提供物联网边缘计算网关、PLC网关、智能网关产品讯息
备份和恢复系统面临两种类型的勒索软件攻击的风险:加密和渗透 - 大多数本地备份服务器对这两种攻击都敞开大门。这使得备份系统本身成为某些勒索软件组织的主要目标,需要特别注意。
黑客知道备份服务器通常受到保护不足,并由不太精通信息安全的初级人员管理。似乎没有人愿意对此做点什么,以免他们成为负责服务器的新备份专家。这是一个古老的问题,可以让备份系统在保护大多数服务器的声音过程的雷达下通过。
它应该恰恰相反。备份服务器应该是数据中心中最新、最安全的系统。它们应该是最难以管理员或 root 身份登录的。他们应该需要跳过最多的箍来远程登录。
备份服务器扮演的一个重要角色是提供从勒索软件攻击中恢复而无需支付赎金的方法。它们包含重建被勒索软件加密的计算机所需的数据,因此勒索软件组织也会尝试加密备份。任何勒索软件故事中最可悲的一句话是,“备份也被加密了。他们是你最后的防线,你必须坚守防线。
这是传统的勒索软件攻击,但数据泄露正迅速成为针对备份服务器的勒索软件攻击者的主要动机。如果不良行为者可以通过备份服务器泄露和解密您公司的机密,他们可能会以您无法防御的方式勒索您:“付钱,否则您公司最重要(或最糟糕)的秘密将成为公众知识。然后,他们允许您访问一个网页,您可以在其中查看他们拥有的数据,而您的组织别无选择,只能支付赎金并希望他们信守承诺。
此策略对勒索软件组有意义。追踪一台肯定拥有组织所有敏感数据的服务器比成功攻击可能拥有一些敏感数据的多台服务器更容易。
按照这个逻辑,一旦恶意软件进入您的数据中心,它会立即联系其命令和控制服务器,以了解下一步应该做什么。下一步越来越多地是确定正在使用哪种类型的备份系统,一旦他们弄清楚了这一点,就开始直接攻击该系统。
攻击者可能会尝试通过 NFS 或 SMB 直接通过网络访问您的备份数据,如果可以,并且未加密,他们的工作就完成了。如果不能,则使用系统漏洞或泄露的凭据直接访问备份服务器的操作系统,以获取管理员/根访问权限。获得用于基本加密的机器密钥的访问权限为他们提供了备份王国的密钥,并且所有赌注都已关闭。
防御这种情况的最佳方法是防止勒索软件组织危害您的备份服务器。方法如下:
使操作系统和应用程序补丁保持最新关闭除备份软件所需的端口之外的所有入站端口通过专用 VPN 启用必要的管理端口(例如 SSH、RDP)使用本地主机文件防止恶意软件与命令和控制服务器联系为备份服务器和应用程序服务器维护单独的密码管理系统(即没有 LDAP)强制使用多重身份验证限制使用根/管理员;当您这样做时触发警报使用 SaaS 备份作为管理您自己的备份服务器的替代方法尽可能使用最小特权,为每个人提供完成工作所需的特权,仅此而已
为了保护备份数据本身免受勒索或加密,您应该像这样配置备份系统:
加密所有存储任何位置的备份数据使用第三方管理加密密钥不要通过 DAS 或 NAS 将备份存储为文件。请向您的供应商询问更安全的方法。将备份存储在与备份服务器不同的操作系统上。使用具有不可变功能的本地存储(例如 Linux)在磁带/RDX 上创建拷贝并将其发送到异地在不可变的云存储上创建副本。
对于大多数环境来说,这将是大量的工作,但如果您认识到备份服务器处于多大的危险之中,这是值得的。
