請問NAS快照對應加密勒索的問題

現在很多NAS都以快照對應加密勒索為賣點,但這真的能100%防範嗎?如果是系統/軟體/程式庫/ 資料庫之類的的部分被加密導致開不了機或是運作不正常而NAS無法執行回復快照不就破功了?有這可能嗎?我看qnap 的影片建議系統磁區不須要設快照,忽然有這疑問
謝謝
mbspc wrote:
現在很多NAS都以快...(恕刪)


沒用的 噱頭而已...

這問題要看如何中勒索病毒

情境1.
使用者掛載網路磁碟機到電腦Z:\
使用者電腦中勒索病毒了,勒索病毒將電腦所有磁碟機檔案進行加密。
使用快照功能可將網路磁碟機檔案復原
成功!!

情境2.
NAS對外開放某些服務Port,韌體漏洞被發現,駭客取得root權限
駭客直接針對NAS下指令關閉並刪除所有快照
駭客刪除關閉快照後進行檔案加密

X你X...



不好意思 小弟客戶碰到的就是2

所以說啊..NAS能不開放外部就別開放,真要開放...防護措施真的要做好
至於防護措施有哪些?

1.使用路由器內建VPN功能連到內網使用NAS (千萬不要用NAS本身的VPN功能...)
2.針對點對點連線設定僅限白名單IP連線
3.在準備一台簡易的單BAY NAS做每兩到三天差異備份,然後這台NAS不連外
貓老闆
mbspc wrote:
現在很多NAS都以快...(恕刪)


事實上不會只利用一種方法來做為備援的目的. 快照及快照複寫, 搭配其他的備份方法. 是比較安全的做法.

快照能夠在因中毒或是誤刪檔案等情況下快速恢復至某個時間點是確定的, 也確實是一個很有效的方法,

至於所提 qnap 官方是否建議針對 qts nas 系統儲存區不做快照, 印象中應該不會如此建議. 在 QTS NAS 上面建議重要的儲存磁區都要做快照.
FB: Pctine
在下認為 快照 功能對於一些 勒索/病毒 在事後資料的回復肯定是有助益的。
其他設定或使用上的不當造成 快照 防護失效,應該檢討的是這些錯誤設定問題,不該錯殺忠良歸咎於快照。
pctine wrote:
事實上不會只利用一種...(恕刪)

P大我是看這邊,https://youtu.be/5vmxIiUY6kA,大概在1:04:00左右的簡報上有說,建議系統磁碟無需開啟快照,
快照當然是賣點啊
快速就能還原不用解密..
只是不是無限
把握當下、愛要即時;勿以惡小而為之、勿以善小而不為。
要靠snapshot防範加密病毒的話
我建議就是SAN/iSCSI boot, 所有lun(同group)一次snapshot (有的storage有這功能)
因為有的資料庫很神經, 把很重要的"檔案"放在不該放的地方...
最好搭配快照前對資料庫 prepare backup

備份出去的地方放在可離線的媒體 , 寫個shell去mount / unmount, 或磁帶都可以
mbspc wrote:
P大我是看這邊,https://youtu.be/5vmxIiUY6kA,大概在1:04:00左右的簡報上有說,建議系統磁碟無需開啟快照,...(恕刪)


講師這裡所提的, '系統磁碟與檔案儲存分離, 可以不開啟快照'. 強調的是建議把系統磁區和資料磁區分離.

主要是因為 QNap snapshot 技術是 volume snapshot, 也就是針對磁碟區做快照, 如果 user 一開始在 QTS NAS 規劃時未將系統和資料做分割, 在建立快照時有可能系統必須將一些服務暫停才能完成快照, 至於 QTS NAS 自己還是建議系統磁碟區可以排程在離峰時段做快照.

而這裡要提的是. 在其他的 NAS 例如採用 zfs or btrfs, 因為快照是 share folder 層級, 並不是針對整個磁碟區, 所以並無此限制.
FB: Pctine
kahnmao wrote:
情境2.
NAS對外開放某些服務Port,韌體漏洞被發現,駭客取得root權限
駭客直接針對NAS下指令關閉並刪除所有快照
駭客刪除關閉快照後進行檔案加密.....(恕刪)


能否告知是哪款Nas?
大概是何時發生的事?

若不方便發論壇,請私訊告知,
謝謝..
¡¡¡ ɹɐǝʎ ʍǝu ʎddɐH ¡¡¡ 2017年雞年到,祝大家心想事成。
基本上快照用意,是透過機器本身去做快照的備分,
因為使用者不直接去連線機器(沒有權限),所以頂多感染到有連線的共用檔案,
這個層面來說的確是有效的。
但就像K大說的,如果是NAS的漏洞或是人為的疏忽被攻進去了,快照一樣死掉。
只能分散風險,多做幾分備分、不同的備分方式,避免一次掛掉,就有機會恢復檔案了。

個人經驗,通常都是人的懶或要求方便,亂點網頁或不明程式,關閉防護(毒)程式,才會中毒。
文章分享
評分
複製連結