備份和恢復系統面臨兩種類型的勒索軟件攻擊的風險:加密和滲透 - 大多數本地備份服務器對這兩種攻擊都敞開大門����。這使得備份系統本身成為某些勒索軟件組織的主要目標,需要特別注意。
黑客知道備份服務器通常受到保護不足,并由不太精通信息安全的初級人員管理。似乎沒有人愿意對此做點什么��,以免他們成為負責服務器的新備份專家��。這是一個古老的問題,可以讓備份系統在保護大多數服務器的聲音過程的雷達下通過�����。
它應該恰恰相反�。備份服務器應該是數據中心中最新、最安全的系統。它們應該是最難以管理員或 root 身份登錄的。他們應該需要跳過最多的箍來遠程登錄��。
備份服務器扮演的一個重要角色是提供從勒索軟件攻擊中恢復而無需支付贖金的方法���。它們包含重建被勒索軟件加密的計算機所需的數據�����,因此勒索軟件組織也會嘗試加密備份�����。任何勒索軟件故事中最可悲的一句話是�����,“備份也被加密了。他們是你最后的防線,你必須堅守防線�����。
這是傳統的勒索軟件攻擊����,但數據泄露正迅速成為針對備份服務器的勒索軟件攻擊者的主要動機。如果不良行為者可以通過備份服務器泄露和解密您公司的機密,他們可能會以您無法防御的方式勒索您:“付錢,否則您公司最重要(或最糟糕)的秘密將成為公眾知識�。然后���,他們允許您訪問一個網頁,您可以在其中查看他們擁有的數據,而您的組織別無選擇���,只能支付贖金并希望他們信守承諾。
此策略對勒索軟件組有意義。追蹤一臺肯定擁有組織所有敏感數據的服務器比成功攻擊可能擁有一些敏感數據的多臺服務器更容易。
按照這個邏輯�,一旦惡意軟件進入您的數據中心��,它會立即聯系其命令和控制服務器,以了解下一步應該做什么�����。下一步越來越多地是確定正在使用哪種類型的備份系統���,一旦他們弄清楚了這一點�,就開始直接攻擊該系統。
攻擊者可能會嘗試通過 NFS 或 SMB 直接通過網絡訪問您的備份數據�����,如果可以����,并且未加密,他們的工作就完成了��。如果不能���,則使用系統漏洞或泄露的憑據直接訪問備份服務器的操作系統�,以獲取管理員/根訪問權限。獲得用于基本加密的機器密鑰的訪問權限為他們提供了備份王國的密鑰�����,并且所有賭注都已關閉�����。
防御這種情況的最佳方法是防止勒索軟件組織危害您的備份服務器。方法如下:
使操作系統和應用程序補丁保持最新關閉除備份軟件所需的端口之外的所有入站端口通過專用 VPN 啟用必要的管理端口(例如 SSH��、RDP)使用本地主機文件防止惡意軟件與命令和控制服務器聯系為備份服務器和應用程序服務器維護單獨的密碼管理系統(即沒有 LDAP)強制使用多重身份驗證限制使用根/管理員;當您這樣做時觸發警報使用 SaaS 備份作為管理您自己的備份服務器的替代方法盡可能使用最小特權��,為每個人提供完成工作所需的特權���,僅此而已
為了保護備份數據本身免受勒索或加密����,您應該像這樣配置備份系統:
加密所有存儲任何位置的備份數據使用第三方管理加密密鑰不要通過 DAS 或 NAS 將備份存儲為文件��。請向您的供應商詢問更安全的方法��。將備份存儲在與備份服務器不同的操作系統上。使用具有不可變功能的本地存儲(例如 Linux)在磁帶/RDX 上創建拷貝并將其發送到異地在不可變的云存儲上創建副本�����。
對于大多數環境來說�����,這將是大量的工作�,但如果您認識到備份服務器處于多大的危險之中,這是值得的���。
