“Existem dois tipos de empresas: aquelas que já foram hackeadas e aquelas que não sabem que foram hackeadas”
– John Chambers, CEO da Cisco.
Estamos falando sobre cibercrimes, uma indústria mundial maior que o tráfico ilegal de drogas. Dito isto, tenha certeza de que sua infraestrutura de backup será atacada no futuro, se já não foi.
A infraestrutura de backup é o alvo primário para um ataque, pois todos os dados importantes do ambiente estão armazenados em um único lugar. Além disso, se um invasor quiser destruir os dados, o ambiente de backup é um bom ponto de começo, umavez que o servidor de backup tem acesso a praticamente, todos os outros sistemas importantes, como a plataforma de virtualização ou os sistemas de storage.
Só é preciso de alguns comandos PowerShell para destruir uma infraestrutura virtual, backup ou até mesmo uma empresa, como pode ser visto no vídeo a seguir.
Para ser claro, esse não é um problema particular de alguma ferramenta de backup — ele se aplica a todas as soluções de backup. Com uma solução baseada em agente, alguém poderia utilizar um pré-script, em vez de excluir VMs. O primeiro exemplo mostra um invasor externo, porém, o que fazer sobre os ataques que vêm de dentro e podem acontecer através de um administrador de TI da sua empresa? Um bom exemplo disto é o provedor de hospedagem holandês, Verelox.
Proteja as senhas
O guia de usuário do Veeam Backup & Replication fornece uma boa introdução sobre como proteger o ambiente de backup por meios simples:
- Restringir o acesso de usuários
- Garantir segurança física
- Criptografar os dados de backup
Entretanto, se suas credenciais forem comprometidas, o invasor tomará seu ambiente de backup. Esse invasor, agora tem o poder para causar um grande dano à sua infraestrutura de TI. Um invasor privilegiado pode obter as credenciais das contas de usuários e comprometer outros sistemas. Por exemplo, a senha do sistema de storage com integração de snapshot da Veeam pode ser utilizada para deletar todos os volumes e LUNs desses sistemas de storage. Novamente, isso não é algo específico à Veeam, mas aponta a extrema importância de proteger o acesso da infraestrutura, assim como de suas credenciais.
Uma das recomendações-padrões é utilizar senhas fortes e protegê-las. Com o Processamento de Imagem com Percepção de Aplicações do Veeam Backup & Replication, cada administrador de VM pode encontrar hashes do MsCacheV2 do Processamento de Imagem com Percepção de Aplicações do usuário em sua VM. Nos modelos atuais, o MsCacheV2 é considerado um hash seguro. O administrador do Veeam Backup & Replication deve ter em mente, que senhas fracas podem ser decifradas. Por exemplo, Sagitta afirma ser capaz de atacar com “força bruta” mais de 2.500.000 hashes do MsCacheV2 por segundo em um hardware x86 normal. Esse método é muito lento para decifrar senhas fortes, mas pode ser o suficiente para as senhas mais fracas. Este é um blog muito bem escrito pela 1e Software, sobre como invasores realizam “ataques de força bruta” para decifrar hashes utilizando GPUs modernas.
Observação: MSCacheV2 é o tipo de hash para contas de domínio e NTLM é o tipo de hash para contas de computares locais.
Fonte: https://sagitta.pw/hardware/gpu-compute-nodes/brutalis/
Pode parecer óbvio, mas ter senhas fortes não vale de nada se o invasor as conhecer. Praticamente todos os componentes da Veeam são baseados em Windows. Isso significa que você pode aplicar diretrizes de segurança da Microsoft para o próprio ambiente Veeam, e existem muitas fontes de pesquisadores de segurança independentes, bem como da própria Microsoft.
Uma das maneiras de conseguir senhas é o “sniffing” de rede. Fazer sniffing de uma rede de Ethernet comutada é uma tarefa fácil há anos. Ferramentas de sniffing gráficas e de console estão disponíveis em larga escala como softwares de código aberto, gratuitos e pagos. O vídeo a seguir mostra como é fácil usar um sniffer em uma conexão HTTPS. Quem nunca clicou em “Aceito” em um erro de certificado?
Saiba que as versões anteriores à 9.5 não usavam HTTPS como padrão, como o exemplo mostra na interface de web do Veeam ONE. Para proteger versões antigas do Veeam ONE Reporter and Business View, verifique o guia do usuário.
Backup e segurança do vSphere
O Veeam Backup & Replication se conecta ao vCenter para gerenciar o backup e restaurar atividades das máquinas virtuais. Pelo ponto de vista da segurança — e essa é considerada a melhor prática — trabalhe com a menor quantidade de privilégios necessários. O VMware vCenter oferece permissões granulares para permitir backups (em contraste com os clusters Hyper-V ou Microsoft SCVMM) e restaurações.
No Veeam Backup & Replication, cada modo de backup — Rede, Appliance Virtual, Acesso Direto ao Storage — exige permissões diferentes. Os documentos das permissões exigidas (também válidos para a versão 9.5), contêm uma descrição detalhada de quais permissões são necessárias para configurar cada modo de backup. Uma permissão relevante de segurança para o modo de backup “Appliance Virtual” é a exigência de “remover o disco”.
Essas considerações de segurança podem influenciar na escolha do modo de backup. Também é possível restringir servidores de backup específicos (caso tenha vários) para locais ou objetos específicos no vCenter.
Segurança física
Melhorar a segurança de TI com diretrizes organizacionais e treinamentos de conscientização, além dos hardwares e softwares, diminui as chances de um ataque externo. As organizações não podem se esquecer de que muitos ataques nos sistemas de infraestrutura da TI são baseados em manobras sociais ou ataques físicos locais. Uma velha e conhecida fraqueza é o ataque em sistemas de acesso de portas “mifare classic”.
Esses sistemas de acesso “mifare classic” ainda existem em muitas instalações. As chaves de acesso podem ser facilmente copiadas em poucos segundos com um smartphone. Com acesso à sala do servidor, um invasor pode roubar fitas ou até mesmo pior — roubar o hardware de backup, o que nos leva ao início deste texto. Criptografe seus backups!
Conclusão
Esteja ciente de que a infraestrutura de backup e seus dados são os alvos mais interessantes para invasores. Seguir a Regra 3-2-1, proteção “air-gap”, separação de permissões e responsabilidades junto com a segmentação de rede, são fundamentais para o sucesso. Proteger o ambiente de backup é muito mais do que cumprir uma lista pré-determinada. Um bom ponto de partida para os usuários da Veeam é o guia das melhores práticas e o guia do usuário da Veeam.