Beat Ransomware Education Implementation Remediation WPP BR

Vença o
ransomware:
Educação,
implementação
e correção com a Veeam
Rick Vanover
Diretor Sênior de Estratégia de Produtos
Veeam Software
Vença o ransomware: Educação, implementação e correção com a Veeam
Conteúdo
Estado da ameaça 3
As três estratégias definitivas de resiliência contra ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Educação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Educação pela identificação de vetores de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Educação pela preparação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Implementação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Proteção do servidor do Veeam Backup & Replication e componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Storage de backup ultrarresiliente e a regra 3-2-1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Configuração de múltiplas técnicas de recuperação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Proteção de endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Proteção de NAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Implementação de recursos da Veeam para detecção de ransomware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Criptografia da Veeam para dados de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Investimentos em automação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Correção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Conclusão: Prepare-se agora, ou sofra as consequências!. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Sobre o autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Sobre a Veeam Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
© 2020 Veeam Software. Informações confidenciais. Todos os direitos reservados. Todas as marcas registradas são propriedades de seus respectivos titulares. 2
Estado da ameaça
A ameaça representada pelo ransomware pode ser vista em uma escala grandiosa, como em um evento
no noticiário sobre a paralisação de uma organização. Um artigo recente da ZDNet relata que os ataques
de ransomware estão ficando maiores e vão piorar.1 As empresas precisam adotar um foco determinado para
reconhecer esta ameaça e tomar medidas de preparação, defesa e correção. Esta é uma etapa crucial a ser adotada
agora, a fim de evitar uma resposta não planejada e provavelmente ineficaz durante um incidente com ransomware.
Quando falo sobre ransomware em eventos, sempre peço para os participantes que tiveram algum tipo
de incidente com ransomware levantarem as mãos. a quantidade de mãos levantadas é chocante. Se você ainda
não teve uma ocorrência dessas, foi muita sorte. Vamos compartilhar algumas informações para ajudar você
a manter seus dados seguros no caso de um incidente com ransomware.
1
Via ZDNet https://www.zdnet.com/article/the-ransomware-crisis-is-going-to-get-a-lot-worse/
As três estratégias definitivas de resiliência contra ransomware
Se você quer vencer uma batalha contra o ransomware, aqui estão três estratégias que pode usar para garantir
que tem a resiliência necessária: Educação, implementação e correção.
Cada uma destas estratégias é uma disciplina em si, com uma necessidade contínua de reavaliar e ajustar
implementações para aumentar a resiliência. Cada área também terá suas próprias disciplinas, ferramentas e,
em muitas organizações de TI, diferentes responsáveis envolvidos. a abordagem de resiliência bem-sucedida
é aquela que incorpora a organização de TI, com o apoio da gerência. o resto deste documento será alinhado
a essas três estratégias, com dicas práticas de tecnologia da Veeam e também técnicas amplas de TI que darão
a você o que é necessário para implementar a resiliência necessária para hoje e além.
Muitos indivíduos que superaram um incidente com ransomware têm opiniões específicas sobre o que poderia
ter sido feito para prevenir a ocorrência ou acelerar a recuperação. Isto também será incorporado a este
documento na forma de dicas que podem ser implementadas de forma ampla.
Educação
A jornada da educação começa após os riscos da ameaça serem identificados. Isto deve ser motivação
suficiente para implementar práticas de TI que ajudarão você a evitar uma posição reativa, caso um incidente
com ransomware seja o assunto não planejado do dia.
Sob a perspectiva da educação, o público-alvo é composto por duas audiências principais: a equipe de TI
e os usuários da organização. É importante abordar os dois grupos, pois as ameaças podem ser introduzidas
por ambos. Sabe-se que no T4 20192, mais de 57% dos vetores de ataque com ransomware ocorreram pelo
comprometimento de um protocolo de desktop remoto (RDP), mais de 26% foram por meio de ataques
de phishing e mais de 12% ocorreram por causa de vulnerabilidades de software.
Educação pela identificação de vetores de ataque
Do ponto de vista educacional, saber que RDP, phishing e atualizações de software são os três principais
mecanismos de entrada é muito útil para concentrar o escopo sobre onde o maior esforço deve ser investido
para obter resiliência contra ransomware em relação aos vetores de ataque.
A maioria dos administradores de TI usa o RDP em seu trabalho diário. Na seção sobre implementação
da Veeam, mais adiante, a separação de contas será mencionada para os componentes do backup. Para
o acesso RDP, esta é uma oportunidade de refinar a segurança de acesso neste poderoso ponto de entrada.
É difícil imaginar que, no mundo da TI de hoje, ainda há muitos servidores RDP diretamente conectados com
a Internet. a realidade é que o RDP conectado com a Internet deve acabar3. Os administradores de TI podem
ser criativos com endereços IP especiais, redirecionamento de portas RDP, senhas complexas e outras medidas,
mas os dados não mentem. o fato de que mais da metade do ransomware chega pelo RDP mostra que expor
o RDP à internet não é uma prática alinhada com uma estratégia de resiliência contra ransomware voltada
para o futuro. Mais tarde, compartilharemos algumas recomendações específicas sobre RDP para ajudar você
a aumentar sua resiliência contra ransomware.
O outro modo de entrada mais frequente é o phishing por e-mail. Todos nós já vimos e-mails que não fazem
sentido ou parecem suspeitos. a atitude correta é excluí-los, mas nem todos os usuários lidam com essas
situações da mesma forma. Há duas ferramentas populares para avaliar o risco de sucesso de uma ameaça
de phishing em uma empresa: Gophish e KnowBe4.
O KnowBe4 (https://www.knowbe4.com) pode ser usado para fins de conscientização de segurança que vão
além da educação de usuários finais e administradores. Esse serviço fornece treinamento de conscientização
em segurança, com o benefício adicional de simular ataques de phishing.
Além do KnowBe4, há recursos de código aberto disponíveis para ajudar com o phishing. Um exemplo
é o Gophish (https://getgophish.com/), que permite que você crie painéis e envie e-mails para ver se os
destinatários clicarão nos e-mails de phishing. Você pode configurar um teste de phishing em questão
de minutos.
Quando a campanha é enviada, você pode visualizar quantos e-mails foram enviados, quantos foram
abertos, quantos usuários clicaram no link e mais. Esta é uma ótima forma de testar facilmente os níveis
de treinamento dos usuários na sua empresa. o painel do Gophish é exibido abaixo:
2
Via relatório Coveware: https://www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate
3
Via ESET https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
Essas ferramentas podem ser eficazes para medir a competência de uma organização na avaliação interna dos
riscos de e-mails de phishing, anexos e mais.
Outro fator importante é o risco da exploração de vulnerabilidades. Manter os sistemas atualizados é uma
responsabilidade tradicional da TI, e agora é mais importante do que nunca. Embora não seja uma tarefa
glamourosa, é um bom investimento, caso outro incidente com ransomware explore uma vulnerabilidade
conhecida e corrigida. Além disso, lembre-se da necessidade de ficar em dia com as atualizações de categorias
essenciais de ativos de TI: Sistemas operacionais, aplicações, bancos de dados e firmware de dispositivos. Há
vários tipos de ransomware baseados em vulnerabilidades antigas, que já foram corrigidas. Exemplos disso
incluem WannaCry, Petya e Sodinokibi4. Essas vulnerabilidades também incluem serviços que não são do sistema
