A Ransomware védelem meghatározó része lett világunknak. A támadások számának növekedése folyamatos kihívás elé állítja a fejlesztőket, hogy védelmet nyújtsanak rendszereik, és eszközeik felhasználóinak. A Synology DSM 7.2-es verziójában debütált a WORM technológia, amely további védelmi réteget nyújt nem csak az adatbiztonság és megfelelősség, hanem a RANSOMWARE támadásokkal szemben is. A cikk első részében a RANSOMWARE támadásokról, a folytatásban pedig a Synology által biztosított WORM technológiáról lesz szó.
MI AZ A RANSOMWARE?
A Ransomware titkosítja a rendszereket és a tárolt adatokat mindaddig, amíg egy meghatározott összeget ki nem fizetünk a titkosítás feloldásáért. Gyakorlatilag váltságdíjat követelnek az adataink ismételt birtoklásáért. Sajnos az a tapasztalat, hogy az esetek jelentős többségében a díj megfizetését követően sem biztos, hogy visszakapjuk adatainkat.
Ransomware támadási módok
Adathalász kísérletek (Phishing attempts)
Rendszerint e-mailben érkező üzenetekről van szó, amely egy bizonyos tevékenység sürgős elvégzését javasolja, vagy kéri. A levél tartalma úgy van megfogalmazva, hogy a címzettet arra sarkalja, hogy minél hamarabb végezze el a javasolt tevékenységet, mert ennek elmaradása esetén akár kár is érheti. Ezek az e-mailek legtöbbször számlázással kapcsolatos információkat tartalmaznak.
Egyéb közösségi tervezés (Other Social Engineering)
Ebbe a támadási formába általában csali, vagy ijesztő üzenetet alkalmaznak. A támadók rendkívül találékonyak és sajnos a bedobott „csaliknak” sokan áldozatul esnek.
Az ijesztés már egy durvább válfaja a támadásnak. A felhasználó figyelmét azzal kelti fel, hogy az általa használt rendszer vírusos, vagy fertőzött. A kommunikáció során a gyanútlan, és ijedt felhasználó gyakorlatilag önként adja ki adatait, és teszi elérhetővé rendszerét.
Nem frissített rendszerek. (Unpatched systems)
A támadók kihasználják az olyan közzétett sebezhetőségeket, amelyeket a felhasználók még nem javítottak az-az még nem frissítették rendszerüket. Tapasztalataim alapján egy átlagos felhasználó nem fordít kellő figyelmet eszközei szoftveres frissítéseire. A támadók ezt ki is használják.
Kompromittált hitelesítő adatok (Compromised credentials)
A leggyakoribb és szerintem egyben legnagyobb probléma, hogy számítógépünket, NAS eszközünket rendszergazda joggal használjuk. Ez részben azért is alakult ki így, mert egy operációs rendszer telepítése, vagy használatba vétele során először létrehozott felhasználói fiók a legtöbb esetben a rendszergazdai fiók. A rendszergazda fiók „kényelmét„ nem szeretik a felhasználók feladni, így nem készítenek korlátozott felhasználói fiókot az eszköz használatához. Ha a létrehozott rendszergazdai fiók nem rendelkezik kétfaktoros hitelesítéssel, nem megfelelő a jelszó erőssége a hitelesítő adatai veszélybe kerülhetnek. A támadók megszerezhetik a hitelesítő adatokat, amellyel átvehetik az eszköz feletti teljes irányítást.
INFO: A Verizon adatvédelmi incidens jelentései szerint az összes adatvédelmi incidens 25%-ban Ransomware támadások történtek.
Mit jelent a WORM tárolás?
A WORM a Write Once Read Many kifejezés mozaik szava, ami magyarul azt jelenti, hogy Írj Egyszer Olvass Sokszor. Az adatok tárolása során a mentett adat írást követően nem módosítható, nem törölhető viszont számtalan alkalommal olvasható. Ez a fajta tárolási mód a CD és DVD lemezeken történő adattárolásra hasonlít. A CD/DVD lemezre írt adat utólag nem módosítható, nem törölhető, ellenben mindig olvasható. A WORM tárolási technológia segít a Ransomware elleni küzdelemben, mert nem teszi lehetővé a támadók számára az adatok módosítását.
WORM adattárolás a Synology-val.
Bár a DSM 7.2 verziójától elérhető a WORM adattárolási technológia, azonban nem minden NAS típus támogatja. A támogatott NAS modellek listája ezen az oldalon tekinthető meg.
WORM tároló létrehozása.
A ’Vezérlőpult – Megosztott mappa’ menüpontjában kattints a ’Létrehozás – Megosztott mappa létrehozása’ menüpontra. Adj nevet a megosztott mappának, majd kattints a Tovább gombra.
