Data delen met meerdere personen - virus- en malware

[wideko]

L.S.,
Voor onze vereniging wil ik een 'centraal' archief maken voor misschien wel alle data. Een van de gewenste functies is dat we binnen het bestuur alle data van elkaar kunnen zien/gebruiken. Via de Cloud Station Drive kan ik iedereen toegang geven tot de data.
Maar... daarbij lopen we natuurlijk wel het risico dat als bij één van ons een virus of malware toeslaat of de bestanden op die PC vergrendeld worden, dat we dan allemaal dit probleem binnenhalen.
Hoe zou dit nu het beste opgezet kunnen worden?
Door het aantal taken dat ik binnen de vereniging heb (bestuursfunctie, redactie, inventaris) moet ik daarbij ook nog eens in verschillende mappen mijn data kunnen wegschrijven en ophalen. De anderen in principe alleen hun (bestuur of redactie) data.

Geen idee of dit hier op de juiste plaats staat.
Als de vraag (nog) niet helemaal duidelijk is, dan hoor ik dat ook graag.
gr.
Willie

[aliazzz]

Het is handig om eerst alle wensen uit het bestuur op papier te zetten.

Daarna deel je de wensen in categorie must have, wanna have en should have.
Bepaal ook meteen het gewenste security niveau per gebruiker en informatie bron.

Pas na deze inventarisatie ga je geschikte netwerk-, hard-, en software zoeken die aansluiten bij de use case.

Succes en we horen wel als het zover is😉

[Briolet]

Het voordeel bij malware is natuurlijk dat het op elke PC komt te staan. En ervan uitgaande dat elke gebruiker zijn PC regelmatig controleert, zal de malware ook eerder ontdekt worden omdat er waarschijnlijk virusscanners van verschillende makelij naar kijken. 

Of zoals onze Cruyff zei: Elk nadeel hebt zijn voordeel.

[Hofstede]

Ik zou dan juist geen Cloud Station drive gebruiken omdat dan altijd iedere computer verbinding maakt als hij wordt aangezet. Wil elke gebruiker wel dat zijn computer ook altijd een verbinding maakt met de NAS van de vereniging? En hoe weet je dat de gebruiker van de PC ook het bestuurslid is en niet bijvoorbeeld een familielid?
Ik zou een oplossing kiezen waarbij de gebruiker bewust een verbinding moet maken met de NAS. Laat bijvoorbeeld de gebruiker inloggen via een VPN en dan de share aankoppelen.
Dat verminderd aanzienlijk de kans op infectie.

[aliazzz]

Malware is niet goed tegen te houden, je kunt slechts gevolgen bestrijden/minimaliseren.
Daarom is het belangrijk dat je van de NAS waarop iedereen inlogt een schaduw kopie bijhoudt.
Kost je bijv 2 maal een identieke NAS. Via hyper backup maak je op de 2NAS een backup van alle belangrijke data. Let op dat je beide NAS systemen wel instelt met BTRFS aan elkaar en last but not least, niemand werkt op die 2e NAs behalve de Admin, maar die laat je inloggen met een ander password dan de 1e NAS.  Je laat de nAS dus ook buiten een eventueel domein en hardend hem flink.
Wedden dat je mits er wat vervelends gebeurd op jelive NaS je heel blij bent met de hyper backup op je 2e NAS!

Suggestie: 2 * DS1517+ met 5 * 4TB BTRFS. Tis wat prijzig maar dan ben je echt wel goed beschermd tegen malware en dataloss.

Mocht iemand een betere oplossing of suggestie hebben dan lezen we die graag.

Aliazzz

[Erwin1]

Ik zou er ook voor kiezen om te werken met een fysieke koppeling te maken met de NAS. VPN kan, maar misschien praktischer is webdav of sftp, de interface van de NAS zelf kan natuurlijk ook gebruikt worden.

Wat betreft de malware, volgens mij kun je in cloudstation aangeven welke type bestanden geupload mogen worden. Ik neem aan dat de meeste malware een exe formaat kent, deze zou je dus kunnen weigeren te uploaden.

Edit om precies te zijn kun je dat hier instellen.

[aliazzz]

"Ik neem aan dat de meeste malware een exe formaat kent, deze zou je dus kunnen weigeren te uploaden."

@Erwin1, leuke suggestie maar .exe upload weigeren gaat echt niet helpen! De malware besmet via een slinkse wijze de computer van de gebruiker en daarmee, tegenwoordig, alle shares en bestanden in die shares. Die malware of cryptoware komt soms gewoon via een geinfecteerde reclamebanner je systeem in. Hoezo .exe? Vervolgens wordt je onder vals voorwendselen gevraagd of ergens even op OK drukt (NEEE!!!) en klaar is kees => besmet... door een naar javascript die door eigen toedoen systeem resources mag benaderen.

Tevens helpt een ge -encrypte tunnel ook niet! Het echte probleem zit namelijk in de pc van de gebruiker, die infecteert elke share, ook via een een VPN tunnel. Zo valt webdav ook af (is een remote share!) en is is SFTP een ouderwtse en nauwelijks secure manier van file transfer zonder versioning terwijl je hiervoor het veel geavanceerdere Hyperbackup kunt inzetten. Helaas kun je beide suggestie's (vpn of sftp) maar beter vergeten;

Nogmaals, cryptolockers zijn niet goed tegen te houden, je kunt slechts gevolgen bestrijden/minimaliseren.
Daarom is het belangrijk dat je van de NAS waarop iedereen inlogt een schaduw kopie van de data bijhoudt.
Juist off site versioning zal beter beschermen tegen de gevolgen van een malware/encryptie aanval. Het hebben van een niet permanent gekoppelde versioning backup al dan niet offsite is dan de allerbeste bescherming.

Dus meerdere backups op verschillende plaatsen en nimmer permanent gekoppeld (geen continue synchronisatie!) helpt.

De tijd van script kiddies is voorbij!
Tegenwoordig kun je dit soort meuk kopen! 300 Euro, krijg je een command en control center en een op maat gemaakt virus
lachuh joh! 

Aliazzz...

[wideko]

Aliazz,
Wat is dan in mijn geval de beste oplossing?

Voor de vereniging de data naar alle PC's/mobieltjes synchroniseren.
Afspreken dat iedereen verantwoordelijk is voor een veilige PC (virusscanner voldoende?)
En dat ze de data ook zelf backup-en en alleen die data die direct 'gedeeld' moet worden in de synchro-map plaatsen.

En deze data-map op de NAS regelmatig (1x per maand => gebruik is niet zo heel groot) backup-en naar een externe USB-schijf. En na de backup-actie deze schijf weer meteen loskoppelen.

gr.
Willie

[aliazzz]

Alle door je genoemde maatregelen.