operacional, como o njRAT5, que se aplica ao Adobe Flash.
Também é recomendado que você adote a mesma postura agressiva em relação às atualizações nos endpoints.
Como vetores de ataque, os endpoints podem ser um risco tão grande quanto os sistemas do data center,
especialmente para ameaças residentes que coletam informações do alvo. Em média, esse tempo de residência
é de três dias6.
Educação pela preparação
Há vários passos adicionais de preparação para seguir, como aprender a usar as ferramentas que você tem.
Por exemplo, se houver um ataque de ransomware e restaurar os dados for a ação correta, as organizações
de TI podem ficar mais preparadas familiarizando-se com diferentes cenários de restauração. Isso pode dar aos
profissionais de TI uma familiaridade com o processo, uma expectativa razoável sobre o tempo envolvido e, mais
importante, a confiança de que o processo funcionará. Alguns exemplos desses passos educacionais práticos são
resumidos abaixo:
4
Via ZDNet https://www.zdnet.com/article/sodinokibi-ransomware-is-now-using-a-former-windows-zero-day/
5
Via TrendMicro https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/lord-exploit-kit-rises-delivers-njrat-
and-eris-ransomware
6
Via ZDNet https://www.zdnet.com/article/most-ransomware-attacks-take-place-during-the-night-or-the-weekend/
• Restauração segura da Veeam: Durante a restauração segura, o Veeam Backup & Replication™ monta
os discos da máquina que você deseja restaurar. Então, o Veeam Backup & Replication ativa um antivírus
para verificar os arquivos nos discos montados. Se o antivírus detectar malware durante a varredura,
o Veeam Backup & Replication pode abortar o processo de restauração, restaurar a máquina ou restaurar os
discos com restrições, que dependem das configurações de restauração segura. Este é um pequeno passo
no processo de restauração, mas que pode lhe dar um pouco mais de confiança para não reintroduzir uma
ameaça com base em definições mais novas.
• Veeam DataLabs™: Um Veeam DataLab é uma tarefa do SureBackup® que inicializa o backup de uma
máquina virtual (VM) em um ambiente isolado. Essa funcionalidade tem o objetivo de verificar se um
sistema é recuperável, mas também pode ser usada para testes, como atualizações das aplicações ou do
sistema operacional. o DataLabs pode ser usado para selecionar um ponto de restauração e garantir que
o sistema funcione conforme esperado antes de restaurá-lo. Outro caso de uso é inicializar um ou mais
sistemas no DataLab sem acesso à rede para executar possíveis atividades de correção.
De modo geral, é recomendado que você se familiarize com o Veeam SureBackup. Isto pode oferecer
indicações antecipadas de que um sistema talvez seja irrecuperável devido a uma ameaça com ransomware,
ou muitos outros cenários. Em uma situação de remediação contra Ransomware, a tarefa do SureBackup
pode ser executada facilmente para garantir que o sistema será capaz de restaurar corretamente e que as
aplicações funcionarão conforme o esperado. Você também tem a opção de deixar tarefas do SureBackup em
execução após serem concluídas para verificar manualmente se existe uma ameaça de ransomware no sistema
antes de fazer a restauração. Mais informações sobre o Veeam DataLabs podem ser encontradas na seção
de implementação deste white paper.
• Cenários de restaurações múltiplas: Dependendo do tipo de incidente, pode ser aconselhável fazer um tipo
diferente de restauração. Por exemplo, um failover para réplica pode ser a forma mais lógica de sair de um
incidente com ransomware. Uma restauração no nível do arquivo pode ser a opção que faz mais sentido.
Outros cenários podem ser solucionados de forma mais apropriada com a restauração inteira da VM ou dos
Veeam Agents. Vale a pena se familiarizar com todos os cenários de restauração diferentes para adquirir
confiança na correção bem-sucedida de um incidente com ransomware.
O aspecto da educação deve ser levado a sério. Seja avaliando o risco de phishing em uma organização,
removendo os vetores de ataque mais frequentes ou mantendo o software e os sistemas atualizados, é essencial
adotar essas medidas. Se essas medidas não forem adotadas, o risco do ransomware aumenta. Uma forma
de medir esse investimento em educação é compará-lo com os riscos, custos e pressão de enfrentar um incidente
com ransomware sem preparação.
Em todas as situações, se um incidente com ransomware ocorre, a única ação possível é restaurar dados.
Da perspectiva da educação, este ponto de vista determinará a seriedade das próximas seções deste
documento que tratam da implementação e remediação dos produtos de backup Veeam. a perda de dados não
é uma opção; pagar o resgate não é uma opção. o resultado esperado é uma recuperação confiável, e as dicas
a seguir fornecerão resiliência para as empresas no cenário de ameaças.
Implementação
Os produtos de backup Veeam são conhecidos por serem simples, flexíveis e confiáveis. É um excelente
conjunto de atributos para experimentar novos recursos. Com relação à resiliência contra ransomware,
implementar uma solução de backup é bastante similar a passar por uma auditoria de conformidade.
Um produto não está necessariamente em conformidade ou desconformidade de acordo com certo padrão.
Em vez disso, a conformidade é totalmente definida pela forma como o produto é implementado e auditado.
Quando se trata de um incidente com ransomware, a resiliência é totalmente baseada na forma como
a solução de backup foi implementada, no comportamento da ameaça e na sequência de correção.
Implementar sua infraestrutura de backup Veeam não é apenas uma parte importante da resiliência contra
ransomware, é um passo essencial. As recomendações de implementação para resiliência contra ransomware
são organizadas nas seguintes seções:
• Proteção do servidor do Veeam Backup & Replication e componentes
• Implementação de recursos da Veeam para detecção de ransomware
• Storage de backup ultrarresiliente e a regra 3-2-1
• Configuração de múltiplas técnicas de recuperação
• Proteção de endpoints
• Proteção de NAS
• Criptografia da Veeam para dados de backup
• Recuperação orquestrada de backups e réplicas
Proteção do servidor do Veeam Backup & Replication e componentes
Sob a perspectiva da resiliência contra ransomware, o servidor do Veeam Backup & Replication é uma parte
essencial da solução. É importante que haja a maior separação possível para fornecer resiliência contra
ransomware. Aqui estão algumas das técnicas mais importantes a considerar na implementação:
Servidores Veeam sem acesso à Internet: Manter o servidor de backup isolado, sem conectividade à Internet,
é uma técnica muito importante para proteção contra ameaças sendo introduzidas ou em propagação.
Se o Veeam Cloud Tier ou o Veeam Cloud Connect forem usados, é necessário dar atenção especial ao
provimento de acesso explícito aos recursos de nuvem.
Contas usadas para implantação da Veeam: A abordagem mais resiliente seria ter a maior separação
possível para as contas usadas para implantações da Veeam. Considere conexões para proxies de backup da
Veeam, repositórios, aceleradores de WAN e outros componentes como uma conta explícita para mapear as
permissões necessárias. Algumas organizações podem preferir um conjunto de contas isoladas (não domínio)
para uso por esses componentes. Outras empresas podem preferir um domínio separado do Microsoft Active
Directory para a Veeam e as ferramentas de infraestrutura relacionadas que sejam o mais separadas possível.
Uma recomendação específica é não ter contas compartilhadas em uso entre fontes de dados de produção
e a infraestrutura de backup'. a pior prática aqui é ter tudo usando o login DOMÍNIO\Administrador, e dar
a essa conta permissões para recursos essenciais da infraestrutura, como Veeam, vSphere e Hyper-V. Se essa
conta for comprometida e usada nos componentes Veeam, muitas técnicas de resiliência estarão em risco.
Leituras recomendadas
As permissões necessárias para todos os Produtos Veeam são totalmente documentadas (além dos
requisitos de portas para cada função) em https://helpcenter.veeam.com
Além disso, você pode conferir o Guia das Práticas Recomendadas da Veeam sobre fortalecimento
de infraestrutura:
https://www.veeambp.com/infrastructure_hardening
Definindo acesso explícito ao repositório: Levando adiante a recomendação anterior, os repositórios

