備份和恢復(fù)系統(tǒng)面臨兩種類型的勒索軟件攻擊的風(fēng)險(xiǎn)：加密和滲透 - 大多數(shù)本地備份服務(wù)器對這兩種攻擊都敞開大門。這使得備份系統(tǒng)本身成為某些勒索軟件組織的主要目標(biāo)，需要特別注意。

黑客知道備份服務(wù)器通常受到保護(hù)不足，并由不太精通信息安全的初級(jí)人員管理。似乎沒有人愿意對此做點(diǎn)什么，以免他們成為負(fù)責(zé)服務(wù)器的新備份專家。這是一個(gè)古老的問題，可以讓備份系統(tǒng)在保護(hù)大多數(shù)服務(wù)器的聲音過程的雷達(dá)下通過。

它應(yīng)該恰恰相反。備份服務(wù)器應(yīng)該是數(shù)據(jù)中心中最新、最安全的系統(tǒng)。它們應(yīng)該是最難以管理員或 root 身份登錄的。他們應(yīng)該需要跳過最多的箍來遠(yuǎn)程登錄。

備份服務(wù)器扮演的一個(gè)重要角色是提供從勒索軟件攻擊中恢復(fù)而無需支付贖金的方法。它們包含重建被勒索軟件加密的計(jì)算機(jī)所需的數(shù)據(jù)，因此勒索軟件組織也會(huì)嘗試加密備份。任何勒索軟件故事中最可悲的一句話是，“備份也被加密了。他們是你最后的防線，你必須堅(jiān)守防線。

這是傳統(tǒng)的勒索軟件攻擊，但數(shù)據(jù)泄露正迅速成為針對備份服務(wù)器的勒索軟件攻擊者的主要?jiǎng)訖C(jī)。如果不良行為者可以通過備份服務(wù)器泄露和解密您公司的機(jī)密，他們可能會(huì)以您無法防御的方式勒索您：“付錢，否則您公司最重要（或最糟糕）的秘密將成為公眾知識(shí)。然后，他們允許您訪問一個(gè)網(wǎng)頁，您可以在其中查看他們擁有的數(shù)據(jù)，而您的組織別無選擇，只能支付贖金并希望他們信守承諾。

此策略對勒索軟件組有意義。追蹤一臺(tái)肯定擁有組織所有敏感數(shù)據(jù)的服務(wù)器比成功攻擊可能擁有一些敏感數(shù)據(jù)的多臺(tái)服務(wù)器更容易。

按照這個(gè)邏輯，一旦惡意軟件進(jìn)入您的數(shù)據(jù)中心，它會(huì)立即聯(lián)系其命令和控制服務(wù)器，以了解下一步應(yīng)該做什么。下一步越來越多地是確定正在使用哪種類型的備份系統(tǒng)，一旦他們弄清楚了這一點(diǎn)，就開始直接攻擊該系統(tǒng)。

攻擊者可能會(huì)嘗試通過 NFS 或 SMB 直接通過網(wǎng)絡(luò)訪問您的備份數(shù)據(jù)，如果可以，并且未加密，他們的工作就完成了。如果不能，則使用系統(tǒng)漏洞或泄露的憑據(jù)直接訪問備份服務(wù)器的操作系統(tǒng)，以獲取管理員/根訪問權(quán)限。獲得用于基本加密的機(jī)器密鑰的訪問權(quán)限為他們提供了備份王國的密鑰，并且所有賭注都已關(guān)閉。

防御這種情況的最佳方法是防止勒索軟件組織危害您的備份服務(wù)器。方法如下：

使操作系統(tǒng)和應(yīng)用程序補(bǔ)丁保持最新關(guān)閉除備份軟件所需的端口之外的所有入站端口通過專用 VPN 啟用必要的管理端口（例如 SSH、RDP）使用本地主機(jī)文件防止惡意軟件與命令和控制服務(wù)器聯(lián)系為備份服務(wù)器和應(yīng)用程序服務(wù)器維護(hù)單獨(dú)的密碼管理系統(tǒng)（即沒有 LDAP）強(qiáng)制使用多重身份驗(yàn)證限制使用根/管理員;當(dāng)您這樣做時(shí)觸發(fā)警報(bào)使用 SaaS 備份作為管理您自己的備份服務(wù)器的替代方法盡可能使用最小特權(quán)，為每個(gè)人提供完成工作所需的特權(quán)，僅此而已

為了保護(hù)備份數(shù)據(jù)本身免受勒索或加密，您應(yīng)該像這樣配置備份系統(tǒng)：

加密所有存儲(chǔ)任何位置的備份數(shù)據(jù)使用第三方管理加密密鑰不要通過 DAS 或 NAS 將備份存儲(chǔ)為文件。請向您的供應(yīng)商詢問更安全的方法。將備份存儲(chǔ)在與備份服務(wù)器不同的操作系統(tǒng)上。使用具有不可變功能的本地存儲(chǔ)（例如 Linux）在磁帶/RDX 上創(chuàng)建拷貝并將其發(fā)送到異地在不可變的云存儲(chǔ)上創(chuàng)建副本。

對于大多數(shù)環(huán)境來說，這將是大量的工作，但如果您認(rèn)識(shí)到備份服務(wù)器處于多大的危險(xiǎn)之中，這是值得的。