現(xiàn)在,勒索軟件組織已經(jīng)開始專門針對(duì)數(shù)據(jù)中心備份服務(wù)器攻擊,因此企業(yè)應(yīng)該大力保護(hù)這些備份服務(wù)器,以保障業(yè)務(wù)的正常開展。
以下是保護(hù)備份服務(wù)器的九個(gè)步驟:
一)及時(shí)打補(bǔ)丁
一定要確保企業(yè)的備份服務(wù)器及時(shí)接收最新操作系統(tǒng)更新。大多數(shù)勒索軟件攻擊都利用已經(jīng)存在很長時(shí)間的補(bǔ)丁但未能及時(shí)安裝的漏洞。此外,訂閱備份軟件提供的任何自動(dòng)更新,及時(shí)完成更新才能確保備份服務(wù)器的安全。
二)禁用入站端口
備份服務(wù)器通常受到兩種方式的攻擊:一是利用漏洞或使用泄露的憑據(jù)登錄,這就要求企業(yè)禁用除必要入站端口之外的所有端口,并同時(shí)停止這兩個(gè)端口。二是只有備份軟件執(zhí)行備份和還原所需的端口才應(yīng)保持打開狀態(tài),并且只能通過專用于備份服務(wù)器的 VPN 訪問這些端口。另外,即使是局域網(wǎng)上的用戶也應(yīng)該使用 VPN。
三)削弱出站 DNS 請(qǐng)求
勒索軟件感染備份服務(wù)器時(shí)做的第一件事就是利用命令控制服務(wù)器。如果無法執(zhí)行此操作,則無法接收有關(guān)下一步操作的說明。因此,企業(yè)可以考慮使用本地主機(jī)文件或不支持外部查詢的受限 DNS 系統(tǒng),這是阻止勒索軟件感染系統(tǒng)的最簡單方法,這樣可以從輕微不便中獲得重大回報(bào)。畢竟,為什么備份服務(wù)器需要合法地從互聯(lián)網(wǎng)上隨機(jī)機(jī)器的IP地址?
四)斷開備份服務(wù)器與 LDAP 的連接
備份服務(wù)器不應(yīng)連接到輕量級(jí)目錄訪問協(xié)議 (LDAP) 或任何其他集中式身份驗(yàn)證系統(tǒng)。這些通常受到勒索軟件的攻擊,可以很容易地用于獲取備份服務(wù)器本身或其備份應(yīng)用程序的用戶名和密碼。許多安全專業(yè)人員認(rèn)為,不應(yīng)將管理員帳戶放入LDAP,因此可能已經(jīng)存在單獨(dú)的密碼管理系統(tǒng)。只允許在需要訪問的人之間共享密碼的商業(yè)密碼管理器可能符合要求。
五)啟用多重身份驗(yàn)證
MFA 可以提高備份服務(wù)器的安全性,但使用除 SMS 或電子郵件以外的其他方法,都會(huì)成為攻擊目標(biāo)并。因此,企業(yè)可以考慮使用第三方身份驗(yàn)證應(yīng)用程序,例如google Authenticator或Authy或眾多商業(yè)產(chǎn)品之一。
六)限制根帳戶和管理員帳戶
備份系統(tǒng)應(yīng)該被配置,以便幾乎沒有人必須直接登錄到管理員或root帳戶。例如,如果在 windows 上將用戶帳戶設(shè)置為管理員帳戶,則該用戶不必登錄即可管理備份系統(tǒng)。該帳戶應(yīng)僅用于執(zhí)行更新操作系統(tǒng)或添加存儲(chǔ)等操作。當(dāng)然,這些任務(wù)需要不頻繁訪問,并且要受到第三方應(yīng)用的嚴(yán)格監(jiān)視,以防止h過度使用特權(quán)帳戶。
七)考慮 SaaS 備份
使用軟件即服務(wù) (SaaS) 將備份服務(wù)器移出企業(yè)數(shù)據(jù)中心計(jì)算環(huán)境。這意味著不必不斷更新備份服務(wù)器并使用防火墻將其與網(wǎng)絡(luò)的其余部分隔離開來。這也使得沒有必要為備份的特權(quán)帳戶維護(hù)單獨(dú)的密碼管理系統(tǒng)。
八)使用最小特權(quán)
確保需要訪問備份系統(tǒng)的人員僅具有完成其授權(quán)任務(wù)所需的權(quán)限。例如,刪除備份、縮短保留期和執(zhí)行存儲(chǔ)的能力應(yīng)限制為一小組,并且應(yīng)嚴(yán)格記錄和監(jiān)視這些行為。如果攻擊者獲得對(duì)備份系統(tǒng)的不受限制的管理員訪問權(quán)限,保證可以使用還原將他們想要的所有數(shù)據(jù)傳輸?shù)轿醇用艿奈恢眠M(jìn)行滲透。
九)創(chuàng)建單獨(dú)的根/管理員帳戶
與 root 等效且僅偶爾訪問的單獨(dú) ID 可以在使用時(shí)觸發(fā)警報(bào)并限制泄露損壞的可能性。考慮到此類特權(quán)可能對(duì)備份系統(tǒng)和敏感數(shù)據(jù)造成的損害,值得為此付出。
實(shí)施這些步驟后,請(qǐng)務(wù)必咨詢企業(yè)的備份供應(yīng)商,以獲取有關(guān)其產(chǎn)品和解決方案的最新使用提示。
原文地址:9 steps to protecting backup servers from ransomware
原文作者:W. Curtis Preston
