Alessandro Stesi
Soluzioni Corporate di backup Test di auto-protezione
Tempo di lettura: 4 min
Introduzione
Alla luce del crescente numero di attacchi ransomware in cui i cryptolocker interrompono i processi di database per sbloccare i file di database per la crittografia (Cerber, GlobeImposter, Rapid, Serpent) e possono crittografare backup locali e di rete per richiedere il pagamento di un riscatto (Rapid, Spora), abbiamo deciso di testare le capacità di auto- protezione delle migliori soluzioni di backup utilizzate negli ambienti aziendali disponibili per la prova.
Il test mira a controllare la sostenibilità dei processi e dei servizi dei prodotti contro gli attacchi tipici al software di sicurezza descritti di seguito, nonché l’auto-protezione del backup locale e dei file dei prodotti. Il ransomware può crittografare i file di configurazione e i file di backup locali che appartengono a un programma di backup disabilitando il ripristino dei file. Inoltre, una volta ottenuto l’accesso ai processi dell’agente o del server, l’utente autore dell’attacco può eliminare le copie di backup dei file non solo a livello locale, ma anche nel cloud per conto di una soluzione di backup.
Questo documento è un riepilogo del report di test delle soluzioni di backup aziendali e include la descrizione dell’ambiente di test, l’elenco delle soluzioni testate e delle relative versioni, la panoramica degli scenari di test, nonché i risultati e le conclusioni basati su questi risultati. Non classifichiamo le soluzioni testate e non assegniamo alcun premio, ma forniamo i risultati “così come sono” a solo scopo informativo.
Ambiente di test
I test sono stati condotti sulle macchine virtuali di:
Windows 8.1 SP1 32 bit build 9600
Windows 10 Enterprise 64 bit Build 16299
Windows Server 2012 R2 Standard 64 bit
v. 6.3.9600 Build 9600
Abbiamo testato soluzioni di backup su piattaforme
a 32 e 64 bit perché le tecniche di iniezione di processo utilizzate negli scenari di test differiscono su queste piattaforme. Inoltre, le build di prodotto a 32 e 64 bit possono contenere una diversa serie di funzionalità, tra cui quelle di auto-protezione, e la loro implementazione può dipendere dall’architettura del sistema operativo.
Prodotti testati
Sono state testate le versioni più recenti dei seguenti prodotti disponibili al momento del test:
Nome prodotto | Componenti | Versione |
Acronis Backup | Management Server Agent | 12.5 9010 12.5 9010 |
Arcserve | Unified Data Protection Server Unified Data Protection Client | 6.5.4175 Aggiornamento 2 Build 667 6.5.4175.791 v.r6.5 |
Veeam | Backup & Replication Agent for Microsoft Windows | 9.5 Aggiornamento 3 2.1.0.423 |
Veritas Backup Exec | Server Agent Utility pour Windows | 16.0 Rev. 1142 16.0 Rev. 1142-1632
|
Ogni prodotto è stato installato con le impostazioni predefinite e aggiornato prima dell’esecuzione del test.
Scenari dei test
La suite di test comprende 31 test che simulano attacchi a file di backup locali, file dei prodotti, processi, servizi e un cloud storage che mirano al blocco del servizio di backup e ripristino. La categoria di test “Protezione dei file dei prodotti” contiene semplici test volti a distruggere i file di backup e di applicazione rendendo impossibile il recupero dei dati crittografati da ransomware.
Il secondo gruppo di test “Protezione dei processi e dei servizi dei prodotti” è essenziale per l’auto-protezione poiché il malware può iniettare il codice dannoso in un agente di backup e agire per conto di una soluzione di backup ottenendo tutti i privilegi necessari per controllare i file di backup. Per volere di un aggressore, un processo dannoso può interrompere processi e servizi con conseguente blocco dell’applicazione di backup e ripristino
o eliminazione di file di backup per conto di una soluzione di backup. L’ultima serie di test è “Protezione del backup e del ripristino del cloud” ed è indirizzata alle interfacce di comunicazione con lo storage cloud. L’attacco di poisoning del DNS o l’uso improprio della CLI possono causare l’interruzione del servizio di backup del cloud.