A ’Kiegészítő biztonsági szolgáltatás engedélyezése’ ablakban jelöld ki a ’Védje WriteOnce megoldással ezt a megosztott mappát’. Kattints a Tovább gombra.
WriteOnce beállítások
Üzemmódok
- Nagyvállalati mód
- Megfelelősségi mód
Nagyvállalati mód: ez az üzemmód lehetőséget biztosít a rendszergazdáknak a WORM tároló mappa, vagy kötet törlésére. A mappában levő zárolt almappák és fájlok a rendszergazda által sem törölhetők a megőrzési időn belül. A WORM mappában levő fájlok esetén a rendszergazdáknak az alábbi műveletekre van lehetőségük:
- azonnali zárolás
- megőrzési idő meghosszabbítása
- zárolás állapotának konvertálása
Megfelelősségi mód: úgy biztosít magas szintű adatvédelmet, hogy megakadályozza a megosztott mappa törlését, beleértve az adminisztrátorokat is. WriteOnce mappákban található fájlokat nem lehet megváltoztatni vagy módosítani, és csak akkor lehet törölni, ha a mappában lévő összes fájl eléri a megőrzési időszak végét !
Zárolás
A következő beállítás a tárolt adat zárolására vonatkozik. Az ’Automatikus zárolás engedélyezése’ a mappába helyezett fájlok zárolásának módját határozza meg. A zárolás történhet azonnal, vagy meghatározott időintervallum elteltét követően. Amíg egy fájl nem kerül zárolásra addig lehetőség van annak törlésére, vagy módosítására (pl. átnevezés). A zárolást követően a fájl a megőrzési idő leteltéig nem törölhető, vagy módosítható. A zárolás időzítése magadható órában, vagy napban.
Megőrzési időtartam
A mappában tárolt fájlok megőrzési idejét határozhatjuk meg. Zárolást követően a meghatározott ideig lesznek megőrizve a fájlok. Fontos tudni, hogy a megőrzés ideje csak meghosszabbítható, lerövidíteni nem lehet. A tárolt fájlok megőrzési ideje eltérhet a tároló WORM mappánál meghatározott időtől, de ebben az esetben is csak meghosszabbításra van lehetőség. Bár a megőrzési időszak módosítható (meghosszabbítható) egy örökre zárolt fájl tárolási ideje nem rövidíthető le, a zárolása nem feloldható. A megőrzési idő beállítása során mérlegelni kell a megőrzés időtartamát.
Zárolás állapota
A fájlok zárolása két módon végezhető el.
Megváltoztathatatlan: ebben az állapotban a fájl nem módosítható, és nem törölhető. Ebből az állapotból a fájlt kizárólag akkor lehet konvertálni ’Csak hozzáfűzés’ állapotúra, ha a fájl üres.
Csak hozzáfűzés: ebben az állapotban nem lehet az adatokat módosítani, vagy törölni, kizárólag csak a fájl végéhez lehet további adatot hozzáfűzni. Szükség esetén ez az állapot átkonvertálható Megváltoztathatatlan állapotra.
INFO: A WriteOnce mappán végzett utólagos módosítások minden esetben csak a nyitott fájlokra vonatkozóan érvényesülnek a zárolt fájlokra nem!
Miután beállítottad a paramétereket rövid áttekintést kapsz a Beállítások megerősítése lapon. A Tovább gombra kattintva a megosztott mappára vonatkozóan megadhatók a felhasználói engedélyek.
Fájl állapotok
A fájlkezelőben megtekinthető a fájlok állapota. Egy fájl három állapottal rendelkezhet.
Nyitott: a fájl azonos jellemzőkkel bír, mint bármely más megosztott mappa esetén. Felhasználói jogosultságtól függően szerkeszthető, törölhető, vagy átnevezhető. Ebben az esetben nem rendelkezik WriteOnce védelemmel. A nyitott állapot a beállított Automatikus zárolásnak megfelelően Zárt állapottá változik a megadott zárolási idő alapján. Természetesen a zárolás manuálisan is elvégezhető.
Zárolva: a fájl WriteOnce védelem alatt áll a megőrzési idő végéig. A fájlt tartalmazó könyvtár és szülő könyvtárak nem törölhetők.
- Zárolva (megváltoztathatatlan):
- A fájlt nem lehet szerkeszteni, törölni vagy átnevezni.
- A rendszergazdák szükség esetén manuálisan konvertálhatnak egy üres fájlt ’Csak hozzáfűzés’ állapotúra.
