Alessandro Stesi
Soluzioni Corporate di backup Test di auto-protezione
Tempo di lettura: 4 min
Introduzione
Alla luce del crescente numero di attacchi ransomware in cui i cryptolocker interrompono i processi di database per sbloccare i file di database per la crittografia (Cerber, GlobeImposter, Rapid, Serpent) e possono crittografare backup locali e di rete per richiedere il pagamento di un riscatto (Rapid, Spora), abbiamo deciso di testare le capacità di auto- protezione delle migliori soluzioni di backup utilizzate negli ambienti aziendali disponibili per la prova.
Il test mira a controllare la sostenibilità dei processi e dei servizi dei prodotti contro gli attacchi tipici al software di sicurezza descritti di seguito, nonché l’auto-protezione del backup locale e dei file dei prodotti. Il ransomware può crittografare i file di configurazione e i file di backup locali che appartengono a un programma di backup disabilitando il ripristino dei file. Inoltre, una volta ottenuto l’accesso ai processi dell’agente o del server, l’utente autore dell’attacco può eliminare le copie di backup dei file non solo a livello locale, ma anche nel cloud per conto di una soluzione di backup.
Questo documento è un riepilogo del report di test delle soluzioni di backup aziendali e include la descrizione dell’ambiente di test, l’elenco delle soluzioni testate e delle relative versioni, la panoramica degli scenari di test, nonché i risultati e le conclusioni basati su questi risultati. Non classifichiamo le soluzioni testate e non assegniamo alcun premio, ma forniamo i risultati “così come sono” a solo scopo informativo.
Ambiente di test
I test sono stati condotti sulle macchine virtuali di:
Windows 8.1 SP1 32 bit build 9600
Windows 10 Enterprise 64 bit Build 16299
Windows Server 2012 R2 Standard 64 bit
v. 6.3.9600 Build 9600
Abbiamo testato soluzioni di backup su piattaforme
a 32 e 64 bit perché le tecniche di iniezione di processo utilizzate negli scenari di test differiscono su queste piattaforme. Inoltre, le build di prodotto a 32 e 64 bit possono contenere una diversa serie di funzionalità, tra cui quelle di auto-protezione, e la loro implementazione può dipendere dall’architettura del sistema operativo.
Prodotti testati
Sono state testate le versioni più recenti dei seguenti prodotti disponibili al momento del test:
Nome prodotto | Componenti | Versione |
Acronis Backup | Management Server Agent | 12.5 9010 12.5 9010 |
Arcserve | Unified Data Protection Server Unified Data Protection Client | 6.5.4175 Aggiornamento 2 Build 667 6.5.4175.791 v.r6.5 |
Veeam | Backup & Replication Agent for Microsoft Windows | 9.5 Aggiornamento 3 2.1.0.423 |
Veritas Backup Exec | Server Agent Utility pour Windows | 16.0 Rev. 1142 16.0 Rev. 1142-1632
|
Ogni prodotto è stato installato con le impostazioni predefinite e aggiornato prima dell’esecuzione del test.
Scenari dei test
La suite di test comprende 31 test che simulano attacchi a file di backup locali, file dei prodotti, processi, servizi e un cloud storage che mirano al blocco del servizio di backup e ripristino. La categoria di test “Protezione dei file dei prodotti” contiene semplici test volti a distruggere i file di backup e di applicazione rendendo impossibile il recupero dei dati crittografati da ransomware.
Il secondo gruppo di test “Protezione dei processi e dei servizi dei prodotti” è essenziale per l’auto-protezione poiché il malware può iniettare il codice dannoso in un agente di backup e agire per conto di una soluzione di backup ottenendo tutti i privilegi necessari per controllare i file di backup. Per volere di un aggressore, un processo dannoso può interrompere processi e servizi con conseguente blocco dell’applicazione di backup e ripristino
o eliminazione di file di backup per conto di una soluzione di backup. L’ultima serie di test è “Protezione del backup e del ripristino del cloud” ed è indirizzata alle interfacce di comunicazione con lo storage cloud. L’attacco di poisoning del DNS o l’uso improprio della CLI possono causare l’interruzione del servizio di backup del cloud.
