“Existen dos tipos de empresas: aquellas que fueron hackeadas y aquellas que no saben que fueron hackeadas”,
John Chambers, CEO Cisco.
Estamos hablando del cibercrimen, una industria global más grande que el tráfico ilegal de drogas. Una vez dicho esto, puede estar seguro de que su infraestructura del backup estará bajo ataque en un futuro, si no está siendo atacada actualmente.
La infraestructura del backup es un objetivo principal para el ataque, ya que todos los datos relevantes del entorno son almacenados en ese único lugar. Segundo, si un atacante quiere destruir los datos, el entorno de backup es un buen punto de partida porque el servidor de backup tiene acceso a prácticamente cada sistema importante, como la plataforma de virtualización o los sistemas de almacenamiento.
Con unos pocos comandos PowerShell alcanza para destruir la infraestructura virtual, backups o la empresa, como se puede observar en el siguiente video.
Para ser claro, este problema fundamental no es nada específico de cualquier pieza de software de backup, se aplica a todas las soluciones de backup. Con una solución basada en el agente, uno utilizaría un script previo “borrar todos los datos” en vez de borrar VM. El primer ejemplo proporcionado se centra en un atacante externo, sin embargo, ¿qué sucede con los ataques internos que ocurren desde un administrador de TI de su empresa? Un buen ejemplo de esto es el proveedor de host holandés, Verelox.
Protección de contraseñas
La guía de usuario Veeam Backup & Replication ofrece una buena instrucción sobre cómo asegurar el entorno de backup de algunas simples formas:
- Restringir el acceso del usuario
- Garantizar la seguridad física
- Cifrar los datos de backup
Sin embargo, si están comprometidas sus credenciales, los atacantes son dueños de su entorno de backup. Este atacante ahora tiene el poder de provocar un daño masivo a su infraestructura de TI. Un atacante privilegiado ahora puede obtener las credenciales de las cuentas de usuario y comprometer otros sistemas. Por ejemplo, la contraseña de un sistema de almacenamiento con integración de snapshot de Veeam podría ser usada para borrar todos los volúmenes y LUN de estos sistemas de almacenamiento. Nuevamente, esto no es nada específico de Veeam, pero señala la gran importancia que tiene proteger el acceso a la infraestructura, así como sus credenciales.
Una de las recomendaciones estándar es utilizar contraseñas fuertes y protegerlas. Con el procesamiento de imágenes de Veeam Backup & Replication con reconocimiento de aplicaciones, cada administrador de VM puede encontrar la función hash MsCacheV2 del usuario del procesamiento de imágenes con reconocimiento de aplicaciones en su VM. En las normas actuales, el MsCacheV2 es considerado una función hash segura. El administrador de Veeam Backup & Replication debe tener en cuenta que las contraseñas débiles pueden ser descifradas. Por ejemplo, Sagitta es capaz de aplicar la fuerza bruta en más de 2.500.000 funciones hash de MsCacheV2 por segundo en un hardware x86 estándar. Es muy lento para descifrar contraseñas fuertes, pero puede ser bueno para las contraseñas débiles. Existe un muy buen blog escrito por 1e Software sobre cómo los atacantes utilizan la fuerza bruta para descifrar las funciones hash utilizando GPUs actuales.
Nota: MSCacheV2 es el tipo de función hash para las cuentas de dominio y NTLM es el tipo de función hash para las cuentas de computadora locales.
Fuente: https://sagitta.pw/hardware/gpu-compute-nodes/brutalis/
Puede sonar obvio, pero tener una contraseña fuerte no vale nada si un atacante la conoce. Casi todos los componentes de Veeam son basados en Windows. Esto significa que usted puede aplicar las directrices de seguridad de Microsoft para el propio entorno de Veeam, y hay muy buenas fuentes desde los investigadores de seguridad independiente, así como Microsoft.
Una forma de ganar conocimiento de las contraseñas es un analizador de redes. Analizar una red Ethernet conmutada ha sido una tarea fácil durante muchos años. Las herramientas de monitoreo de gráficos y consola se encuentran ampliamente disponibles como código abierto. El siguiente video demuestra lo fácil que es analizar una conexión HTTPS. ¿Quién no hizo clic en aceptar en un error de certificado?
Tenga en cuenta que las versiones anteriores a 9.5 no utilizaban por defecto HTTPS, como lo muestra el ejemplo de la interfaz web Veeam ONE. Para asegurar las versiones anteriores de Veeam ONE Reporter y Business View, por favor, consulte la guía de usuario.
Seguridad de backup y vSphere
Veeam Backup & Replication se conecta al vCenter para administrar las actividades de backup y restauración de las máquinas virtuales. Desde el punto de vista de la seguridad, (considerado la mejor práctica) se trabaja con la menor cantidad de privilegios requeridos. El vCenter de VMware ofrece permisos granulares para permitir backups (en contraste con los clúster Hyper-V o Microsoft SCVMM) y restauraciones.
Con Veeam Backup & Replication, los diferentes modos de backup (redes, dispositivos virtuales, acceso directo al almacenamiento) cada uno requiere un permiso diferente. El documento de permisos requeridos (también válido para la versión 9.5) contiene una descripción detallada de qué permisos son requeridos para configurar en cada modo de backup. Un permiso relevante de seguridad para el modo de backup “dispositivo virtual” es el que requiere el permiso “remover disco”.
Estas consideraciones de seguridad pueden influenciar la elección del modo de backup. También es posible restringir los servidores de backup específicos (si tiene múltiples) para las ubicaciones u objetos específicos en vCenter.
Seguridad física
Mejorar la seguridad de TI con las directrices organizacionales y la capacitación en conciencia, junto con el hardware y software, eleva los estándares para los ataques externos. Las empresas no deben olvidar que muchos de los actuales los atacantes de los sistemas de infraestructura de TI se basan en la ingeniería social o en los ataques físicos en el sitio. Una vieja y conocida debilidad son los ataques sobre los sistemas de acceso y puerta “mifare classic”.
Esos sistemas de acceso “mifare classic” existen en muchas instalaciones. Las claves de acceso pueden ser copiadas con facilidad en unos pocos segundos con un smartphone. Con acceso a la sala del servidor, un atacante puede sellar fácilmente las cintas o incluso peor, robar el hardware de backup, lo que nos lleva nuevamente al inicio. ¡Cifre sus backups!
Conclusión
Tenga en cuenta que la infraestructura del backup y sus datos son los objetivos más interesantes para un atacante. Seguir la regla 3-2-1, la protección con brechas de aire, la separación de permisos y responsabilidades, junto con la segmentación de la red, son la clave del éxito. Asegurar el entorno de backup es algo más que configurar la casilla de verificación. Un buen comienzo para los usuarios de Veeam es la guía de usuario Veeam y la guía de mejores prácticas.