de backup são o recurso de storage mais essencial quando se trata de resiliência contra ransomware. Para
esse componente específico da Veeam, é recomendado que você proíba o acesso e a navegação em toda
a organização (isto pode impedir o vazamento de backups para fora da empresa). Proteção adicional pode ser
obtida por meio da microssegmentação e uso de firewall na rede interna para tráfego explicitamente permitido
(e permissões) para os recursos e destinos necessários.
Use o Veeam Backup Enterprise Manager corretamente: Ao usar o Veeam Backup Enterprise Manager (BEM) para
tarefas relevantes, o acesso ao plano central de controle da infraestrutura da Veeam é substancialmente reduzido.
Tarefas comuns, como restaurações no nível do arquivo, restaurações de VMs inteiras, backups rápidos, clonagem
de tarefas, edição de tarefas, requisição de backups completos ativos e outras podem ser feitas pelo BEM. o aspecto
mais poderoso e importante do BEM é que ele oferece essas ações em todos os servidores do Veeam Backup &
Replication implantados em uma organização. a figura abaixo mostra a tela principal do BEM:
Uma técnica adicional para reduzir a frequência de logins no servidor de backup da Veeam com permissões
completas é usar funções integradas. Essas funções podem ser usadas com o BEM e com o próprio Veeam
Backup & Replication. As funções incluem operador de restauração, usuário do portal e administrador do
portal. Mais informações sobre as funções estão disponíveis no Guia do Usuário Veeam ou no Veeam Help
Center (https://helpcenter.veeam.com/docs/backup/hyperv/users_roles.html?ver=100).
Exigir autenticação de dois fatores para acesso via desktop remoto para a Veeam: Para os sistemas executando
funções de console do Veeam Backup & Replication, é recomendado que você exija a autenticação de dois
fatores para iniciar uma sessão de desktop remoto (RDP). Em geral, o RDP é um dos vetores de ataque mais
frequentes (57,4% dos ataques são originados via RDP7). Mesmo em uma rede sem acesso à Internet, este vetor
de ataque deve ser considerado. Abordagens populares para a autenticação de dois fatores são as ferramentas
nativas da Microsoft ou uma ferramenta externa, como o Duo.
Autenticação de dois fatores da Microsoft para serviços de desktop remoto:

https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-plan-mfa
Autenticação multifator Duo

https://duo.com/product/multi-factor-authentication-mfa
Storage de backup ultrarresiliente e a regra 3-2-1
O ponto principal deste documento é ter uma forma de storage de backup ultrarresiliente. Um storage de backup
ultrarresiliente requer que você tenha uma ou mais cópias de dados de backup nas seguintes mídias:
• Backups em fita
• Backups imutáveis em storage de objeto S3 ou compatível com S3
• Mídia isolada e off-line (por exemplo, unidades removíveis, unidades rotativas)
• Backups no Veeam Cloud Connect com proteção interna
Backups em um tipo de storage ultrarresiliente serão uma das defesas mais essenciais para a resiliência contra
ransomware. Cada característica e cada organização devem selecionar qual abordagem faz mais sentido para
a situação específica. Além do ransomware, estas opções podem trazer outras técnicas de proteção para
resiliência de dados de backup como a mitigação de ameaças internas e exclusão acidental. Cada um destes
tipos de mídia ultrarresilientes é explicado abaixo:
Backups em fita: Toda organização de TI tem sua própria opinião sobre a mídia de fita, mas não há dúvida
de que o custo de aquisição, a capacidade off-line e a portabilidade da fita são difíceis de superar. a mídia
de fita ejetada ou fora de uma biblioteca está automaticamente off-line, a menos que esteja sendo usada em
uma operação de gravação ou leitura. a Veeam suporta mídia Write Once Read Many (WORM) para oferecer
resiliência adicional contra ransomware. a Veeam também tem um amplo suporte a mídias de fita, incluindo
a gravação de arquivos em fita e backups completos em fita. o suporte da Veeam a fitas para backup de VMs
e servidores físicos é visualizado no modo simples abaixo:
7
https://www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate
O suporte da Veeam para fitas é flexível para a maioria das configurações de dispositivos de fita LTO
e bibliotecas. o suporte para fita pode ser usado de várias formas para aprimorar a resiliência contra
ransomware. Uma dessas formas é colocar apenas uma quantidade fixa de dados em um intervalo menor
de tempo na mídia de fita, como o equivalente a algumas semanas de dados de backup. Quando as pessoas
pensam na infraestrutura de fita, geralmente pensam em enormes bibliotecas de mídia, com vários anos
de dados. Porém, você pode utilizar a fita como um tipo de mídia de storage ultrarresiliente para pontos
de restauração relativamente nearline. Na Veeam, os conjuntos de mídia são visualizados conforme a figura
abaixo, que exibe uma amostra de conjuntos de mídia diários, semanais e mensais:
Backups imutáveis em storage de objeto S3 ou compatível com S3: o Veeam Cloud Tier suporta backups
imutáveis, uma técnica poderosa para se tornar resiliente contra ransomware e outras ameaças. Isso é obtido
utilizando o Veeam Scale-Out Backup Repository™ (SOBR) com a camada de capacidade habilitada (isto
também é conhecido como a camada de nuvem). a camada de capacidade é um recurso baseado em políticas
que grava dados de backup no storage de objeto. Destinos como IBM Cloud, Azure, AWS e storage de objeto
compatível com AWS S3 são suportados, porém, apenas o AWS S3 e alguns sistemas selecionados de storage
compatíveis com S3 suportam o bloqueio de objeto com o modo de conformidade que é necessário para que
os dados de backup Veeam sejam colocados em um bucket como um backup imutável.
O aspecto mais interessante dos backups imutáveis S3 é que é muito fácil configurá-los no Veeam Backup
& Replication. Há duas propriedades que devem ser configuradas para o uso mais resiliente da Camada
de Capacidade da Veeam. a primeira é o bucket AWS S3 ou compatível com S3, que deve selecionar a opção
de tornar os backups imutáveis por um número determinado de dias. Isto se aplica a todos os dados de backup
que vão para o bucket a partir do processo de divisão em camadas do Scale-out Backup Repository, que ocorre
após um backup ser concluído (modo de cópia) ou após um intervalo (modo de movimentação). a configuração
do período de imutabilidade em um bucket é mostrada abaixo:
A configuração de imutabilidade descrita é uma propriedade do bucket do storage de objeto. Para usar o storage
de objeto da forma mais efetiva e torná-lo resiliente contra ransomware, uma configuração adicional deve ser
usada como uma propriedade do Scale-out Backup Repository. o storage de objeto com camada de capacidade
então receberá dados de backup movendo-os para o storage de objeto, para os arquivos de backup mais antigos
do que uma janela operacional de restauração especificada (digamos, 14 dias ou mais antiga). Também há uma
opção para copiar os backups para o storage de objeto assim que forem criados (modo de cópia).
O modo de cópia é uma etapa adicional importante para tornar-se resiliente contra ransomware, pois fará
imediatamente uma cópia dos dados de backup no storage de objeto após uma tarefa de backup ser concluída.
Conforme o backup fica obsoleto, o modo de movimentação irá remover, ou organizar em camadas, os dados
de backups das extensões locais na camada de desempenho. No período entre a criação do backup e a janela
operacional de restauração, os backups existirão tanto no local como no storage de objeto. Combine isso com
a configuração imutável e você terá uma forte técnica de resiliência contra ransomware.
Isto é importante, pois em muitos casos as restaurações dos pontos mais recentes são as mais desejáveis
porque têm o objetivo de ponto de recuperação (RPO) mais próximo. a configuração do modo de cópia no
Scale-out Backup Repository é mostrada na figura abaixo:
A opção para criptografar dados de backup no storage de objeto também é mostrada na figura acima. Nem
é necessário mencionar que esta é uma configuração recomendada para os dados de backup na nuvem.
Leituras recomendadas
Você pode ler mais sobre o recurso de backup imutável da Veeam em http://vee.am/s3immutable
Mídia off-line e isolada: Unidades rotativas e removíveis são outros tipos de mídia que possuem características
off-line como a fita. Para perfis de dados maiores, isto é mais difícil gerenciar, pois unidades únicas que podem
ficar off-line são geralmente limitadas pelo tamanho das unidades (embora esse tamanho esteja aumentando).
Esta abordagem também pode ser adotada de forma situacional, por exemplo, para locais de fronteira
e endpoints, como ROBO. o Veeam Backup & Replication suporta repositórios que fazem rotação de mídia em
processos de intercâmbio.
O Veeam Agent for Microsoft Windows, por exemplo, suporta destinos de mídia removível. Para endpoints,
há um recurso adicional de ejetar a mídia após a conclusão de uma tarefa de backup para garantir que a mídia
removível fique off-line. Essa opção é mostrada na figura abaixo:
Backups no Veeam Cloud Connect com proteção interna: o Veeam Cloud Connect é uma tecnologia
estabelecida no mercado, que fornece storage de backup Veeam como um serviço, além de recuperação
de desastres como serviço (DRaaS) com a tecnologia de replicação da Veeam. o Veeam Cloud Connect é
fornecido por provedores de serviço com a tecnologia da Veeam. Essa tecnologia pode ser configurada em
pacotes como "Veeam Cloud Connect for the Enterprise", para que as organizações maiores possam oferecer
esse recurso internamente.
A proteção interna do Veeam Cloud Connect foi criada para fornecer resiliência adicional aos dados de backup
contra o risco de ransomware, atividades maliciosas de administradores ou exclusão acidental. Com a proteção
interna, uma cópia adicional out-of-band dos dados de backup é retida pelo provedor de serviços e pode ser
exposta por intervenção, como uma chamada de suporte. Esse processo permitirá que os dados de backup
sejam repopulados no repositório do Veeam Cloud Connect para então serem usados nas restaurações no local.
o backup do Veeam Cloud Connect é representado abaixo:
Você pode encontrar um provedor de serviços que ofereça o Veeam Cloud Connect com proteção interna aqui:
http://vee.am/splookup
A regra 3-2-1: Há muitos anos, a Veeam defende a Regra 3-2-1 como uma estratégia geral de gerenciamento
de dados. a Regra 3-2-1 recomenda que haja pelo menos três cópias dos dados importantes, em pelo menos
dois tipos de mídia, com pelo menos uma cópia permanecendo em um local externo. a melhor parte da
Regra 3-2-1 é que ela não exige qualquer tipo específico de hardware e é versátil o bastante para tratar
de praticamente qualquer cenário de falha.
Com o avanço da ameaça do ransomware, a Veeam enfatiza que "uma" cópia dos dados deve ser
ultrarresiliente (ou seja, isolada, off-line ou imutável). Essa recomendação é imperativa para tornar-se
resiliente contra ransomware.
Configuração de múltiplas técnicas de recuperação
No processo de implementação do Veeam Backup & Replication, há conexões inerentes com vários outros
sistemas. Esses sistemas incluem ambientes virtuais como o VMware vSphere, Microsoft Hyper-V ou Nutanix
AHV, ambientes físicos como Windows, Linux, AIX e Solaris, e sistemas de storage array. o conselho prático
nessa situação é ter todas as opções de recuperação disponíveis. o tipo de processo de restauração mais
popular geralmente envolve a recuperação de um sistema inteiro (por exemplo, uma VM ou servidor),
recuperação no nível do arquivo ou recuperação no nível da aplicação. Algumas recomendações além dos tipos
mais populares de restauração são explicadas abaixo:
Integração com storage snapshot: Se um sistema de storage primário estiver sendo usado com um suporte
de storage snapshot integrado da Veeam, isso pode ser uma técnica incrivelmente rápida de recuperação
em alta velocidade. o Veeam Explorer™ for Storage Snapshots pode recuperar VMs rapidamente a partir
de snapshots no nível do storage feitos conforme uma programação. o Veeam Explorer for Storage Snapshots
é mostrado na figura abaixo:
A técnica acima é permitir que os dados de produção (ou seja, VMs) impulsionem uma técnica de restauração
a partir de um storage snapshot primário. Porém, também é recomendado que você faça o backup do sistema
de storage primário. a Veeam também suporta técnicas de storage snapshot somente leitura, como snapshots
do NetApp SnapVault e Pure Storage SafeMode.
Replicação da Veeam: Muitas organizações procuram a Veeam em busca de backup e recuperação para
cargas de trabalho essenciais, mas o mecanismo de replicação é uma técnica avançada que pode fazer parte
da remediação contra ransomware. Ter VMs replicadas para o mesmo local ou para um local de recuperação
de desastres (DR) é uma técnica de recuperação em alta velocidade que pode ajudar a eliminar rapidamente
uma ameaça. Uma visualização simplificada de uma VM replicada da Veeam é ilustrada abaixo:
Lembre-se de que a replicação pode ser um cenário em que o ransomware também tenha exposição no lado
do destino. Algumas considerações importantes para a replicação em geral em relação à resiliência contra
ransomware incluem:
• Usar diferentes contextos de segurança no lado de origem e de destino, com hipervisores e software
de gerenciamento, como o vCenter ou System Center.
• Os pontos de restauração para réplicas são bastante similares ao mecanismo de backup e representam a VM no
momento em que a tarefa de replicação foi executada.
• Para ambientes VMware, é possível criar tarefas do SureBackup para as réplicas da Veeam a fim de garantir
que uma réplica seja ativada e funcione conforme o esperado, antes de fazer a restauração de um incidente
com ransomware.
Outro produto Veeam, o Veeam Availability Orchestrator, oferece um mecanismo de orquestração

e automação confiável, escalável e fácil de usar, desenvolvido especialmente para as necessidades atuais
de continuidade dos negócios/recuperação de desastres (BCDR). Ao eliminar os testes manuais e processos
de recuperação ineficientes, demorados e sujeitos a erros, o Veeam Availability Orchestrator oferece uma
estratégia de DR planejada, praticada e comprovada, usando réplicas e backups, que garante operações
de TI mais resilientes. o Veeam Availability Orchestrator também garante que as réplicas e backups
cumprirão os objetivos de tempo de recuperação (RTOs) e RPOs automaticamente, o que confere uma
grande confiança em uma estratégia de DR abrangente e oferece provas de que o seu SLA de disponibilidade
pode ser cumprido. No contexto da resiliência contra ransomware, ter confiança na DR pode ser uma forma
poderosa de se recuperar de um incidente com ransomware.
Muitas opções: Dependendo da natureza de uma situação de ransomware, nem sempre há uma única maneira
de fazer a recuperação. Em muitos casos, as recuperações de VMs ou sistemas inteiros são muito eficazes,
mas é aconselhável que os especialistas façam outros tipos de restauração para migrar os dados selecionados
necessários. Isso inclui recuperação nos níveis do arquivo, da aplicação ou de unidades selecionadas, como um
arquivo VHDX ou VMDK.
Proteção de endpoints
Muitas organizações conhecem a Veeam pelos backups de servidores físicos, máquinas virtuais e mais para
o data center. Porém, os Veeam Agents também fornecem backup para desktops, laptops e tablets Windows.
Para backups de endpoints Linux e Windows, as empresas podem acrescentar outro nível de resiliência contra
ransomware ao endpoint.
A estratégia de backup de endpoints fornece uma técnica de resiliência contra ransomware para recuperar
a partir de backups em caso de incidente. Isto também oferece outros benefícios quando a API de integração
de dados da Veeam é considerada para os backups de endpoints. Também existe uma oportunidade de fazer
análises de sistemas de endpoint após o backup para reduzir o tempo entre a entrada de uma ameaça no
sistema e o início de uma exploração.
Conforme mencionado antes, o Veeam Agent for Microsoft Windows suporta a ejeção de mídia removível para
torná-la off-line, por meio de duas técnicas essenciais de resiliência contra ransomware. a primeira é apenas ter
um backup, e a segunda é ter um backup off-line. Isso é suportado por sistemas Linux e também por desktops,
laptops e tablets Windows.
Proteção de NAS
Os sistemas de NAS também são alvos frequentes de ataques com ransomware. Combinando isso com
ameaças internas ou exclusão acidental, há muitos motivos para considerar também os dados de arquivos
como um alvo de ameaças. o suporte do Veeam Backup & Replication para backup de NAS fornece ótimas
opções de recuperação para dados de compartilhamento de arquivos se um incidente de ransomware tiver
comprometido o conteúdo do compartilhamento de arquivos.
O mecanismo de backup de arquivos da Veeam tem três tipos de recuperação. o primeiro tipo é a recuperação
de pastas e arquivos em situações isoladas que recuperam com base na última vez que o backup foi executado.
o segundo tipo de recuperação é reverter todo o compartilhamento a um ponto de restauração específico.
o terceiro cenário de recuperação é restaurar todo o compartilhamento para um novo dispositivo, em caso
de perda do dispositivo.
Cada cenário tem um caso de uso para recuperação contra ransomware, mas o segundo cenário oferece uma
forma interessante de recuperar um compartilhamento, caso um incidente com ransomware tenha ocorrido.
Se a ameaça for removida, mas parte do compartilhamento NAS tiver sido criptografado ou excluído, esse
tipo de restauração pode reverter o conteúdo do compartilhamento para o que era no momento do backup
especificado. Para sistemas NAS que têm milhões de arquivos e caminhos de pastas muito profundos,
o repositório de cache da Veeam para o compartilhamento manterá o registro das alterações de arquivos
e pastas dentro do compartilhamento. Isto permite fazer uma restauração para um momento no tempo sem
ter que conhecer a extensão do dano ao conteúdo do compartilhamento. As opções de restauração para NAS
são mostradas abaixo:
Implementação de recursos da Veeam para detecção de ransomware
Detectar uma ameaça de ransomware o mais cedo possível dá às organizações de TI uma vantagem
interessante. Esse potencial não pode ser subestimado. a Veeam implementou duas técnicas específicas
de detecção para ajudar a detectar possíveis atividades de ransomware:
Alerta de possível atividade de ransomware: Este alarme do Veeam ONE™ detecta uma combinação
de utilização alta da CPU e E/S contínuas de escrita em uma unidade. Esse alarme é mostrado na figura abaixo:
Esse alarme também pode ser personalizado. As configurações padrão são um bom ponto de partida para
possíveis atividades de ransomware, mas podem ser ajustadas para parâmetros mais conservadores em relação
ao que ativará este alarme específico. Essa personalização é mostrada na figura abaixo:
Para organizações que usam o Veeam ONE, o próximo conselho é essencial para tratar do que acontece
quando este alarme é acionado. Recomendo algumas ações específicas integradas do alarme que fazem
notificações mais agressivas à equipe de TI. Isso inclui mensagens SMS, alertas para equipes de segurança
e até medidas extremas como desativar uma VM ou desconectar a interface de rede pela etapa de ações do
alarme do Veeam ONE. Se você tem sistemas VMware e Hyper-V implantados, lembre-se de tornar essas
ações obrigatórias para ambos os ambientes.
Tamanho de incremento suspeito: Esse alarme é aplicável ao Veeam ONE quando ele monitora o Veeam Backup &
Replication na visualização de proteção de dados. Esse alarme é uma forma de relatar que um backup incremental
tem um tamanho grande demais e suspeito. Essa lógica é baseada na taxa de mudança normal e na possibilidade
de que os dados de origem sejam criptografados, o que removeria a maioria das oportunidades de eficiência
de storage. Como na maioria dos alarmes do Veeam ONE, há regras configuráveis para selecionar a profundidade da
análise. Por padrão, ela analisará três pontos de restauração e indicará um aviso ao detectar uma taxa de mudança
de 150% e um alarme de erro a uma taxa de mudança de 200%. Esse alarme é mostrado abaixo:
API de integração de dados: a API de integração de dados da Veeam é mais bem utilizada pelo PowerShell
e é parte do Veeam Backup & Replication v10. Esse recurso permite que os dados dos arquivos de backup
sejam expostos como uma pasta montada no Windows, dando acesso aos dados disponíveis no backup criado
pelo Veeam Backup & Replication. Esse recurso é uma nova técnica incrível, uma arma na guerra contra
o ransomware, e é possível fazer verificações adicionais nos dados que já foram gravados em backup.
Essa técnica de resiliência contra ransomware pode fornecer análises adicionais dos backups em busca
de ameaças, incluindo o uso de outras ferramentas mais invasivas que não são usadas em cargas de trabalho
de produção. Além disso, se os backups de endpoints estiverem em repositórios da Veeam, há uma área
de superfície incrível para analisar em busca de possíveis introduções de ameaças.
O uso da API de integração de dados iniciará com os backups em um repositório da Veeam. o script de exemplo
do PowerShell invoca o backup de um sistema (TPM00-DT-RV) para montagem pelo Cmdlet Publish-
VBRBackupContent. Isso é mostrado na figura abaixo:
Este é um script de exemplo do PowerShell para a montagem de um backup, mas vários backups podem ser
montados com o Cmdlet. Isso executará uma tarefa de publicação instantânea do disco no Veeam Backup &
Replication. Essa ação específica é similar a uma Instant VM Recovery®, mas em vez de publicar o storage
da VM de backup ou agente em um ambiente VMware ou Hyper-V, ela publica no servidor do Veeam Backup
& Replication. Essa publicação é feita de forma transparente por meio do iSCSI do Cmdlet. Esse servidor do
Veeam Backup & Replication mostra o backup exposto como um disco publicado abaixo:
Quando isso estiver em execução conforme mostrado acima, o conteúdo das unidades gravadas em backup
é exposto localmente como pastas no servidor do Veeam Backup & Replication:
É nesse momento que você pode usar o poder da sua infraestrutura de backup. Agora, é possível fazer análises
avançadas nos sistemas gravados em backup com a Veeam. Dois exemplos específicos que podem ajudar na
detecção resumida usam as ferramentas de análise ESET e Total Commander.
No primeiro exemplo, o ESET pode ser usado para analisar somente o caminho VeeamFLR que contém os backups
publicados.
Quando o caminho VeeamFLR for selecionado com a ferramenta ESET, a análise personalizada pode ser
executada. a ferramenta ESET fará o download do arquivo de definições de ameaças mais recente antes
da análise para usar as informações mais atualizadas na varredura. o progresso da análise é mostrado abaixo:
A outra ferramenta que eu quero destacar como uma possível técnica de detecção ao usar a API de integração
de dados é o Total Commander. Essa ferramenta é usada por muitos administradores de TI em funções
avançadas de storage. Um dos recursos interessantes do Total Commander é que a pesquisa pode examinar
o caminho VeeamFLR em busca de arquivos criptografados, conforme mostrado abaixo:
Devido à fragmentação inerente das ameaças de ransomware, é possível que a pesquisa não mostre
arquivos criptografados por uma ameaça. a possibilidade de usar a API de integração de dados da Veeam em
coordenação com alguns dos kits de ferramentas preferidos na área de conhecimento de cada organização
de TI é interessante para melhorar a visibilidade das ameaças antes que elas sejam expostas em uma escala
maior. Também há uma ótima oportunidade de usar a API de integração de dados da Veeam em cenários
maiores de automação. Considere a implementação de fluxos de trabalho que selecionem backups, executem
tarefas do SureBackup e depois usem automaticamente a API de integração de dados para executar tarefas
de análise mais intensivas após o backup, que não podem ser feitas em cargas de trabalho de produção. Essa
é uma oportunidade para reduzir o tempo entre a introdução e a exploração da ameaça.
Vá mais fundo com a API de integração de dados da Veeam
Você pode encontrar mais informações sobre a API de integração de dados da Veeam e Cmdlets associados
aqui: http://vee.am/vdapi
Veeam DataLabs: Veeam DataLabs podem ser usados para ajudar você a se tornar resiliente contra ransomware,
atuando como uma técnica de detecção e correção. a tarefa do SureBackup executará um Veeam DataLab para
desempenhar várias tarefas:
• Garanta a recuperabilidade de um sistema em backup
• Teste um sistema, como atualizações, mudanças em aplicações, etc.
• Tecnologias de restauração por etapas e seguras
Do ponto de vista da detecção de ransomware, se uma ameaça for exposta na próxima inicialização de um
sistema, uma tarefa do SureBackup pode identificar um problema em que o sistema não inicializa ou aplicações
não são executadas conforme o esperado. As tarefas do SureBackup podem garantir que as aplicações
serão iniciadas conforme o esperado a partir de backups (ou réplicas em ambientes VMware) e a geração
de relatórios indicará que o ponto de restauração de fato foi restaurado.
Um dos aspectos versáteis de uma tarefa do SureBackup é a capacidade de deixar a tarefa em execução após ser
iniciada. Por padrão, uma tarefa do SureBackup será iniciada e executará as verificações configuradas. Se a tarefa
for configurada para continuar em execução, outras verificações podem ser executadas no sistema a partir do ponto
de restauração do backup. Isso pode incluir uma inspeção manual para ver se a ameaça de ransomware ainda existe,
verificar a existência de arquivos específicos ou criptografados e também extrair dados selecionados.
Criptografia da Veeam para dados de backup
Na guerra contra o ransomware, pode parecer pouco intuitivo recomendar a criptografia dos backups Veeam.
Porém, esse é o tipo de criptografia boa; é a criptografia como recomendação para resiliência adicional contra
ransomware e ameaças internas.
A recomendação é que você use a criptografia da Veeam em backups sempre que possível, incluindo o primeiro
backup. o primeiro backup costuma ser feito no mesmo local, perto dos dados de origem, e geralmente fica em um
repositório de backup local. Outras instâncias de dados de backup Veeam, como aquelas obtidas por meio de uma
tarefa de cópia de backup ou processamento para o Veeam Cloud Tier, também devem ser criptografadas.
Ao criptografar os dados do primeiro backup e de todas as cópias subsequentes, os arquivos de backup Veeam
ficam protegidos contra um tipo emergente de ransomware. Há três agentes de ameaça que cobram resgate para
impedir vazamentos de dados, em vez de apenas descriptografar os dados. o resgate é remover dados que vazaram
para fora da organização. Não queremos um link público para arquivo de backup contendo dados confidenciais
sendo vendido pelo maior lance. Numa situação ideal, as recomendações anteriores feitas neste documento não
permitiriam que isso acontecesse, mas esta é uma proteção adicional. a criptografia da Veeam é suportada para
tarefas de backup, tarefas de cópia de backup, tarefas de backup em fita, VeeamZIP e criptografia de fita.
Investimentos em automação
Uma área em que é recomendado ter uma arma adicional para a resiliência contra ransomware é a automação.
Isso ajudará especificamente em possíveis situações de correção, pois a infraestrutura original pode não ser
confiável. Há muitas técnicas de Infraestrutura como Código disponíveis com a Veeam, Microsoft, VMware
e tecnologias relacionadas.
As várias ferramentas existentes podem provisionar infraestrutura, configurações e serviços essenciais.
A possibilidade de criar uma plataforma completamente nova para restaurar via automação é uma parte
interessante de um possível cenário de recuperação. Esse seria um caso em que você precisaria de uma nova
"plataforma" para restaurar, mas tendo bons dados de backup Veeam. Considere esses kits de ferramentas
como oportunidades para implantar rapidamente, caso seja necessário um cenário de recuperação completa.
Aqui estão alguns conteúdos adicionais para se familiarizar com essas tecnologias:
Sessão Veeam VMworld 2018:

https://videos.vmworld.com/global/2018/videoplayer/26243
Implantações da Veeam em Chef (Parte 1):

https://vzilla.co.uk/vzilla-blog/cooking-up-some-veeam-deployment-with-chef-automation-part-1
Implantações da Veeam em Chef (Parte 2):

https://vzilla.co.uk/vzilla-blog/cooking-up-some-veeam-deployment-with-chef-automation-part-2
Ferramentas de exemplo de Infraestrutura como Código:

https://vzilla.co.uk/vzilla-blog/summerproject-infrastructure-as-code-example-tools
Operações com Windows e uso do Chocolatey para gerenciamento de pacotes Windows com Veeam Agents:
https://vzilla.co.uk/vzilla-blog/windowsoperationsusingchocolateyforveeamdeployment
Correção
Apesar de todas as técnicas de capacitação e educação empregadas para obter a resiliência contra
ransomware, as empresas devem se preparar para remediar uma ameaça, caso seja introduzida. Na Veeam,
concordamos com a seguinte abordagem para remediação de ransomware:
• Não pague o resgate
• A única opção é restaurar os dados
Com as recomendações feitas anteriormente neste documento, as empresas devem estar preparadas para ter
camadas de resiliência para se defender contra um incidente com ransomware. o que as empresas podem não
ter considerado é a ação específica a ser tomada quando uma ameaça é descoberta.
Aqui estão algumas recomendações de correção que devem estar à sua disposição, caso ocorra um incidente com
ransomware:
Suporte Veeam: Há um grupo especial na organização de suporte da Veeam que tem operações específicas
para orientar os clientes nas restaurações de dados em caso de incidentes com ransomware. Você não deve
colocar seus backups em risco; eles são essenciais para a sua capacidade de recuperação.
Comunicação em primeiro lugar: Em qualquer tipo de desastre, a comunicação é um dos primeiros desafios
a ser superado. Tenha um plano para se comunicar out-of-band com as pessoas corretas. Isso inclui listas
de texto de grupos, números de telefone ou outros mecanismos usados frequentemente para mecanismos
de chamada, mas expandidos para os grupos de operações de toda a TI.
Especialistas: Tenha uma lista de especialistas em segurança, resposta a incidentes, gerenciamento

