现在,勒索软件组织已经开始专门针对数据中心备份服务器攻击,因此企业应该大力保护这些备份服务器,以保障业务的正常开展。
以下是保护备份服务器的九个步骤:
一)及时打补丁
一定要确保企业的备份服务器及时接收最新操作系统更新。大多数勒索软件攻击都利用已经存在很长时间的补丁但未能及时安装的漏洞。此外,订阅备份软件提供的任何自动更新,及时完成更新才能确保备份服务器的安全。
二)禁用入站端口
备份服务器通常受到两种方式的攻击:一是利用漏洞或使用泄露的凭据登录,这就要求企业禁用除必要入站端口之外的所有端口,并同时停止这两个端口。二是只有备份软件执行备份和还原所需的端口才应保持打开状态,并且只能通过专用于备份服务器的 VPN 访问这些端口。另外,即使是局域网上的用户也应该使用 VPN。
三)削弱出站 DNS 请求
勒索软件感染备份服务器时做的第一件事就是利用命令控制服务器。如果无法执行此操作,则无法接收有关下一步操作的说明。因此,企业可以考虑使用本地主机文件或不支持外部查询的受限 DNS 系统,这是阻止勒索软件感染系统的最简单方法,这样可以从轻微不便中获得重大回报。毕竟,为什么备份服务器需要合法地从互联网上随机机器的IP地址?
四)断开备份服务器与 LDAP 的连接
备份服务器不应连接到轻量级目录访问协议 (LDAP) 或任何其他集中式身份验证系统。这些通常受到勒索软件的攻击,可以很容易地用于获取备份服务器本身或其备份应用程序的用户名和密码。许多安全专业人员认为,不应将管理员帐户放入LDAP,因此可能已经存在单独的密码管理系统。只允许在需要访问的人之间共享密码的商业密码管理器可能符合要求。
五)启用多重身份验证
MFA 可以提高备份服务器的安全性,但使用除 SMS 或电子邮件以外的其他方法,都会成为攻击目标并。因此,企业可以考虑使用第三方身份验证应用程序,例如google Authenticator或Authy或众多商业产品之一。
六)限制根帐户和管理员帐户
备份系统应该被配置,以便几乎没有人必须直接登录到管理员或root帐户。例如,如果在 windows 上将用户帐户设置为管理员帐户,则该用户不必登录即可管理备份系统。该帐户应仅用于执行更新操作系统或添加存储等操作。当然,这些任务需要不频繁访问,并且要受到第三方应用的严格监视,以防止h过度使用特权帐户。
七)考虑 SaaS 备份
使用软件即服务 (SaaS) 将备份服务器移出企业数据中心计算环境。这意味着不必不断更新备份服务器并使用防火墙将其与网络的其余部分隔离开来。这也使得没有必要为备份的特权帐户维护单独的密码管理系统。
八)使用最小特权
确保需要访问备份系统的人员仅具有完成其授权任务所需的权限。例如,删除备份、缩短保留期和执行存储的能力应限制为一小组,并且应严格记录和监视这些行为。如果攻击者获得对备份系统的不受限制的管理员访问权限,保证可以使用还原将他们想要的所有数据传输到未加密的位置进行渗透。
九)创建单独的根/管理员帐户
与 root 等效且仅偶尔访问的单独 ID 可以在使用时触发警报并限制泄露损坏的可能性。考虑到此类特权可能对备份系统和敏感数据造成的损害,值得为此付出。
实施这些步骤后,请务必咨询企业的备份供应商,以获取有关其产品和解决方案的最新使用提示。
原文地址:9 steps to protecting backup servers from ransomware
原文作者:W. Curtis Preston