- Zárolva (Csak hozzáfűzés):
- A fájl ugyanazokkal a jellemzőkkel rendelkezik, mint a megváltoztathatatlan fájlok, azzal a különbséggel, hogy új tartalom adható hozzá a végéhez.
- A ’Csak hozzáfűzés’ állapotú fájl meglévő tartalma nem módosítható.
- A rendszergazdák a megőrzési időszak alatt bármikor konvertálhatják manuálisan a fájlt megváltoztathatatlanná.
Lejárt:
- A fájl megőrzési ideje lejárt, az törölhető, de eredeti tartalma nem szerkeszthető.
- Csak hozzáfűzés állapotú fájlok esetén új tartalom adható a fájl végéhez.
- Az adminisztrátorok manuálisan módosíthatják a fájlt Megváltoztathatatlan, vagy Csak hozzáfűzés állapotúra a védelem fenntartásának érdekében
- A lejárt módosítható fájlok Megváltoztathatatlanként újrazárhatók. Ha a fájl mérete 0 KB, akkor a fájl újrazárható Csak hozzáfűzhetőként.
- A lejárt, Csak hozzáfűzhető fájlok újrazárhatók Megváltoztathatatlanként, vagy Csak hozzáfűzhetőként.
A Nagyvállalti és Megfelelősségi üzemmódok közötti különbség
A WriteOnce védelem ’Nagyvállalati’ és ’Megfelelősségi’ módjai közötti különbséget az alábbi táblázat mutatja be.
Jellemzők | Vállalati mód | Megfelelőségi mód |
---|---|---|
Az adatellenőrző összeg engedélyezhető az adatok integritásának biztosítása érdekében | Választható | Alapértelmezés szerint engedélyezve van, és nem lehet letiltani |
Csak a hozzáfűzés állapota alkalmazható a fájlokra | Igen | Igen |
A nem zárolt fájlokat a rendszergazdák törölhetik | Igen | Igen |
A zárolt fájlokat a rendszergazda a zárolás állapotától függetlenül törölheti | Nem | Nem |
A WriteOnce megosztott mappa átnevezhető | Nem | Nem |
A WriteOnce megosztott mappát a rendszergazdák törölhetik | Igen | Nem |
A WriteOnce megosztott mappát tartalmazó kötetet a rendszergazdák törölhetik | Igen | Nem |
A WriteOnce megosztott mappát tartalmazó tárterületet a rendszergazdák törölhetik | Igen | Nem |
Pillanatképek készíthetők a WriteOnce megosztott mappáról | Igen | Igen |
A WriteOnce megosztott mappa pillanatképei replikálhatók | Igen | Igen |
A WriteOnce megosztott mappába való átállás végrehajtható a partnerkiszolgálón | Igen | Igen |
Egy új megosztott mappa klónozható egy WriteOnce megosztott mappa pillanatképéből * | Igen | Igen |
A WriteOnce megosztott mappa replikációja átkapcsolható | Igen | Nem |
A WriteOnce megosztott mappa védelme érdekében ismételt védelem műveletet hajthat végre | Igen | Nem |
A WriteOnce megosztott mappa visszaállítható egy adott pillanatképre | Nem | Nem |
A WriteOnce funkció a szabotázsbiztos óramechanizmust használja | Igen | Igen |
A WriteOnce funkció használatához licenc vásárlása szükséges | Nem | Nem |
* A WriteOnce beállítások nem lesznek klónozva az új megosztott mappába
A WORM alkalmazása a gyakorlatban.
Vállalti környezetben a megfelelő mód kiválasztása elsősorban a védendő adattól függ. A szervezet informatikusa az alapján készíti el a WriteOnce mappát, hogy a szervezet az abban tárolt dokumentumokra vonatkozóan milyen direktívát határozott meg.
Otthoni környezetben szintén a felhasználótól, és a tárolt adattól függ a beállítás. A személyes felhasználású NAS-ok esetén jellemzően a családi képek és videók esetén érdemes alkalmazni a WORM védelemet. A megőrzési időt periodikus időszakok meghatározásával lehet szabályozni pl. évenkénti megőrzés megadásával. Ez lehetőséget biztosít az esetleges szortírozásra, rendezésre pl. fényképek esetén. A WORM védelemmel rendelkező mappa egy esetleges Ransomware támadás esetén védelmet nyújt a pótolhatatlan adatok védelmében.
Felhasznált forrásanyag:
Synology WriteOnce (WORM) White Paper
What are the differences between the Enterprise and Compliance modes of WriteOnce shared folders?
Kérdésed van a témával kapcsolatban?
Vedd fel velem a kapcsolatot az alábbi elérhetőségek egyikén!