de identidades e outros que estejam prontos para serem contatados, se necessário. Eles podem ser da própria
organização ou especialistas externos. Se um Veeam Service Provider for usado, há complementos adicionais
para as ofertas básicas que podem ser considerados (como a proteção interna do Veeam Cloud Connect).
Cadeia de decisão: Uma das partes mais difíceis na recuperação de um desastre é a autoridade de decisão.
Quem decide fazer a restauração, o failover etc.? Converse sobre isso com antecedência.
Pronto para restaurar: Quando as condições para a restauração estiverem preparadas, implemente verificações
de segurança adicionais antes de colocar os sistemas na rede novamente. Uma parte destas dicas já foram
explicadas neste documento, mas algumas etapas adicionais podem incluir a restauração com o acesso à rede
desabilitado para uma verificação final.
Opções de restauração: Dependendo da situação, talvez a recuperação de uma VM completa seja a melhor
opção. Uma recuperação no nível do arquivo também faz sentido. a familiaridade com as suas opções
de recuperação ajudarão muito.
Restauração com segurança: Conforme explicado antes, a restauração segura da Veeam acionará uma
verificação de antivírus na imagem antes de concluir a restauração. Use as definições mais recentes
de antivírus e malware, e talvez uma ferramenta adicional para garantir que nenhuma ameaça seja
reintroduzida.
Force a redefinição das senhas: Os usuários não gostam disso, mas você deve implementar uma mudança geral
e forçada das senhas. Isso reduzirá a área de superfície de propagação da ameaça.
Conclusão: Prepare-se agora, ou sofra

as consequências!
A ameaça é real e a oportunidade para se preparar está aqui. Quais são as etapas necessárias para ser resiliente
contra ransomware? Este documento definiu várias dicas sobre educação, implementação e correção. Com
a preparação correta, as etapas descritas aqui podem aumentar sua resiliência contra um acidente com
ransomware para evitar a perda de dados, prejuízos financeiros, danos à reputação da empresa e mais.
Você pode encontrar mais informações sobre a resiliência contra ransomware com a Veeam em:
http://vee.am/ransomwareseriespapers
Sobre o autor
Rick Vanover (Cisco Champion, vExpert) é Diretor Sênior de Estratégia de Produtos

da Veeam Software. a experiência de Rick com TI inclui administração de sistemas
e gerenciamento de TI, sendo a virtualização o tema central de sua carreira recente.
Siga o Rick no Twitter @RickVanover ou @Veeam.
Sobre a Veeam Software

A Veeam® é líder em soluções de backup que oferecem o Cloud Data Management ™. A Veeam fornece
uma plataforma única para modernizar o backup, acelerar a nuvem híbrida e proteger dados. Com
mais de 375.000 clientes em todo o mundo, incluindo 82% da Fortune 500 e 67% da Global 2.000,
as pontuações de satisfação do cliente Veeam são as mais altas do setor, cerca de 3,5x superior a média
do mercado. O ecossistema 100% de canal da Veeam inclui parceiros globais, bem como HPE, NetApp, Cisco
e Lenovo como revendedores exclusivos. A Veeam possui escritórios em mais de 30 países. Para saber mais,
visite https://www.veeam.com ou siga a Veeam no https://twitter.com/veeam.
Proteção contra ataques internos para Veeam Cloud & Service Providers
Cloud
Data
Backup
for what’s next
5 Stages of Cloud Data Management —
start your journey today!
Learn more: veeam.com
APENAS PARA USO INTERNO DA VEEAM
© 2019 Veeam Software. Informações confidenciais. Todos os direitos reservados. Todas as marcas comerciais são de propriedade dos respectivos titulares. 14

Beat Ransomware Education Implementation Remediation WPP BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Beat Ransomware Education Implementation Remediation WPP BR

Enviado por

Direitos autorais:

Formatos disponíveis

Vença o

As três estratégias definitivas de resiliência contra ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Educação pela identificação de vetores de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Educação pela preparação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Proteção do servidor do Veeam Backup & Replication e componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Storage de backup ultrarresiliente e a regra 3-2-1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Configuração de múltiplas técnicas de recuperação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Implementação de recursos da Veeam para detecção de ransomware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Criptografia da Veeam para dados de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Conclusão: Prepare-se agora, ou sofra as consequências!. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Sobre a Veeam Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

As três estratégias definitivas de resiliência contra ransomware

Educação pela identificação de vetores de ataque

Educação pela preparação

• Proteção do servidor do Veeam Backup & Replication e componentes

• Implementação de recursos da Veeam para detecção de ransomware

• Storage de backup ultrarresiliente e a regra 3-2-1

• Configuração de múltiplas técnicas de recuperação

• Criptografia da Veeam para dados de backup

• Recuperação orquestrada de backups e réplicas

Proteção do servidor do Veeam Backup & Replication e componentes

Definindo acesso explícito ao repositório: Levando adiante a recomendação anterior, os repositórios

Autenticação de dois fatores da Microsoft para serviços de desktop remoto:

Autenticação multifator Duo

Storage de backup ultrarresiliente e a regra 3-2-1

• Backups imutáveis em storage de objeto S3 ou compatível com S3

• Mídia isolada e off-line (por exemplo, unidades removíveis, unidades rotativas)

• Backups no Veeam Cloud Connect com proteção interna

Configuração de múltiplas técnicas de recuperação

Outro produto Veeam, o Veeam Availability Orchestrator, oferece um mecanismo de orquestração

Implementação de recursos da Veeam para detecção de ransomware

Vá mais fundo com a API de integração de dados da Veeam

• Garanta a recuperabilidade de um sistema em backup

• Teste um sistema, como atualizações, mudanças em aplicações, etc.

• Tecnologias de restauração por etapas e seguras

Criptografia da Veeam para dados de backup

As várias ferramentas existentes podem provisionar infraestrutura, configurações e serviços essenciais.

Sessão Veeam VMworld 2018:

Implantações da Veeam em Chef (Parte 1):

Implantações da Veeam em Chef (Parte 2):

Ferramentas de exemplo de Infraestrutura como Código:

• Não pague o resgate

• A única opção é restaurar os dados

Especialistas: Tenha uma lista de especialistas em segurança, resposta a incidentes, gerenciamento

Conclusão: Prepare-se agora, ou sofra

Rick Vanover (Cisco Champion, vExpert) é Diretor Sênior de Estratégia de Produtos

Sobre a Veeam Software

Learn more: veeam.com

APENAS PARA USO INTERNO DA VEEAM

Você também pode gostar