Conclusioni
Lo scopo del test consisteva nel verificare le capacità di auto-protezione del software di backup per proteggere i relativi file, processi, servizi e cloud storage dagli scenari che possono essere potenzialmente eseguiti dal ransomware.
I risultati hanno mostrato che la maggior parte dei prodotti testati non è pronta in molti casi a contrastare gli attacchi di tipo ransomware consentendo a un potenziale aggressore di bloccare i backup dell’utente e disabilitare i servizi di backup e ripristino. Soltanto Acronis Backup ha mostrato buoni risultati con un tasso di efficacia dell’87% e dell’81% per prodotti a 32 bit e 64 bit, fornendo in modo analogo funzionalità complete di auto-protezione e sostenibilità dei servizi.
Scarica il reparto completo qui: Nio Guard Independent Study_IT
Articoli correlati:
Acronis Cyber Cloud Active Protection: Racconto di due attacchi di ramsoware
Acronis Data Cloud 7.7 | Backup locale
Acronis Data Cloud 7.7 | Tutte le novita’ della versione 7.7
Condividi
RSS
Piu’ articoli…
- Cos’è veramente un cyber threat
- SNYPR: Big Data al servizio della ricerca delle minacce
- Hadoop Open Data Model: raccolta dati “open”
- Pass the Ticket: come mitigarlo con un SOCaaS
- Cos’è il Vishing e come funziona
- UBA e UEBA: le differenze
- Database Activity Monitoring: cos’è e come metterlo in pratica
- SOAR e l’automazione della sicurezza informatica
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (9)
- Cyber Threat Intelligence (CTI) (3)
- Ethical Phishing (8)
- SOCaaS (23)
- Vulnerabilita' (84)
- Web Hosting (15)
Tags
CSIRT
- Disponibili aggiornamenti per alcuni prodotti CISCO
(AL01/210902/CSIRT-ITA) Settembre 2, 2021Aggiornamenti di sicurezza Cisco del 30 agosto e del 1 settembre 2021 sanano molteplici vulnerabilità su diversi prodotti, di cui una con gravità “critica”.
- Nuova versione di Google Chrome
(AL02/210901/CSIRT-ITA) Settembre 1, 2021Il nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 27 vulnerabilità di sicurezza, di cui 5 con gravità “alta”.
- Rilasciati i dettagli relativi alla vulnerabilità ProxyToken che interessa Microsoft Exchange
(AL01/210901/CSIRT-ITA) Settembre 1, 2021Rilasciati i dettagli tecnici relativi alla vulnerabilità denominata ProxyToken che interessa i server Microsoft Exchange, già sanata dal vendor nel mese di luglio.
- La Settimana Cibernetica del 29 agosto 2021 Settembre 1, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 23 al 29 agosto 2021.
- Disponibili aggiornamenti di prodotti CISCO
(AL01/210827/CSIRT-ITA) Agosto 27, 2021Aggiornamenti di sicurezza Cisco sanano molteplici vulnerabilità, di cui 1 con gravità “critica” e 6 con gravità “alta”.
- Sanate molteplici vulnerabilità di F5 BIG-IP
(AL01/210826/CSIRT-ITA) Agosto 26, 2021Sanate vulnerabilità in diversi prodotti F5 BIG-IP, tra cui una di livello critico che interessa Advanced WAF (Web Application Firewall) e Application Security Manager (ASM), in particolare l'interfaccia utente di gestione del traffico (TMUI).
- Aggiornamenti di sicurezza VMware
(AL03/210825/CSIRT-ITA) Agosto 25, 2021Vengono corrette 6 vulnerabilità presenti in diversi prodotti VMware.
