現(xiàn)在�,勒索軟件組織已經(jīng)開(kāi)始專門(mén)針對(duì)數(shù)據(jù)中心備份服務(wù)器攻擊,因此企業(yè)應(yīng)該大力保護(hù)這些備份服務(wù)器��,以保障業(yè)務(wù)的正常開(kāi)展���。
以下是保護(hù)備份服務(wù)器的九個(gè)步驟:
一)及時(shí)打補(bǔ)丁
一定要確保企業(yè)的備份服務(wù)器及時(shí)接收最新操作系統(tǒng)更新�。大多數(shù)勒索軟件攻擊都利用已經(jīng)存在很長(zhǎng)時(shí)間的補(bǔ)丁但未能及時(shí)安裝的漏洞��。此外��,訂閱備份軟件提供的任何自動(dòng)更新���,及時(shí)完成更新才能確保備份服務(wù)器的安全�。
二)禁用入站端口
備份服務(wù)器通常受到兩種方式的攻擊:一是利用漏洞或使用泄露的憑據(jù)登錄,這就要求企業(yè)禁用除必要入站端口之外的所有端口,并同時(shí)停止這兩個(gè)端口����。二是只有備份軟件執(zhí)行備份和還原所需的端口才應(yīng)保持打開(kāi)狀態(tài),并且只能通過(guò)專用于備份服務(wù)器的 VPN 訪問(wèn)這些端口��。另外����,即使是局域網(wǎng)上的用戶也應(yīng)該使用 VPN。
三)削弱出站 DNS 請(qǐng)求
勒索軟件感染備份服務(wù)器時(shí)做的第一件事就是利用命令控制服務(wù)器����。如果無(wú)法執(zhí)行此操作,則無(wú)法接收有關(guān)下一步操作的說(shuō)明��。因此���,企業(yè)可以考慮使用本地主機(jī)文件或不支持外部查詢的受限 DNS 系統(tǒng)���,這是阻止勒索軟件感染系統(tǒng)的最簡(jiǎn)單方法,這樣可以從輕微不便中獲得重大回報(bào)��。畢竟�����,為什么備份服務(wù)器需要合法地從互聯(lián)網(wǎng)上隨機(jī)機(jī)器的IP地址?
四)斷開(kāi)備份服務(wù)器與 LDAP 的連接
備份服務(wù)器不應(yīng)連接到輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP) 或任何其他集中式身份驗(yàn)證系統(tǒng)�����。這些通常受到勒索軟件的攻擊�����,可以很容易地用于獲取備份服務(wù)器本身或其備份應(yīng)用程序的用戶名和密碼���。許多安全專業(yè)人員認(rèn)為,不應(yīng)將管理員帳戶放入LDAP����,因此可能已經(jīng)存在單獨(dú)的密碼管理系統(tǒng)�。只允許在需要訪問(wèn)的人之間共享密碼的商業(yè)密碼管理器可能符合要求。
五)啟用多重身份驗(yàn)證
MFA 可以提高備份服務(wù)器的安全性��,但使用除 SMS 或電子郵件以外的其他方法��,都會(huì)成為攻擊目標(biāo)并���。因此,企業(yè)可以考慮使用第三方身份驗(yàn)證應(yīng)用程序,例如Google Authenticator或Authy或眾多商業(yè)產(chǎn)品之一�。
六)限制根帳戶和管理員帳戶
備份系統(tǒng)應(yīng)該被配置,以便幾乎沒(méi)有人必須直接登錄到管理員或root帳戶���。例如,如果在 Windows 上將用戶帳戶設(shè)置為管理員帳戶��,則該用戶不必登錄即可管理備份系統(tǒng)。該帳戶應(yīng)僅用于執(zhí)行更新操作系統(tǒng)或添加存儲(chǔ)等操作�����。當(dāng)然,這些任務(wù)需要不頻繁訪問(wèn)���,并且要受到第三方應(yīng)用的嚴(yán)格監(jiān)視,以防止h過(guò)度使用特權(quán)帳戶�����。
七)考慮 SaaS 備份
使用軟件即服務(wù) (SaaS) 將備份服務(wù)器移出企業(yè)數(shù)據(jù)中心計(jì)算環(huán)境�����。這意味著不必不斷更新備份服務(wù)器并使用防火墻將其與網(wǎng)絡(luò)的其余部分隔離開(kāi)來(lái)�。這也使得沒(méi)有必要為備份的特權(quán)帳戶維護(hù)單獨(dú)的密碼管理系統(tǒng)��。
八)使用最小特權(quán)
確保需要訪問(wèn)備份系統(tǒng)的人員僅具有完成其授權(quán)任務(wù)所需的權(quán)限�。例如,刪除備份�、縮短保留期和執(zhí)行存儲(chǔ)的能力應(yīng)限制為一小組��,并且應(yīng)嚴(yán)格記錄和監(jiān)視這些行為��。如果攻擊者獲得對(duì)備份系統(tǒng)的不受限制的管理員訪問(wèn)權(quán)限����,保證可以使用還原將他們想要的所有數(shù)據(jù)傳輸?shù)轿醇用艿奈恢眠M(jìn)行滲透。
九)創(chuàng)建單獨(dú)的根/管理員帳戶
與 root 等效且僅偶爾訪問(wèn)的單獨(dú) ID 可以在使用時(shí)觸發(fā)警報(bào)并限制泄露損壞的可能性���?紤]到此類特權(quán)可能對(duì)備份系統(tǒng)和敏感數(shù)據(jù)造成的損害�,值得為此付出���。
實(shí)施這些步驟后���,請(qǐng)務(wù)必咨詢企業(yè)的備份供應(yīng)商��,以獲取有關(guān)其產(chǎn)品和解決方案的最新使用提示���。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�����,請(qǐng)謹(jǐn)慎對(duì)待�。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)��。
京公網(wǎng)安備 11010502041587號(hào)