I backup con autenticazione a livello di applicazione sconfiggono ransomware?

0

Pur avendo "troppo tempo" e dopo un attento pensiero da parte mia, ho scoperto che se si autentica a livello di applicazione, il ransomware dovrebbe analizzare attentamente tutti i file delle impostazioni conosciute per recuperare le credenziali di accesso e quindi implementare il backend -accesso protocolli per effettivamente anche prendere questo riscatto di dati.

Finora per l'introduzione e il "TL; DR", ora per una descrizione più specifica:

  • Supponiamo di avere un computer che vogliamo proteggere da ransomware.
  • Supponiamo che questo computer esegua backup regolari.
  • Supponiamo che questi backup siano fatti da un'applicazione o un servizio sul computer a un server, questa applicazione potrebbe essere molto popolare (ma non fornita con il sistema operativo).
  • Supponiamo che il sistema operativo non sia direttamente coinvolto nel processo di backup / non fornisce l'unità di destinazione come unità mappata.
  • Supponiamo che l'applicazione si autentichi (con PK auth o username + password) sul server di back-end.
  • Supponiamo che le credenziali di autenticazione siano archiviate in chiaro sul computer da proteggere (come al solito).
  • Supponiamo infine che il server stesso sia sicuro di essere pulito da ransomware.

Il backup del computer è ora sicuro per essere attaccato con successo da un ransomware (non mirato)?

    
posta SEJPM 11.11.2016 - 20:31
fonte

1 risposta

3

La risposta a questa domanda dipende interamente da quanto sia intelligente il ransomware di cui si vuole difendere. Se hai a che fare con un ransomware standard, probabilmente la risposta è sì, i tuoi backup sono al sicuro.

Se hai a che fare con il ransomware che è a conoscenza della tua applicazione e la prende in modo specifico, allora ovviamente no, i tuoi backup sono ancora a rischio.

Si noti che nel primo caso, mentre il ransomware non può raggiungere direttamente il disco del server di backup, può comunque crittografare i file locali e se l'applicazione di backup non interrompe il backup, prima o poi la rotazione del backup ruoterà tutti i backup validi esistenti.

Posso suggerire un approccio diverso:

Conserva diverse revisioni di backup. Dopo aver effettuato un backup, campionare un numero non banale di file importanti per vedere se passano varie statistiche per dati casuali (ad esempio, la distribuzione di byte, nessun tipo di file noto, quasi 0 rate di compressione, ecc.). Se la maggior parte o tutti i file sembrano dati casuali, probabilmente sono crittografati e puoi disabilitare il backup e avvisare gli amministratori di sistema, quindi mentre hai perso il backup più recente, tutte le revisioni precedenti sono ancora disponibili.

Potresti anche fare i test sul sistema live prima di avviare il backup, ma controllerei il backup stesso anche se questo significava averne perso uno.

Questo proteggerà contro TUTTI i ransomware.

    
risposta data 11.11.2016 - 23:40
fonte

Leggi altre domande sui tag