- Vulnerabilità multiple in OpenSSL
(AL02/210825/CSIRT-ITA) Agosto 25, 2021OpenSSL ha rilasciato aggiornamenti che risolvono due vulnerabilità, una delle quali potrebbe consentire a un attaccante di eseguire codice arbitrario portando a una compromissione totale del sistema.
- Rilevata vulnerabilità BIND
(AL01/210825/CSIRT-ITA) Agosto 25, 2021La CVE-2021-25218 permetterebbe a un attaccante remoto di causare un Denial of Service.
- Approfondimento su vulnerabilità ProxyShell di Exchange sfruttate per diffondere ransomware
(AL01/210824/CSIRT-ITA) Agosto 24, 2021Ad integrazione di quanto riportato nell’alert AL01/210822/CSIRT-ITA circa lo sfruttamento delle vulnerabilità ProxyShell di Microsoft Exchange per diffondere ransomware, si riportano dettagliate azioni di mitigazione e relativi Indicatori di Compromissione.
Dark Reading:
- FragAttacks Foil 2 Decades of Wireless Security Agosto 6, 2021Wireless security protocols have improved, but product vendors continue to make implementation errors that allow a variety of attacks.
- Researchers Call for 'CVE' Approach for Cloud Vulnerabilities Agosto 6, 2021New research suggests isolation among cloud customer accounts may not be a given -- and the researchers behind the findings issue a call to action for cloud security.
- HTTP/2 Implementation Errors Exposing Websites to Serious Risks Agosto 6, 2021Organizations that don't implement end-to-end HTTP/2 are vulnerable to attacks that redirect users to malicious sites and other threats, security researcher reveals at Black Hat USA.
- CISA Launches JCDC, the Joint Cyber Defense Collaborative Agosto 6, 2021"We can't do this alone," the new CISA director told attendees in a keynote at Black Hat USA today.
- Incident Responders Explore Microsoft 365 Attacks in the Wild Agosto 5, 2021Mandiant experts discuss the novel techniques used to evade detection, automate data theft, and achieve persistent access.
- Researchers Find Significant Vulnerabilities in macOS Privacy Protections Agosto 5, 2021Attacks require executing code on a system but foil Apple's approach to protecting private data and systems files.
- A New Approach to Securing Authentication Systems' Core Secrets Agosto 5, 2021Researchers at Black Hat USA explain issues around defending "Golden Secrets" and present an approach to solving the problem.
- Organizations Still Struggle to Hire & Retain Infosec Employees: Report Agosto 5, 2021Security leaders are challenged to fill application security and cloud computing jobs in particular, survey data shows.
- Why Supply Chain Attacks Are Destined to Escalate Agosto 5, 2021In his keynote address at Black Hat USA on Wednesday, Matt Tait, chief operating officer at Corellium, called for software platform vendors and security researchers to do their part to thwart the fallout of software supply chain compromises.
- New Normal Demands New Security Leadership Structure Agosto 2, 2021At the inaugural Omdia Analyst Summit, experts discuss where the past year has created gaps in traditional security strategy and how organizations can fill them.
