备份和恢复系统面临两种类型的勒索软件攻击的风险:加密和渗透 - 大多数本地备份服务器都广泛开放。这使备份系统本身成为某些勒索软件组的主要目标,并值得特别关注。
黑客了解到,备份服务器通常受到少年人员精通信息安全性的保护不足和管理。而且似乎没有人愿意为此做些事情,以免他们成为负责服务器的新备份专家。这是一个古老的问题,可以允许备份系统在保护大多数服务器的声音过程中传递。
它应该恰恰相反。备份服务器应该是最新和安全的系统2020欧洲杯预赛。它们应该是最难登录的管理员或根。他们应该需要跳过最多的篮球才能远程登录。
备份服务器发挥的重要作用是提供从勒索软件攻击中恢复的手段,而无需支付赎金。它们包含重建勒索软件已加密的机器所需的数据,因此勒索软件组也尝试加密备份。任何勒索软件故事中最可悲的台词是“而且备份也被加密了。”它们是您的最后防线,您必须握住线路。
这是传统的勒索软件攻击,但是数据剥落正迅速成为针对备份服务器的勒索软件攻击者的主要动机。如果不好的演员可以通过备份服务器淘汰和解密公司的秘密,他们可以以您无法防御的方式勒索您:“付款或您公司最重要(或最坏的)秘密将成为公众知识。”然后,他们让您访问一个网页,您可以在其中看到他们拥有的数据,而您的组织别无选择,只能支付赎金并希望他们遵守诺言。
此策略对于勒索软件组很有意义。追随一台肯定拥有组织所有敏感数据的服务器比成功攻击许多可能拥有一些敏感数据的服务器要容易得多。
遵循此逻辑后,一旦恶意软件进入您的数据中心,它立即与命令和控制服务器联系,以找出下一步应该做什么。2020欧洲杯预赛下一步越来越多的步骤是确定正在使用哪种类型的备份系统,一旦他们弄清楚了,开始直接攻击该系统。
攻击者可能会试图通过NFS或SMB直接通过网络访问您的备份数据,如果可以的话,并且没有加密的话,他们的工作就完成了。如果他们不能,他们会使用系统利用或折衷凭据来获得备份服务器的操作系统,以获得管理员/root访问。获得对基本加密的机器键的访问,为它们提供了备用王国的钥匙,所有赌注都关闭了。
防御这种情况的最佳方法是防止勒索软件组织损害您的备份服务器。就是这样:
- 保持操作系统和应用程序补丁最新
- 关闭所有入站端口,除了备份软件要求
- 通过私人VPN启用必要的管理端口(例如SSH,RDP)
- 使用本地主机文件防止恶意软件联系命令和控制服务器
- 维护单独的密码管理系统,用于备份和应用程序服务器(即没有LDAP)
- 强制使用多因素身份验证
- 限制使用根/管理员的使用;发出警报
- 使用SaaS备份作为管理自己的备份服务器的替代方案
- 尽可能使用最小特权,赋予每个人所需的特权,而仅此而已
为了保护备份数据本身免受勒索或加密的影响,您应该像这样配置备份系统:
- 加密所有存储的所有备份数据
- 使用第三方管理加密密钥
- 请勿通过DAS或NAS将备份存储为文件。向您的供应商询问更安全的方法。
- 将备份存储在与备份服务器不同的操作系统上。
- 使用具有不变功能的本地存储(例如Linux)
- 在磁带/rdx上创建副本,然后将其发送到异地
- 在不变的云存储上创建副本。
对于大多数环境来说,这将是很多工作,但是如果您认识到备份服务器的危险,则值得。