长期以来,备份重要数据被认为是抵御勒索软件攻击的最后一道防线。不是“灵丹妙药”!一方面,“双重勒索”、“三重勒索”等新型攻击模式不断涌现,削弱了传统数据备份的作用;另一方面,由于备份系统缺乏完善的安全保护机制,许多攻击者的目标也从服务器系统转移到数据备份系统。因此,企业需要更加积极地保护现有的数据备份系统,防止其成为安全体系中最薄弱的环节。以下九项建议可以帮助组织更好地提高备份服务器的安全性。1.严格的补丁策略严格的补丁管理是保护备份服务器安全的关键。在许多情况下,当供应商发布补丁时,网络犯罪分子已经知道该漏洞并已经利用它。为了尽可能减少损失,企业应确保备份服务器的操作系统始终更新为最新版本。此外,您还可以订阅备份软件提供的自动更新服务,以便及时利用其中包含的全新安全保护机制。2.禁用入站端口备份服务器主要通过两种方式受到攻击:利用漏洞或使用受损凭据登录。因此,组织应该禁用除必要的入站端口以外的所有端口,以阻止这两种攻击媒介。组织应确保只允许备份软件执行备份和恢复所需的端口保持打开状态,并且这些端口只能通过备份服务器的专用VPN访问。即使是网络内部的用户,也应该使用VPN来实现访问。3.限制出站DNS请求研究人员发现,勒索软件在感染备份服务器后所做的第一件事就是请求连接到其命令和控制(C&C)服务器。如果没有,它就无法收到下一步该做什么的指示。组织可以考虑使用本地主机文件或不支持外部查询的受限DNS系统。这可能看起来难以理解,但它是阻止勒索软件感染您的系统的有效方法。4.禁止备份服务器连接到LDAP备份服务器不应该连接到轻量级对象访问协议(LDAP)或任何其他集中式身份验证系统。勒索软件经常使用此信息来获取备份服务器本身或其备份应用程序的用户名和密码。安全专家认为,公司不应将管理员帐户存储在LDAP中,而应配置单独的密码管理系统,以确保密码仅在需要访问的人员之间共享。5.启用多因素认证多因素认证(MFA)可以提高备份服务器的安全性,但不建议使用短信或电子邮件认证,因为这两者经常成为攻击的目标。企业可以考虑第三方的认证应用,比如GoogleAuthenticator、Authy或者其他一些商业认证服务产品。6、限制root和管理员账号数据备份服务器系统应严格限制管理员账号的授权和使用。例如,如果在Windows上将用户帐户设置为管理员帐户,则该用户不应登录以管理备份系统。此帐户只能用于更新操作系统或添加存储等不需要频繁访问的任务,并且第三方应用程序可能会因过度使用特权帐户而受到严密监控。7、使用SaaS备份方式使用软件即服务(SaaS)将备份服务器置于企业网络环境之外。这意味着企业不需要不断更新备份服务器或使用防火墙将它们与网络的其余部分分开。同时,企业无需为备份系统的特权账户维护和配置单独的密码管理系统。8.使用最小权限原则确保需要访问备份系统的人只有完成其授权任务所需的权限。例如,删除备份、缩短保留期和执行存储的能力应仅限于一小群人,并且应大量记录和监控这些操作。如果攻击者获得对备份系统的过多访问权限,他们可能会将所有数据转移到未加密的位置并进行盗窃或其他破坏活动。9、创建单独的root账户创建一个相当于root级别的单独账户,只有在管理需要时才访问,可以有效限制其泄露造成损害的可能性。鉴于此类特权帐户可能对备份系统和敏感数据造成的损害,这是必要的。