Full Disclosure
- APPLE-SA-2021-09-13-5 Safari 14.1.2 Settembre 17, 2021Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-5 Safari 14.1.2 Safari 14.1.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212808. WebKit Available for: macOS Catalina and macOS Mojave Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that […]
- APPLE-SA-2021-09-13-4 Security Update 2021-005 Catalina Settembre 17, 2021Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-4 Security Update 2021-005 Catalina Security Update 2021-005 Catalina addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212805. CoreGraphics Available for: macOS Catalina Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report […]
- APPLE-SA-2021-09-13-3 macOS Big Sur 11.6 Settembre 17, 2021Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-3 macOS Big Sur 11.6 macOS Big Sur 11.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212804. CoreGraphics Available for: macOS Big Sur Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a […]
- APPLE-SA-2021-09-13-2 watchOS 7.6.2 Settembre 17, 2021Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-2 watchOS 7.6.2 watchOS 7.6.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212806. CoreGraphics Available for: Apple Watch Series 3 and later Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report […]
- APPLE-SA-2021-09-13-1 iOS 14.8 and iPadOS 14.8 Settembre 17, 2021Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-1 iOS 14.8 and iPadOS 14.8 iOS 14.8 and iPadOS 14.8 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212807. CoreGraphics Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, […]
- AMD Chipset Driver Information Disclosure Vulnerability [CVE-2021-26333] Settembre 17, 2021Posted by disclosure on Sep 17We recently discovered a critical information disclosure vulnerability that affected the AMD Platform Security Processor (PSP) chipset driver for multiple CPU architectures. The vulnerability allowed non-privileged users to read uninitialised physical memory pages, where the original data was either moved or paged out. https://zeroperil.co.uk/cve-2021-26333/ Regards, Kyriakos Economou | Co-Founder kye […]
- Microsoft Windows Command-line Interpreter "cmd.exe" / Stack Buffer Overflow Settembre 17, 2021Posted by hyp3rlinx on Sep 17[+] Credits: John Page (aka hyp3rlinx, malvuln) [+] Website: hyp3rlinx.altervista.org [+] Source: http://hyp3rlinx.altervista.org/advisories/MICROSOFT-WINDOWS-CMD.EXE-STACK-BUFFER-OVERFLOW.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] cmd.exe is the default command-line interpreter for the OS/2, eComStation, ArcaOS, Microsoft Windows (Windows NT family and Windows CE family), and ReactOS operating...
- Backdoor.Win32.WinterLove.i / Hardcoded Weak Password Settembre 14, 2021Posted by malvuln on Sep 14Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/c6c81e8ba0a7b9da6216a78dfeccec8d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.WinterLove.i Vulnerability: Hardcoded Weak Password Description: The WinterLove malware requires authentication for remote user access. However, the password "plunix" is weak and hardcoded in plaintext within the...
- Backdoor.Win32.Wollf.h / Unauthenticated Remote Command Execution Settembre 14, 2021Posted by malvuln on Sep 14Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/d0fd60516d53b2ad602c460351dbaa85.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Wollf.h Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 7614 installs a service named WRM. Third-party attackers who can reach the system can get a shell with […]
- Backdoor.Win32.VB.awm / Authentication Bypass - Information Leakage Settembre 14, 2021Posted by malvuln on Sep 14Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/2271d942a23a89d7adea524d4ac3c13f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.awm Vulnerability: Authentication Bypass - Information Leakage Description: The "Cryptech Heat" malware listens on TCP port 3786 and has an option to set an remote access password. The malware also runs […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 7 minutes Il vishing è una particolare tipologia di phishing che sfrutta la tecnologia Vo… https://t.co/q9OO03jSHj
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Come abbiamo già affrontato precedentemente negli scorsi articoli, i ransomware… https://t.co/O8xUUJocYc
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il Database Activity Monitoring (DAM) è una tecnologia applicata alla sicurezza… https://t.co/juh8ZBKMqP
-
SecureOnlineDesktop
Estimated reading time: 6 minutes I continui progressi in ambito di automazione della sicurezza informatica hanno… https://t.co/mPc4yUpVf8
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Nell’articolo precedente abbiamo visto i più comuni casi d’uso di un SOCaaS, sp… https://t.co/MvxAKo6Zey
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Cos’è veramente un cyber threat Settembre 15, 2021
- SNYPR: Big Data al servizio della ricerca delle minacce Settembre 13, 2021
- Hadoop Open Data Model: raccolta dati “open” Settembre 8, 2021
- Pass the Ticket: come mitigarlo con un SOCaaS Settembre 6, 2021
- Cos’è il Vishing e come funziona Settembre 1, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications