-big-smile

Gerade auch, was den Support und...
Kann ich nichts dazu sagen. Wir haben einen TAM.

Ich würde die NetApp für SAN (VMs) und NAS (Fileshares) einsetzen, Ich weiß, Best Practice ist das nicht, bin aber bislang gut damit gefahren.
Wir nutzen kein NAS mehr, u.a wegen dem Berechtigungsproblem oder den Connect Drop beim Failover der Cluster Nodes.

Du brauchst Immutable Back neudeutsch und das aufnehmende System sollte nur über das Blocklevel arbeiten und von der Quelle gar nichts wissen, außer die Blöcke lesen können und sie dann WORMen können.
Das führt auch bei einer NetApp kein Weg daran vorbei. Wir haben das mit Veeam + Nearstorage + TAPE realisiert. Weil in unseren Notfallplänen kann auch das Storage "fallen" und damit wären die Daten ohne ONTAP eigentlich nicht mehr lesbar.

Einzigstes Problem das ich damit habe ist ein spezielles verhalten von Netapp beim verschieben von Daten innerhalb eines Volumens. Da werden die Berechtigungen 1:1 mit verschoben und machen damit ggf die Berechtigungsstrukturen kaputt.
Das ist doch das Standardverhalten. Das ist noch nichts was Netapp erfunden hast. Bei Windows Server musst du doch auch entsprechend Registry Keys setzen.


Gruß,
Dani