備份服務器免受勒索軟件攻擊的 9 個步驟

　　現在，勒索軟件組織已經開始專門針對數據中心備份服務器攻擊，因此企業應該大力保護這些備份服務器，以保障業務的正常開展。

　　以下是保護備份服務器的九個步驟：

　　一)及時打補丁

　　一定要確保企業的備份服務器及時接收最新操作系統更新。大多數勒索軟件攻擊都利用已經存在很長時間的補丁但未能及時安裝的漏洞。此外，訂閱備份軟件提供的任何自動更新，及時完成更新才能確保備份服務器的安全。

　　二)禁用入站端口

　　備份服務器通常受到兩種方式的攻擊：一是利用漏洞或使用泄露的憑據登錄，這就要求企業禁用除必要入站端口之外的所有端口，并同時停止這兩個端口。二是只有備份軟件執行備份和還原所需的端口才應保持打開狀態，并且只能通過專用于備份服務器的 VPN 訪問這些端口。另外，即使是局域網上的用戶也應該使用 VPN。

　　三)削弱出站 DNS 請求

　　勒索軟件感染備份服務器時做的第一件事就是利用命令控制服務器。如果無法執行此操作，則無法接收有關下一步操作的說明。因此，企業可以考慮使用本地主機文件或不支持外部查詢的受限 DNS 系統，這是阻止勒索軟件感染系統的最簡單方法，這樣可以從輕微不便中獲得重大回報。畢竟，為什么備份服務器需要合法地從互聯網上隨機機器的IP地址?

　　四)斷開備份服務器與 LDAP 的連接

　　備份服務器不應連接到輕量級目錄訪問協議 (LDAP) 或任何其他集中式身份驗證系統。這些通常受到勒索軟件的攻擊，可以很容易地用于獲取備份服務器本身或其備份應用程序的用戶名和密碼。許多安全專業人員認為，不應將管理員帳戶放入LDAP，因此可能已經存在單獨的密碼管理系統。只允許在需要訪問的人之間共享密碼的商業密碼管理器可能符合要求。

　　五)啟用多重身份驗證

　　MFA 可以提高備份服務器的安全性，但使用除 SMS 或電子郵件以外的其他方法，都會成為攻擊目標并。因此，企業可以考慮使用第三方身份驗證應用程序，例如Google Authenticator或Authy或眾多商業產品之一。

　　六)限制根帳戶和管理員帳戶

　　備份系統應該被配置，以便幾乎沒有人必須直接登錄到管理員或root帳戶。例如，如果在 Windows 上將用戶帳戶設置為管理員帳戶，則該用戶不必登錄即可管理備份系統。該帳戶應僅用于執行更新操作系統或添加存儲等操作。當然，這些任務需要不頻繁訪問，并且要受到第三方應用的嚴格監視，以防止h過度使用特權帳戶。

　　七)考慮 SaaS 備份

　　使用軟件即服務 (SaaS) 將備份服務器移出企業數據中心計算環境。這意味著不必不斷更新備份服務器并使用防火墻將其與網絡的其余部分隔離開來。這也使得沒有必要為備份的特權帳戶維護單獨的密碼管理系統。

　　八)使用最小特權

　　確保需要訪問備份系統的人員僅具有完成其授權任務所需的權限。例如，刪除備份、縮短保留期和執行存儲的能力應限制為一小組，并且應嚴格記錄和監視這些行為。如果攻擊者獲得對備份系統的不受限制的管理員訪問權限，保證可以使用還原將他們想要的所有數據傳輸到未加密的位置進行滲透。

　　九)創建單獨的根/管理員帳戶

　　與 root 等效且僅偶爾訪問的單獨 ID 可以在使用時觸發警報并限制泄露損壞的可能性�？紤]到此類特權可能對備份系統和敏感數據造成的損害，值得為此付出。

　　實施這些步驟后，請務必咨詢企業的備份供應商，以獲取有關其產品和解決方案的最新使用提示。