Conclusioni
Lo scopo del test consisteva nel verificare le capacità di auto-protezione del software di backup per proteggere i relativi file, processi, servizi e cloud storage dagli scenari che possono essere potenzialmente eseguiti dal ransomware.
I risultati hanno mostrato che la maggior parte dei prodotti testati non è pronta in molti casi a contrastare gli attacchi di tipo ransomware consentendo a un potenziale aggressore di bloccare i backup dell’utente e disabilitare i servizi di backup e ripristino. Soltanto Acronis Backup ha mostrato buoni risultati con un tasso di efficacia dell’87% e dell’81% per prodotti a 32 bit e 64 bit, fornendo in modo analogo funzionalità complete di auto-protezione e sostenibilità dei servizi.
Scarica il reparto completo qui: Nio Guard Independent Study_IT
Articoli correlati:
Acronis Cyber Cloud Active Protection: Racconto di due attacchi di ramsoware
Acronis Data Cloud 7.7 | Backup locale
Acronis Data Cloud 7.7 | Tutte le novita’ della versione 7.7
Condividi
RSS
Piu’ articoli…
- Cos’è veramente un cyber threat
- SNYPR: Big Data al servizio della ricerca delle minacce
- Hadoop Open Data Model: raccolta dati “open”
- Pass the Ticket: come mitigarlo con un SOCaaS
- Cos’è il Vishing e come funziona
- UBA e UEBA: le differenze
- Database Activity Monitoring: cos’è e come metterlo in pratica
- SOAR e l’automazione della sicurezza informatica
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (145)
- Cyber Threat Intelligence (CTI) (3)
- Ethical Phishing (8)
- SOCaaS (41)
- Vulnerabilita' (84)
- Web Hosting (15)
Tags
CSIRT
- Critical Patch Update di Oracle
(AL02/220118/CSIRT-ITA) Gennaio 18, 2022Oracle ha rilasciato un bollettino di sicurezza che descrive 483 nuove vulnerabilità su più prodotti, di cui 12 con gravità “critica”.
- Sanata vulnerabilità nel prodotto Zoho ManageEngine Desktop Central
(AL01/220118/CSIRT-ITA) Gennaio 18, 2022Zoho ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità con gravità “critica”, identificata tramite la CVE-2021-44757, nel prodotto ManageEngine Desktop Central e Desktop Central MSP.
- La Settimana Cibernetica del 16 gennaio 2022 Gennaio 17, 2022Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 10 al 16 gennaio 2022
- Sanate vulnerabilità in prodotti Schneider Electric
(AL04/220114/CSIRT-ITA) Gennaio 14, 2022Sanate molteplici vulnerabilità in alcuni dispositivi SCADA di Schneider Electric, che potrebbero permettere a un utente malintenzionato remoto il bypass dei controlli di autenticazione, la compromissione della disponibilità del servizio e l’esecuzione di codice arbitrario sui dispositivi target.
- Aggiornamenti di sicurezza per prodotti Juniper Networks
(AL03/220114/CSIRT-ITA) Gennaio 14, 2022Juniper Networks rilascia aggiornamenti di sicurezza per sanare molteplici vulnerabilità su più prodotti, di cui 17 con gravità “alta”.
- Risolte vulnerabilità in IBM HTTP Server
(AL02/220114/CSIRT-ITA) Gennaio 14, 2022Aggiornamenti di sicurezza IBM risolvono vulnerabilità nel componente IBM HTTP Server utilizzato da IBM WebSphere Application Server
- Aggiornamenti per Tenable.sc
(AL01/220114/CSIRT-ITA) Gennaio 14, 2022Tenable ha rilasciato aggiornamenti di sicurezza che sanano 2 vulnerabilità per il prodotto Tenable.sc
- Aggiornamenti per Citrix Hypervisor
(AL06/220113/CSIRT-ITA) Gennaio 13, 2022Aggiornamenti di sicurezza sanano 4 vulnerabilità, di cui 2 con gravità “alta”, nel prodotto Citrix Hypervisor.
- Disponibili aggiornamenti per prodotti CISCO
(AL05/220113/CSIRT-ITA) Gennaio 13, 2022Aggiornamenti di sicurezza Cisco sanano molteplici vulnerabilità su diversi prodotti, di cui una con gravità “critica”.
- Risolte vulnerabilità in prodotti QNAP
(AL04/220113/CSIRT-ITA) Gennaio 13, 2022Aggiornamenti di sicurezza QNAP risolvono molteplici vulnerabilità nei prodotti QTS, QuTS hero e QVR.
Dark Reading
- Kovrr Translates Cyber Risk into Business Impact with its Quantum Platform Gennaio 18, 2022On-demand cyber risk quantification platform enables C-suite to prioritize and justify cybersecurity investments through financial quantification.
- Europol Shuts Down Popular Cybercriminal VPN Service Gennaio 18, 2022VPNLab was used to support criminal activity, including ransomware campaigns and other attacks, Europol officials report.
- US Search for Vulnerabilities Drives 10x Increase in Bug Reports Gennaio 18, 2022Cross-site scripting and broken access controls continued to be the top classes of vulnerabilities researchers discovered, according to Bugcrowd's annual vulnerability report.
- Name That Toon: Nowhere to Hide Gennaio 18, 2022Feeling creative? Submit your caption and our panel of experts will reward the winner with a $25 Amazon gift card.
- 5 Reasons Why M&A Is the Engine Driving Cybersecurity Gennaio 18, 2022Consistent acquisition of key technologies and talent is a proven strategy for growth.
- Mastering the Art of Cloud Tagging Using Data Science Gennaio 17, 2022Cloud tagging, the process of labeling cloud assets by certain attributes or operational values, can unlock behavioral insights to optimize and automate cyber asset management at scale.
- Russia Takes Down REvil Ransomware Operation, Arrests Key Members Gennaio 14, 2022Timing of the move has evoked at least some skepticism from security experts about the country's true motives.
- The Cybersecurity Measures CTOs Are Actually Implementing Gennaio 14, 2022Companies look to multifactor authentication and identity and access management to block attacks, but hedge their bets with disaster recovery.
- Maryland Dept. of Health Responds to Ransomware Attack Gennaio 14, 2022An attack discovered on Dec. 4, 2021 forced the Maryland Department of Health to take some of its systems offline.
- White House Meets With Software Firms and Open Source Orgs on Security Gennaio 14, 2022The Log4j vulnerability is only the latest security flaw to have global impact, prompting the Biden administration and software developers to pledge to produce more secure software.
Full Disclosure
- Win32.MarsStealer Web Panel / Unauthenticated Remote Data Deletion Gennaio 16, 2022Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/8abb41f6e7010d70c90f65fd9a740faa_C.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.MarsStealer Web Panel Vulnerability: Unauthenticated Remote Data Deletion Description: The Mars-Stealer web interface has a "Grab Rules" component area that lets a user specify which type of files to collect from […]
- Win32.MarsStealer Web Panel / Unauthenticated Remote Persistent XSS Gennaio 16, 2022Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/8abb41f6e7010d70c90f65fd9a740faa_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.MarsStealer Web Panel Vulnerability: Unauthenticated Remote Persistent XSS Description: The Mars-Stealer web interface has a "Marker Rules" component area. Third-party attackers who can reach the Mars-Stealer server can send HTTP...
- Win32.MarsStealer Web Panel / Unauthenticated Remote Information Disclosure Gennaio 16, 2022Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/8abb41f6e7010d70c90f65fd9a740faa.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.MarsStealer Web Panel Vulnerability: Unauthenticated Remote Information Disclosure Description: The malware web interface stores screen captures named "screenshot.jpg" in the panel directory, ZIP archived. Third-party attackers who...
