Hola a tod@s
En este post veremos como Veeam ONE nos puede ayudar en la prevención contra el ransomware.
Cuando se trata de ransomware, cualquier defensa es mejor que tener nada. Contar con backup es una buena forma de recuperarnos después de un ataque de ransomware, pero si no tenemos claridad sobre si los respaldos que tenemos no están infectados, podemos seguir comprometidos. Asegurarnos que el respaldo es seguro, es un paso, pero también es importante poder monitorear nuestra infraestructura para detectar actividades sospechosas o inusuales.
Veeam ONE viene con alarmas predefinidas que comprueban ciertos contadores en busca de actividad sospechosa. La monitorización de actividad anormal puede ayudar a remediar los problemas o potencialmente eliminar las máquinas en la red antes de que el ransomware cifre más datos.
Veeam ONE viene con dos alarmas listas para usar, que pueden identificar niveles anormales de uso de recursos y una alta tasa de cambio en las máquinas virtuales. Las dos alarmas que nos ayudaran son “Suspicious Incremental Backup Size y Potential Ransomware Activity“, las cuales supervisan nuestras máquinas en tiempo real y se activan cuando se alcanzan sus umbrales de recursos específicos.
Suspicious Incremental Backup Size Alarm
La alarma “Suspicious Incremental Backup Size” analiza los tres últimos trabajos incrementales de backup e identifica si el incremental ha crecido más del 150%. Esto identifica si el tamaño del punto de restauración recién creado es significativamente diferente de los creados anteriormente.
Si la ejecución del backup incremental es significativamente diferente en tamaño, esto podría indicar la presencia de malware en la máquina, lo que a su vez requeriría una mayor investigación.
Podemos buscar la alarma “Suspicious Incremental Backup Size” de la siguiente manera, como se muestra en la imagen a continuación.
Estos parámetros pueden ser personalizados, según nuestras preferencias.
Nota: Si deseamos personalizar los parámetros de una alarma, siempre es una buena idea hacer primero una copia de la misma.
Possible Ransomware Activity Alarm
Otros recursos que Veeam ONE puede monitorizar a través de sus alarmas son el uso de la CPU, la tasa de escritura del datastore y la tasa de transmisión de la red. Al monitorear el uso de estas actividades en la máquina, la alarma “Possible Ransomware Activity” puede identificar si se trata de una actividad sospechosa para la máquina.
Estas escrituras más altas de lo normal en el disco o la utilización de la CPU podrían ser una señal de que el ransomware ha infectado la máquina.
El objetivo de la alarma es identificar la máquina potencialmente infectada antes de que pueda propagarse a otros sistemas.
Podemos buscar la alarma “Possible Ransomware Activity” de la siguiente manera, como se muestra en la imagen a continuación.
Podemos modificar según nuestras propias preferencias. Esto puede mostrar falsos positivos, por lo cual necesitaremos un poco de practica en algunos caso antes de dar con la configuración adecuada.
Veamos algunas de las otras opciones que nos permiten configurar una alarma.
En “Assignment” podremos asignar la alarma a partes específicas de nuestra infraestructura virtual.
En “Notifications” si se cumplen las condiciones de la alarma, podremos configurar como queremos que se nos notifique.
Veeam ONE nos permite la creación de una acción de corrección personalizada, donde podemos asignar un script que pueda ser ejecutado por Windows para realizar la acción en concreto.
Podemos tener varias acciones de corrección en una alarma para actuar en cada umbral, o simplemente para realizar varias tareas en caso de que se cumpla la condición.
Las acciones de remediación de Veeam ONE son flexibles y permiten que Veeam ONE ejecute prácticamente cualquier acción que cumpla los requisitos de su entorno.
Siempre es ideal tener una máquina de pruebas donde podemos realizar acciones y ver el comportamiento de los script que asignamos en este punto.
Ahora esta no va ser la solución definitiva para la detección de ransomware, ya que puede haber falsos positivos. Estas alarmas está ahí para crear conciencia sobre un posible ataque, y para que los administradores del sistema investiguen, analicen y verifiquen que está pasando.
Bien implementadas pueden llegar a ser una herramienta a considerar ante la detección de ransomware. Como cada entorno y cliente es diferente no existe una receta única de configuración de estas alarmas que hemos visto en este post.
Una buena noticia es que estas alarmas están disponibles en la versión Veeam ONE Community Edition.
Espero que esta información pueda ser de ayuda, y cualquier duda o sugerencia la dejan en los comentarios. Saludos.