现在,ransomware组织专门针对现场备份服务器,更重要的是,企业积极辩护。
这里有九个步骤来保护你的备份和为什么你应该带他们。
补丁宗教
确保你的备份服务器中第一组接受最新的操作系统更新。大多数ransomware攻击漏洞的补丁已经存在很长时间了,但是没有得到安装。同样,订阅任何自动更新你的备份软件提供,再次利用他们可能包括任何新的保护。
禁用入站端口
通过备份服务器被攻击在两个利用漏洞或登录凭据被破坏。禁用所有但必要的入站端口可以停止。只有港口备份软件需要执行备份和恢复应该敞开,他们应该只能通过VPN专用的备份服务器。甚至在局域网用户应该使用VPN。
削弱出站DNS请求
ransomware所做的第一件事当它感染你的备份服务器联系其指挥和控制服务器。如果它不能这样做,它不能接收指示下一步要做什么。考虑使用本地主机文件或限制DNS系统不支持外部查询。这看似荒谬,但它是最简单的方式停止ransomware感染您的系统。这是一个重大回报从一个小小的不便。毕竟,为什么一个备份服务器合法需要随机机器的IP地址在互联网上吗?
断开从LDAP备份服务器
备份服务器不应该连接到轻量级目录访问协议(LDAP)或其他任何集中的身份验证系统。这些通常是由ransomware妥协,可以很容易地用于获取用户名和密码到备份服务器本身或其备份的应用程序。许多安全专家认为,不应该把LDAP管理员账户,所以一个单独的密码管理系统可能已经到位。商用密码管理器,允许共享密码只有在需要访问的人可以符合要求。
实现多因素身份验证
MFA可以增加安全的备份服务器,但使用其他方法比短信或电子邮件,这两个经常针对性和规避。考虑第三方身份验证应用程序,比如谷歌身份验证或Authy许多商业产品之一。
限制根和管理员账户
备份系统应该配置,所以几乎没有人直接向管理员或根帐户登录。例如,如果一个用户帐户设置在Windows管理员帐户,用户不应该登录是为了管理备份系统。账户应该只用于做更新操作系统或添加存储任务等需要频繁的访问可以通过第三方应用程序严密,过度使用特权帐户。
考虑SaaS备份
使用软件即服务(SaaS),现场外的备份服务器企业计算环境。这意味着不需要不断更新备份服务器和段从其余的网络防火墙。这也使不必要的维护一个单独的密码管理系统备份的特权帐户。
使用最小特权
确保人员需要访问所需的备份系统只有这些特权完成授权的任务。例如,删除备份的能力,减少保留时间和执行商店应该限制在一小群,和这些行为应该严格记录和监控。如果攻击者获得无限制的管理员访问备份系统,他们可以利用恢复所有数据转移他们想漏出的未加密的位置。
创建一个单独的根/管理员帐户
一个单独的ID,相当于根,只偶尔可以限制访问的可能性损失妥协,如果触发警报的时候使用。考虑到伤害这样的特权可以做一个备份系统和敏感的数据,它是值得的。
实现这些步骤后一定要检查你的备份提示他们可能对他们产品的供应商。