Business Tipp: Active Backup for Business enthält "for Server" (Ransomware sicheres Backup)

[mgutt]

Tipp: Active Backup for Business enthält "for Server" (Ransomware sicheres Backup)

Keine Ahnung ob ihrs wusstet ^^, aber mir ist die Tage aufgefallen, dass ich auf meiner DS1618+ kein Active Backup for Server installieren kann. Dort ist nur Active Backup for Business vorgesehen. Dabei fand ich es gerade so cool, dass "for Server" ohne Client funktioniert. Tatsächlich gibt es diese Funktionalität auch innerhalb von "for Business". Dort einfach den Punkt "Datei-Server" auswählen und schon kann man seinen PC mit IP und Windows Login aufrufen und dessen Dateien regelmäßig ohne Client sichern:


Wenn man das Ziel nun außerhalb aller den PCs bekannten Netzlaufwerke / User wählt, ist das ganze auch gleich ein Schutz vor Ransomware. Da dort eine Versionierung enthalten ist, werde ich das "kopflastige" Synology Drive wohl gegen das simple SyncToy ersetzen. Aber das teste ich die Tage noch.

 

[NSFH]

Das ist leider kein Schutz vor Ransom Software, da diese komplette Subnets scannt und gleichfalls alle mit einem PC oder Server verbundenen Laufwerke.
Versionierung nützt dann im Schadensfall gar nichts, denn die Ransom verschlüsselt die Backup-Datenbank, sodass sie nicht mehr fgenutzt werden kann.
Es hilft wirklich nur ein Dismount nach erfolgtem Backup und zeitgesteuert ein Mount vor dem Backup.
Die einzig sichere, versionisierte Backup-Lösung liegt in der Cloud.

 

[mgutt]

Wenn das Ziel von Active Backup Datei-Server in einem Verzeichnis liegt, auf das kein Nutzer schreibend zugreifen kann, dann kann die Ransomware noch so viel im Netzwerk suchen. Ich habe zB den gemeinsamen Ordner backups, wo nur der Admin-Account schreibend zugreifen kann. Dort landen die abgeholten Dateien. Der Admin Login ist nirgends gespeichert. Also wie sollte da eine Ransomware draufkommen?

 

[Synchrotron]

Wenn es eine fortgeschrittenere Variante ist, besteht sie aus verschiedenen Bausteinen. Das erste, was auf das System kommt, ist meist ein „Loader“, der dann andere Bausteine nachlädt.

Einer davon kann ein Keylogger sein, der auf die Accountanmeldung reagiert, und die dann mitplottet. Bis dahin liegt das ärgerliche Stück SW einfach irgendwo im Netzwerk, und wartet.

Das sicherste ist ein Laufwerk, das körperlich getrennt ist.

Auch sicher nach heutigem Stand ist ein nicht gemountetes Laufwerk.

Alles andere funktioniert eventuell auch, nach dem Prinzip „Es is noch emmer jut jejange “ ...

 

[mgutt]

Das ist theoretisch möglich in der Praxis aber mehr als unwahrscheinlich. Erstens muss der PC befallen sein, der auf das DSM zugreift. Also das stärkste Glied in der Kette, wenn ich von mir spreche. Dann muss die Ransomware den Angriff so lange aussetzen bis ich mich wieder beim DSM anmelde, was lange dauern kann und das obwohl es bereits den PC und mehrere Netzlaufwerke mit Schreibrechten gefunden hat und jederzeit durch ein Update des Virenscanners ertappt werden könnte.

Genauso gut könnte die Ransomware darauf warten bis das nicht gemountete Laufwerk wieder angestöpselt wird oder man sich bei der Cloud anmeldet um dessen Passwort mitzuloggen. Analog zum nicht gemounteten Laufwerk, könnte ich auch genauso gut für den Admin-Login einen RPI in die Schublade legen und hätte eine vergleichbare Sicherheit erreicht.

In der Liste der theoretischen Szenarien bleibt dann aber natürlich noch die Zero-Day-Lücke beim NAS. Dagegen hilft dann tatsächlich nur noch ein Cloud-Backup, das ausschließlich inkrementell beschrieben werden kann oder eine 2-Faktor-Authentifizierung voraussetzt.

Ein steht jedenfalls fest. Die Dateien per Active Backup abholen bietet einen Schutz vor Ransomware. Dass es gar keinen gäbe, wie NSFH meint, stimmt jedenfalls nicht.