- Ab Stealer Web Panel / Unauthenticated Remote Persistent XSS Gennaio 16, 2022Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/9e44c10307aa8194753896ecf8102167.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Ab Stealer Web Panel Vulnerability: Unauthenticated Remote Persistent XSS Description: The "Ab Stealer" web Panel By KingDomSc for "AbBuild v.1.0.exe" is used to browse victim information "Get All Victims Passwords, With...
- SEC Consult SA-20220113-0 :: Cleartext Storage of Phone Password in Cisco IP Phones Gennaio 14, 2022Posted by SEC Consult Vulnerability Lab, Research on Jan 14SEC Consult Vulnerability Lab Security Advisory < 20220113-0 > ======================================================================= title: Cleartext Storage of Phone Password product: Cisco IP Phone Series 78x1, 88x5, 88x1, 7832, 8832, 8821 and 3905 vulnerable version: Firmware
- 🐞 Call for Papers for Hardwear.io USA 2022 is OPEN! Gennaio 14, 2022Posted by Andrea Simonca on Jan 14Hello, We are happy to announce that the CFP for Hardwear.io USA 2022 is OPEN! If you have a groundbreaking embedded research or an awesome open-source tool you’d like to showcase before the global hardware security community, this is your chance. Send in your ideas on various hardware subjects, […]
- APPLE-SA-2022-01-12-1 iOS 15.2.1 and iPadOS 15.2.1 Gennaio 12, 2022Posted by Apple Product Security via Fulldisclosure on Jan 12APPLE-SA-2022-01-12-1 iOS 15.2.1 and iPadOS 15.2.1 iOS 15.2.1 and iPadOS 15.2.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213043. HomeKit Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, […]
- Reprise License Manager 14.2 - Reflected Cross-Site Scripting Gennaio 12, 2022Posted by Gionathan Reale via Fulldisclosure on Jan 12# Product: RLM 14.2 # Vendor: Reprise Software # CVE ID: CVE-2021-45422 # Vulnerability Title: Reflected Cross-Site Scripting # Severity: Medium # Author(s): Giulia Melotti Garibaldi # Date: 2022-01-11 # ############################################################# Introduction: An issue was discovered in Reprise License Manager 14.2, Reprise License Manager 14.2 is affected […]
- [RT-SA-2021-009] Credential Disclosure in Web Interface of Crestron Device Gennaio 12, 2022Posted by RedTeam Pentesting GmbH on Jan 12Advisory: Credential Disclosure in Web Interface of Crestron Device When the administrative web interface of the Crestron HDMI switcher is accessed unauthenticated, user credentials are disclosed which are valid to authenticate to the web interface. Details ======= Product: Crestron HD-MD4X2-4K-E Affected Versions: 1.0.0.2159 Fixed Versions: - Vulnerability Type: […]
- Backdoor.Win32.Controlit.10 / Unauthenticated Remote Command Execution Gennaio 11, 2022Posted by malvuln on Jan 11Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/859aab793a42868343346163bd42f485.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Controlit.10 Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 3347. Third-party attackers who can reach an infected system can run any OS commands made available by the […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
-
SecureOnlineDesktop
Tempo di lettura: 5 minUtilizzo del Machine Learning per proteggere i dati Introdotto nel gennaio 2017, Acronis Act… https://t.co/mhqalBxm8D
-
SecureOnlineDesktop
Gli attacchi informatici sono numerosi e non fanno distinzione tra aziende e singoli individui quando prendono di m… https://t.co/uOucUWZf7W
-
SecureOnlineDesktop
Estimated reading time: 5 minutes SNYPR è uno strumento di analisi della sicurezza in grado di trasformare i Big… https://t.co/oies7e0nYY
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Con l’avvento delle piattaforme di big data, le aziende che si occupano di sicu… https://t.co/MSvA0dPgiE
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Cos’è veramente un cyber threat Settembre 15, 2021
- SNYPR: Big Data al servizio della ricerca delle minacce Settembre 13, 2021
- Hadoop Open Data Model: raccolta dati “open” Settembre 8, 2021
- Pass the Ticket: come mitigarlo con un SOCaaS Settembre 6, 2021
- Cos’è il Vishing e come funziona Settembre 1, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications