Veeam Decoy Project

Partiamo dall’inizio: security e backup.

Al giorno d’oggi , purtroppo, gli attacchi ransowmare sono in continua crescita, e difendersi è una sfida sempre più complessa.

Se prima i backup venivano considerati come un qualcosa di poco importante, magari utili solo in caso di eventuali danni agli storage, oggi sono diventati l’ultima frontiera per mettere in salvo i nostri dati.

Per questo motivo, uno dei principali obiettivi durante un cyber attacco è proprio l’infrastruttura di backup: se i threath actor riescono a metterla fuori gioco, la strada verso il pagamento di un riscatto sarà tutta in discesa.

Le notizie di collaborazioni e integrazioni di prodotti tra i grandi vendor di data protection e quelli di security sono ormai all’ordine del giorno, in ultimo quella tra Veeam e Palo Alto Network Cortex XSIAM/XSOAR.

Tutto questo ci fa capire quanto sia importante focalizzarsi sulla sicurezza di tutti i sistemi, comprese le infrastrutture di backup.

Una delle tante best practice consigliate da Veeam, ad esempio, è quella di cercare di rendere quanto più possibile anonimi i suoi componenti.

Assegnare ai server e ai repository di backup un nome non riconducibile al loro ruolo può essere un primo tentativo per evitare di rendere proprio tutto così facile ad eventuali malintenzionati.

Un altro metodo per cercare di identificare e magari di rallentare un attacco in corso consiste nell’utilizzo degli honeypot: trappole, esche utilizzate per attirare i threat actor e farli uscire allo scoperto.

L’honeypot è un componente che simula il sistema di produzione, magari con le stesse applicazioni, ma con dati non reali.

Nel caso di Veeam Data Platform, l’idea potrebbe essere quella di creare un VBR server aggiuntivo che funge da esca, magari con tanto di backup funzionanti.

Ovviamente questo potrebbe richiedere un effort non indifferente, perchè si dovrebbero utilizzare dei sistemi sacrificabili e non di produzione, con il solo scopo di attirare i malintenzionati e far si che i nostri software di anomaly detection rilevino i tentativi di instrusione o manomissione dell’honeypot.

Un’opzione più semplificata è quella sviluppata dal progetto open source Veeam Decoy.

Questo sistema simula molteplici servizi Veeam e Windows, come i servizi di Veeam Backup Server, Veeam Hardened Repository, Veeam Windows Repository, Veeam Backup Enterprise Manager, SSH, RDP, Netbios.

Supporta l’utilizzo di più schede di rete, per cui ogni servizio può essere a una determinata VLAN, in modo da essere pronto a scenari realistici di attacco con utilizzo di tattiche di lateral movement (TA0008).

Il sistema non riceve alcun traffico in ingresso, per cui ogni connessione riconducibile all’utilizzo di tattiche di discovery (TA0007) dovrebbe rappresentare un tentativo di intrusione.

Questo tool è scaricabile come appliance OVA (compatibile solo con vSphere 8.0) oppure installabile su una Rocky Linux minimal.

La console si presenta con una interfaccia molto semplice ma al tempo stesso completa, dove possiamo gestire lo stato dei servizi di decoy, le interfacce di rete associate e visualizzare in tempo reale porte in uso e log delle connessioni su ogni specifico servizio.


Tutti i tentativi di connessione catturati, comprendenti informazioni come porta sorgente, ip sorgente o credenziali utilizzate, posso essere inviati ad un syslog centralizzato o tramite email, in modo tale da attivare un alerting che può essere prontamente gestito da un SOC.


Certo, non ci aspettiamo che sia la nostra arma più efficace contro i cyber attacchi, ma in questa lotta tra i due mondi è pur sempre un’opzione in più! 💚

Veeam 12.2 – What’s New

Nel corso di questa settimana è arrivata la notizia tanto attesa: Veeam 12.2 è finalmente disponibile per il download.

Come anticipato in questo articolo, sono molte le novità rispetto alla versione precedente.

Di seguito elenchiamo le principali:

  • supporto per Proxmox VE, con immutabilità sul backup e possibilità di restore VM cross-platform
  • sviluppo dell’integrazione con Nutanix, tra cui il supporto delle operazioni di backup tramite Prism Central con Veeam backup for Nutanix AHV 6
  • supporto per backup nativo di Mongo DB, uno dei più diffusi database NoSQL, compreso il classico explorer per i restore granulari
  • supporto completo di VMware vSphere 8.0 U3 e VMware Cloud Director 10.6
  • sviluppo delle integrazioni con IBM Db2 e SAP HANA
  • supporto per Amazon Redshift e Amazon Fsx
  • supporto per Microsoft Azure Data Lake e Cosmos DB

In aggiunta alle suddette novità, tra le funzionalità più interessanti migliorate troviamo:

  • supporto per offload diretto dal performance tier all’archive tier per tutti i tipi di repository presenti on-prem nel SOBR
  • CDP I/O Filter Cross Compatibility, per supportare anche versioni meno recenti (12.0 e 12.1)
  • Veeam App for Splunk, estensione che consente agli utenti del popolare software di monitorare lo stato dell’ambiente di backup Veeam
  • introduzione di due nuovi ruoli RBAC, Incident API Operator e Security Administrator
  • aggiunta di nuovi check sul Security & Compliance Analyzer
  • sure backup continuous schedule, selezionando finestre temporali specifiche
  • database authentication per Oracle RMAN Plugin
  • intelligent SOBR extent selection per backup di dati unstructured
  • immutable snapshots integration for HPE Storage Arrays

Per conoscere l’elenco completo di tutte le nuove feature, trovate qui il documento ufficiale del vendor.

Buon lavoro! 💚

CrowdStrike – Global Incident

Lo scorso venerdì 19 luglio, la nota azienda software americana CrowdStrike ha provocato un crash su scala mondiale di computer con sistema operativo Windows, impattando sistemi critici di banche, ospedali, trasporti..con conseguente blocco temporaneo dell’operatività quotidiana.

La causa? Un aggiornamento errato della piattaforma AV/EDR Falcon Sensor, rilasciato come configuration update alle 04:09 UTC, che ha comportato il trigger di un errore logico sul OS con conseguente BSOD:

The content is a channel file located in the %WINDIR%\System32\drivers\CrowdStrike directory.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0527 UTC or later is the reverted (good) version.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0409 UTC is the problematic version.

Come dichiarato in una nota ufficiale dall’azienda https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/, l’aggiornamento è stato corretto alle 05:27 UTC, ma ormai la diffusione del crash era globale.

L’azienda ha successivamente diffuso una procedura per identificare i client Windows coinvolti , nonché un piano di remediation, consigliando di effettuare un reboot ed acquisire la versione corretta del file. Altra possibilità è quella di seguire la procedura Microsoft per entrare in safe mode e cancellare il file incriminato, o in alternativa effettuare il restore del sistema (attenzione ad eventuale chiave Bitlocker presente).

EDIT: è stato rilasciato da Microsoft anche un recovery tool ufficiale per automatizzare il processo di remediation.

Il problema ha impattato non solo pc fisici, ma anche istanze Windows in cloud. Di seguito alcuni link ufficiali per la remediation, come ad esempio Azure e AWS.

In ogni caso, se le istanze problematiche sono protette con software di backup, è sempre possibile effettuare un restore alla versione valida più recente.


Questo evento ci ricorda come il mondo di oggi sia estremamente legato alla tecnologia, ed ai possibili errori umani che, se non limitati, possono portare a conseguenze disastrose.

VeeamON 2024 Recap

INTRO

La scorsa settimana a Fort Lauderdale, in Florida, si è svolto il VeeamON 2024, come tutti gli anni l’evento più atteso e importante organizzato da Veeam Software.

Quest’anno l’evento è stato particolarmente ricco di annunci, e non sono mancate le sorprese.

Molte demo e sessioni tecniche, anche se non tutte disponibili per chi come me ha seguito tutto da remoto.

La visione di Veeam continua ad essere incentrata sulla resilienza del dato, grazie a 5 strategie principali: Data Backup, Data Freedom, Data Recovery, Data Security e Data Intelligence.

LE NOVITÀ

Iniziando ad approfondire il tema Data Backup, la parte core dedicata alla protezione e al salvataggio del dato, sono state presentate ufficialmente le nuove versioni di alcune soluzioni.

