Was ist die Cyber Black Box von BackupAssist Classic?

BackupAssist > BackupAssist Classic > Allgemein
BackupAssist Classic bringt seit Version 11 ein neues Feature im Backup-Segment – die Cyber Black Box.

Nach einem Hacking- oder Ransomware-Angriff ist es die Aufgabe von digitalen Forensikern den Ablauf einer Attacke zu rekonstruieren, um Schwachstellen im Netzwerk zu identifizieren, damit zukünftige Attacken dieser Art verhindert werden können. Hierfür werden Zugriffe auf aktuelle und historische Informationen über die betroffenen Systeme und deren Backups benötigt, die oftmals im Rahmen des Angriffs beschädigt oder gelöscht werden.

Die Cyber Black Box von BackupAssist ermittelt diese aktuellen, forensischen Informationen und speichert sie zusammen mit dem Backup ab, wobei diese Daten durch das CryptoSafeGuard Shield vor Manipulationen geschützt werden. Forensische Ermittler haben hierdurch alle wichtigen Informationen vorliegen um schnell die Ereignisse rekonstruieren zu können, die zu einer Attacke geführt haben. Für ein Unternehmen sind diese Informationen auch bei der Geltendmachung eines Cyber-Versicherungsanspruchs von entscheidender Bedeutung.

Welche Voraussetzungen gelten?
BackupAssist Classic muss mit einer gültigen Aktualisierungsgarantie versehen sein, da hierdurch der CryptoSafeGuard genutzt werden kann, welcher die forensischen Dateien erstellt und ablegt.

Wie funktioniert die Cyber Black Box?
Bei jeder Ausführung eines Backup-Jobs mit aktiviertem CryptoSafeGuard wird eine forensische Zip-Datei im lokalen BackupAssist-Ordner „C:\ProgramData\BackupAssist v12\forensics“ erstellt. Diese Datei wird ebenfalls auf das Backup-Ziel kopiert, so dass man eine Sicherheitskopie besitzt, sofern das lokale System durch Ransomware oder einem Hacking-Angriff kompromittiert werden sollte. Jede forensische Datei beinhaltet dabei Informationen, die von digitalen Forensikermittlern und Cyber-Sicherheitsspezialisten verwenden werden können, um Veränderungen innerhalb des Netzwerks im Zeitverlauf zu verfolgen und verdächtige Aktivitäten identifizieren zu können.

Für lokale Backups auf unterschiedliche Ziele
Die forensischen Daten werden in dem Ordner ".forensics" auf dem Backup-Ziel abgelegt. Die lokalen Daten werden für bis zu 60 Tage aufbewahrt. Sollte die Gesamtgröße der forensischen Daten dabei auf über 10 MB anwachsen, werden die ältesten Dateien gelöscht bis die Ordner-Größe wieder unter 10 MB liegt.

Für Cloud-Backups
Die forensischen Daten werden in den Cloud-Container kopiert. Die Vorhaltezeiten der Dateien ist hierbei an die Aufbewahrungsfristen des Cloud-Backups gebunden, so dass eine Datei mit forensischen Daten für jedes Backup in die Cloud vorgehalten wird. Der Cloud Container ist dabei nicht offen sichtbar im Datei-System des Cloud-Anbieters abgelegt. Der technische Support von BackupAssist kann bei Bedarf behilflich sein, die Forensik-Datei abzurufen.

WARNUNG:
Wenn Sie ein Backup mit deaktiviertem CryptoSafeGuard laufen lassen wird keine forensische Datei erzeugt. Gleiches gilt für die Situation, wenn Sie einen CryptoSafeGuard-Scan abbrechen bevor der Sammelprozess der forensischen Daten abgeschlossen werden konnte.

Wie wird die Cyber Black Box genutzt?
Forensische Ermittler benötigen Zugang zu den Dateien mit forensischen Daten und müssen die Möglichkeit haben, davon Kopien zu erstellen. Damit können Sie Stück für Stück einen Ablauf der Ereignisse und Veränderungen im System skizzieren und reproduzieren.

Zugriff auf die sicheren, forensischen Daten auf dem Quell-System des Backups:
1) Öffnen Sie den versteckten Ordner C:\ProgramData\BackupAssist v12\forensics.
2) Kopieren Sie die forensischen ZIP-Dateien an einen Ort, auf den die Ermittler Zugriff haben.
3) Entpacken und öffnen Sie die Dateien.


Zugriff auf die sicheren, forensischen Daten in lokalen Backups unterschiedlicher Ziele:
1) Öffnen Sie das Laufwerk, das als Ziel des Backups genutzt wurde.
2) Kopieren Sie die forensischen ZIP-Dateien an einen Ort, auf den die Ermittler Zugriff haben.
3) Entpacken und öffnen Sie die Dateien.


Zugriff auf die sicheren, forensischen Daten in der Cloud:
Die forensischen Daten werden in einem Cloud-Container abgelegt. Der Cloud-Container ist Teil eines virtuellen Dateisystems, so dass die forensischen Daten sind nicht offen sichtbar. Der technische Support von BackupAssist kann Ihnen bei Bedarf helfen, die Forensik-Datei abzurufen.

HINWEIS:
Sofern das CryptoSafeGuard Shield aktiviert ist werden hierdurch die lokalen, forensischen Daten unter "C:\ProgramData\BackupAssist v12\forensics" vor Manipulation geschützt. Somit ist es nicht möglich mit einem Datei-Explorer oder per Kommandozeile Dateien in diesem Ordner zu erstellen, umzubenennen, zu verändern oder zu löschen.

Article ID: 1184, , Modified: 11/9/2023 at 10:53 AM

Was this article helpful?

Share this article