Veeam Backup & Replication erkennt Ransomware-Spuren beim Datensichern
Veeam Backup und Recovery – kurz VBR – nutzt und sichert künftig mit Version 12a Objektspeicher und erkennt per KI selbstständig Ransomware.
(Bild: rawf8/Shutterstock.com)
- Cornelius May
- Prof. Jens-Henrik Söldner
Der Hersteller Veeam hat auf seiner Hausmesse VeeamOn das nächste Release v12a seines Kernproduktes Veeam Backup & Replication (VBR) angekündigt. Die letzte Hauptversion 12 ist seit Mitte Februar 2023 verfügbar und gleichzeitig die Grundlage des ebenfalls seit Februar dieses Jahres verfügbaren Produktpakets Veeam Data Platform. Es enthält neben VBR, je nach Edition, noch die Automatisierungsplattform Veeam Recovery Orchestrator und das Überwachungswerkzeug Veeam ONE. Die Veeam Data Platform ist zudem mit SaaS Backup für Salesforce und Microsoft 365, sowie der Kubernetes Backup-Lösung K10 oder einer optionalen Ransomware Warranty erweiterbar.
Objektspeicher als Backup-Quelle
Die wichtigsten neuen Features des 12a-Releases umfassen die Möglichkeit, erstmalig Objektspeicher wie Amazons S3 oder Azure Blob Storage als Backup-Quelle über VBR auf beliebige Veeam-Backup-Speicher und direkt auf Band sichern zu können. Beim Wiederherstellen der Daten können Nutzer entweder die kompletten Objektspeicher-Buckets inklusive deren Berechtigungen, Attributen und Tags oder auch nur die einzelnen Objekte oder spezifischen Objektversionen zurückspielen. Bereits seit v12 ist die Sicherung ohne Umwege direkt in Objektspeichersysteme möglich, in der Vorgängerversion v11 war hierfür noch ein extra Copyjob notwendig.
Ebenfalls neu in v12a ist die Erkennung von Auffälligkeiten, wie sie Ransomware-Angriffe verursachen, noch während des Backup-Jobs. Diese Inline-Erkennung nutzt ein speziell trainiertes KI-/ML-Modell, kommt ohne die Integration einer Antiviren-Software aus und markiert auffällige Restore-Points sofort als gefährlich. Allerdings erkennt das Tool den Schaden erst, nachdem es bereits zu Veränderungen gekommen ist. Möglicherweise noch schlafende Ransomware kann Veeam in einem Post-Process-Verfahren bereits jetzt erkennen. Dabei müssen Kunden ihre Backups aber über eine Integration mit Antiviren-Software scannen lassen. Diese überprüft die Indizes der gesicherten Dateisysteme und sucht dort nach typischen Spuren von bekannter Malware oder gefährlichen Insider-Aktivitäten. Diese tiefe Suche ist aufwendig, aber notwendig, um geeignete Restore-Points zu identifizieren, um nach einem potenziellen Ransomware-Schaden eine saubere Version der Daten wiederherstellen zu können.
Schon seit Februar: 2FA und Kerberos
In der seit Mitte Februar verfügbaren Version 12 hatte Veeam zudem einige Sicherheitsverbesserungen eingeführt. Hierzu gehören eine optionale Zwei-Faktor-Authentifizierung, die den Zugriff auf die Veeam-Administrationskonsole absichert, sowie die Möglichkeit, auf das alte und unsichere Authentifizierungs-Verfahren NTLM komplett zu verzichten und die Kommunikation sämtlicher Veeam-Komponenten über das sicherere Kerberos-Authentifizierungsverfahren laufen zu lassen. Zudem bietet die v12 einen neuen Assistenten an, der Administratoren helfen soll, Fehlkonfigurationen zu vermeiden, die die Sicherheit der Veeam-Umgebung beeinträchtigen. Neu war ebenfalls die Funktion, Backup-Daten auf effizientere oder sicherere Backup-Repositories nun über den neuen, VeeaMover getauften, Kopiermechanismus automatisch und ohne aufwendige manuelle Eingriffe umzuziehen.
Mit dem Erscheinen von Veeam v12a ist später in diesem Jahr zu rechnen, v12 steht seit Mitte Februar offiziell zum Download bereit. Die Hausmesse VeeamOn fand dieses Jahr hybrid statt – mit 1500 Teilnehmern vor Ort und weiteren 15000 online zugeschaltet. Die Vorträge und Workshops hat der Hersteller aufgezeichnet und stellt sie nach einer Registrierung kostenfrei zum Nachschauen zur Verfügung.
(jvo)