  • Oracle Linux Virtualization Manager (oVirt): già disponibile da qualche settimana il supporto nativo per OLVM, piattaforma di virtualizzazione basata su KVM
  • Proxmox VE: annunciata qualche settimana fa la compatibilità con questo virtualizzatore, durante il VeeamON 2024 è stata presentata la prima demo, con la soluzione Veeam che si preannuncia 3 volte più veloce della soluzione di backup nativa. L’uscita ufficiale è prevista per il prossimo Q3 2024
  • VBA v7: preannunciate alcune nuove funzionalità per la futura versione di Veeam Backup per Azure, tra cui l’introduzione del supporto per Cosmos DB
  • Veeam Backup for AWS v8: nuove features anche per la soluzione di backup del cloud Amazon, che introducono, ad esempio, il supporto per Redshift e FSx
  • VBM365 v8: molte novità anche per Veeam Backup for Microsoft 365, in uscita probabilmente il prossimo Q3 2024, tra le quali MFA for console, proxy pools, immutability for backup, restore operator audit in Veeam ONE
  • Veeam Backup for Salesforce v3: ulteriori funzionalità anche per questa soluzione, in cui sarà introdotto il supporto per data encryption, data archive e data pipeline
  • K10 v7: non poteva certo mancare una overview sulla nuova versione di Kasten, che include, tra le varie, il supporto per i FIPS-Enabled Clusters, per Azure Blob Immutability e per le VM su Openshift.

Passiamo ora alle sorprese, che come anticipato, non sono mancate. Tra le novità annunciate, spiccano senza ombra di dubbio:

  • VBR server su OS Linux a partire dalla v13, con le funzionalità specifiche di zero trust architecture nativa, e supporto per HA del Config DB, che aggiungerà quel livello di resilienza e di automatismo al software che ad oggi per certi versi mancava
  • Entra ID Backup, soluzione che sarà integrata in Veeam B&R, per proteggere i dati, come ad esempio utenti, gruppi e app registration, della soluzione cloud based di identity/access management di Microsoft (Q4 2024)
  • Mongo DB Plugin, che va ad incrementare il pacchetto di applicazioni enterprise supportate nativamente (Q3 2024)
  • Lenovo TruSacle Backup, che intregrerà Veeam Backup & Replication e Veeam ONE nelle soluzioni di Lenovo ThinkSystem per i backup on-premise

Come sappiamo, inoltre, Veeam ha recentemente espanso il proprio ventaglio di soluzioni introducendo dei servizi completamente SaaS, ulteriormente approfonditi in questi tre giorni di evento, tra cui:

  • Veeam Data Cloud for M365, soluzione preconfigurata per il backup di Microsoft 365, con un modello di costo prevedibile (per user/spazio illimitato)
  • Veeam Data Cloud for Azure, soluzione di backup per Microsoft Azure, nativa ed ottimizata
  • Veeam Vault,cloud storage completamente gestito, con tariffe flat/TB, incluso costi per api call ed eventuale traffico di uscita

Passiamo alle strategie Data Freedom e Data Recovery, ovvero l’abilità di Veeam di utilizzare il proprio formato per spostare un dato da una piattaforma verso un’altra, consentendo di bypassare il cosidetto “vendor lock-in”.

In questa sezione possiamo menzionare l’annuncio di ulteriori novità per la futura versione di VRO (Veeam Recovery Orchestrator).

Per quanto riguarda la Data Security, ovvero quella componente strategica attraverso la quale Veeam e le sue soluzioni aiutano il dato ad essere resiliente ai sempre più diffusi attacchi cyber, ampio spazio è stato dato a Coveware, azienda specializzata in incident response acquisita da Veeam lo scorso aprile 2024.

In particolare, è stato approfondito il ruolo chiave che può avere in una fase di Cyber Recovery, poiché offre servizi quali:

  • Assessment
  • Analisi Forense
  • Identificazione tipologia di ransomware e impatto sull’organizzazione del cliente
  • Negoziazione con i criminali informatici
  • Bonifica e documentazione dell’incident

Sempre in ambito Data Security, da menzionare inoltre la nuova partnership con Palo Alto per la SIEM integration.

Parlando di Data Intelligence, un’altra grossa sorpresa presentata è stata l’ufficializzazione della partnership con Microsoft per l’integrazione di Copilot AI con le soluzioni Veeam.

Non possiamo non menzionare, infine, altri miglioramenti e sviluppi annunciati su Veeam ONE, Veeam AI assistant, Linux Hardened Repository e Veeam Service Provider Console.

CONCLUSIONE

Insomma, le novità sono state tantissime, e sono certo che ci sarà l’occasione di approfondirne alcune nei prossimi post..STAY TUNED! 💚

Veeam – Proxmox Announcement

Questa settimana Veeam Software ha dato l’annuncio tanto atteso: a breve verrà rilasciato il supporto per Proxmox.

Che cos’è Proxmox, e perché tanto interesse dietro questa notizia?

Proxmox VE (Virtual Environment) è un virtualizzatore open-source basato su KVM, che consente di far girare sia virtual machine che architetture basate su container.

La recente acquisizione di VMware da parte di Broadcom, e le successive incognite circa le strategie future del leader mondiale dei sistemi di virtualizzazione, hanno spinto numerosi clienti a ricercare delle possibili alternative su cui puntare per le proprie infrastrutture.

Proprio per questo, nell’ultimo periodo è salito alla ribalta il nome di Proxmox, tanto che anche Veeam ha deciso di puntare sullo sviluppo dell’integrazione con questo nuovo hypervisor.

La prima demo ufficiale sarà presentata al VeeamON 2024 che si terrà in Florida il prossimo 3-5 giugno.

Se non siete ancora registrati potete farlo qui.

Buon lavoro! 💚

Veeam – Wasabi Object Storage

Quando parliamo di repository di backup in Veeam, non possiamo fare a meno di menzionare gli object storage, tecnologia che sta prendendo sempre più piede negli ultimi anni.

Dalla versione 12 di Veeam B&R, infatti, è possibile scrivere direttamente un backup su questo tipo di repository.

Dalla versione 12.1, inoltre, è possibile fare il backup dei dati presenti su un object storage.

A differenza di architetture storage di tipo file system, che gestiscono i dati in maniera gerarchica all’interno di directory, l’architettura dello storage ad oggetti è piatta, ed è disegnata per memorizzare dati non strutturati, come ad esempio i backup.

Nello specifico, i dati vengono suddivisi in blocchi a cui vengono associati dei metadati e degli identificativi univoci, utilizzati dal sistema in caso di accesso.

Tra i principali vantaggi, può contenere grandi quantità di dati ad un costo non eccessivo, è facilmente scalabile ed è compatibile con protocolli HTTP/HTTPS e REST API.

Wasabi è uno degli object storage di tipo cloud based, e possiamo quindi paragonarlo ai più conosciuti S3 di AWS o ad Azure Blob Storage di Microsoft.

A differenza dei grandi vendor sopra citati, il prezzo/TB è di molto inferiore, e non ci sono costi per il traffico di ingress/egress o per le chiamate API.

Wasabi è presente nella directory di compatibilità Veeam Ready come backup target di tipo object storage (S3 compatibile), e con il supporto nativo della funzionalità di immutability (object lock).

La prima cosa da fare per utilizzare Wasabi per i nostri backup Veeam è creare uno storage account registrandosi alla trial gratuita di 30 giorni; successivamente è possibile continuare ad utilizzare l’account in modalità Pay As You Go o Reserved Capacity Storage.

Una volta registrati ed acceduti alla dashboard, generare una nuova coppia di access key/secret key , e creare il bucket che ospiterà i nostri backup Veeam:

Ora possiamo andare nella nostra console di Veeam B&R, e dal menu principale cliccare su “Add Repository”, selezionando poi “Object Storage” e “Wasabi Cloud Storage”:

Appena inizia il wizard, inserire il nome che vogliamo dare su Veeam al nostro repository Wasabi:

Successivamente, inserire i dettagli dello storage account e della region sulla quale abbiamo creato il nostro bucket:

A questo punto, inserire i dettagli del bucket e della folder da utilizzare per i nostri backup:

NB: per questo tutorial in ambiente di laboratorio non è stato attivato il flag di immutability, ma per ambienti di produzione è sempre consigliato utilizzarlo

Infine, specificare il mount server e completare il wizard:

Ecco qua il nostro repository Wasabi da utilizzare per i nostri job di backup!

Buon lavoro! 💚

Veeam ONE 12.1 – Threat Center

Veeam ONE è la soluzione di Veeam software che permette di monitorare ambienti virtuali, come vSphere, VMware Cloud Director, Hyper-V, e ambienti di data protection, come Veeam Backup e Replication e Veeam Backup for Office 365.

Come anticipato in un precedente post, nell’ultima versione di Veeam 12.1 è stata introdotta la dashboard Veeam Threat Center.

Questo strumento permette di visualizzare lo stato di sicurezza generale dei nostri VBR, verificando la compliance alle varie best practices indicate da Veeam.

Nello specifico, i widget che troviamo sono:

  • Data Platform Scorecard: mostra un punteggio globale dello stato di salute dei nostri VBR, definito dai parametri Platform Security Compliance, Data Recovery Health, Data Protection Status and Backup Immutability Status
  • Malware Detections: mostra eventuali malware o infezioni sospette sui nostri restore point
  • RPO Anomalies: mostra gli oggetti che sono fuori range rispetto al RPO definito
  • SLA Compliance Overview: evidenzia la percentuale di raggiungimento dei nostri SLA in base a un periodo ed una percentuale di successo definite nella configurazione del widget

Per poter sfruttare tutte le potenzialità di questa dashboard, occorre innanzitutto agganciare il nostro VBR, assicurandosi di selezionare anche la spunta “Provide access to embedded dashboards”:

Prima della configurazione, all’interno della VBR console l’integrazione non risulterà attiva:

Dopo la configurazione, la dashboard verrà popolata con la vista del Veeam Threat Center di Veeam ONE e altri widget utili.

Tip: quando si aggiunge un VBR, attenzione all compatibilità delle licenze dei due prodotti

https://helpcenter.veeam.com/docs/one/deployment/license_types.html?ver=120#compatibility-with-veeam-backup—replication-licenses

Buon lavoro! 💚

Linux xz lbrary vulnerability

Lo scorso venerdì è stata segnalata una vulnerabilità importante sulla libreria xz, utilizzata da alcune distribuzione Linux come programma di compressione dati.

Nello specifico, il codice sorgente presente su Github è stato infettato con del codice malevolo opportunamente offuscato, che consente agli attaccanti di creare una backdoor per accedere in ssh ai sistemi infettati.

La CVE è al momento catalogata dal NIST con criticità 10.0, ovvero massima:

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

La vulnerabilità, scoperta quasi per caso da uno sviluppatore Microsoft, è presente nelle versioni 5.6.0 – 5.6.1

Si consiglia pertanto di effettuare il downgrade della versione della libreria xz nei sistemi che presentano tale release, o di disinstallarlo se non utilizzato.

Di seguito anche la nota ufficiale di Red Hat:

https://access.redhat.com/security/cve/CVE-2024-3094

WBD 2024

Oggi, 31 marzo, è il giorno del World Backup Day 2024!

Questa ricorrenza, iniziata ormai nel lontano 2011, vuole sensibilizzare con una commemorazione annuale le aziende, ma anche le singole persone, sull’importanza di avere i propri dati salvati e al sicuro.

Se pensiamo a qualunque impresa nel mondo, piccola o grande, sappiamo con buona certezza che ogni giorno deve gestire dei dati per portare avanti il proprio lavoro. Anagrafiche, ordini, pagamenti sono alcuni esempi di attività indispensabili per una azienda, attività che necessitano di scrivere questi dati in dispositivi quasi sempre digitali, che siano server, storage o semplici computer.

Pensiamo ora a noi, ai nostri familiari, ai nostri amici. Chi di noi o dei nostri conoscenti non usa uno smartphone o un computer? Foto, video, messaggi, documenti importanti, tutto materiale prezioso che non vogliamo sicuramente perdere.

Ma che succederebbe se il computer all’improvviso si rompesse o ci rubassero il nostro smartphone? Non potremmo più recuperare i nostri dati, a meno che non avessimo prima fatto un backup!

Ebbene si, per ogni dato importante, è buona pratica effettuare almeno una seconda copia e tenerla in un posto sicuro. Cloud, hard disk esterni, chiavette usb sono alcuni esempi di dispositivi che possono aiutarci a salvare i nostri file importanti, un backup appunto!

A volte non ci rendiamo conto dell’importanza di una cosa finché non l’abbiamo persa, ma perché correre il rischio?

Il backup è la soluzione!

Microsoft OOB Updates

Microsoft ha rilasciato ieri un importante aggiornamento Out-Of-Band (OOB), ovvero una fix di emergenza da installare prima dei prossimi update di aprile, per Windows Server versioni 2022, 2016 e 2012 (non ancora disponibile per la versione 2019).

Questo update corregge un know issue che è stato identificato nell’ultimo update di marzo: il problema affligge il servizio LSASS degli Active Directory Domain Controllers, in cui un memory leak durante le richieste di autenticazione kerberos può causare il crash del servizio e il reboot inaspettato del server.

Microsoft consiglia di installare subito l’aggiornamento nel caso il sistema rientri nella casistica descritta.

https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2022#3271msgdesc

Di seguito le KB di riferimento per le specifiche versioni:

Windows Server 2022KB5037422

Windows Server 2019: KB5037425

Windows Server 2016KB5037423

Windows Server 2012 R2KB5037426

EDIT: la patch per Windows Server 2019 è stata rilasciata nella giornata di ieri.