一直以來(lái)，對(duì)重要數(shù)據(jù)進(jìn)行備份被認(rèn)為是有效應(yīng)對(duì)勒索軟件攻擊的最后一道防線，但大量真實(shí)事件表明，在不斷變化的勒索攻擊面前，數(shù)據(jù)備份也絕非“萬(wàn)靈丹”！一方面，“雙重勒索”、“三重勒索”等新攻擊模式不斷涌現(xiàn)，讓傳統(tǒng)數(shù)據(jù)備份的作用不斷降低；另一方面，由于備份系統(tǒng)普遍缺乏完善的安全保護(hù)機(jī)制，很多攻擊者也把攻擊目標(biāo)從服務(wù)器系統(tǒng)轉(zhuǎn)向了數(shù)據(jù)備份系統(tǒng)。

因此，企業(yè)需要更加積極地保護(hù)現(xiàn)有的數(shù)據(jù)備份系統(tǒng)，以避免其成為安全體系中最薄弱的環(huán)節(jié)。以下9個(gè)建議可以幫助組織更好地提升備份服務(wù)器的安全性。

1、嚴(yán)格的補(bǔ)丁策略

嚴(yán)格的補(bǔ)丁管理對(duì)保護(hù)備份服務(wù)器安全性非常關(guān)鍵。在許多情況下，當(dāng)供應(yīng)商發(fā)布補(bǔ)丁時(shí)，網(wǎng)絡(luò)犯罪分子其實(shí)早已了解該漏洞并已利用其開(kāi)展攻擊。為了盡可能的減少損失，企業(yè)應(yīng)該確保備份服務(wù)器的操作系統(tǒng)始終處于最新版本更新?tīng)顟B(tài)。此外，也可以訂閱備份軟件提供的自動(dòng)更新服務(wù)，以便及時(shí)利用其中包含的安全保護(hù)新機(jī)制。

2、禁用入站端口

備份服務(wù)器受到的攻擊方式主要有兩種：利用漏洞或使用受損的憑據(jù)登錄。因此，除必要的入站端口外，企業(yè)應(yīng)該禁用所有入站端口來(lái)同時(shí)阻止這兩種攻擊方式。組織應(yīng)該確保只允許備份軟件執(zhí)行備份和恢復(fù)所需的端口保持開(kāi)放，并且只能通過(guò)備份服務(wù)器專用的VPN訪問(wèn)這些端口，即使是網(wǎng)絡(luò)內(nèi)部的用戶也應(yīng)該使用VPN來(lái)實(shí)現(xiàn)訪問(wèn)。

3、限制出站DNS請(qǐng)求

研究人員發(fā)現(xiàn)，勒索軟件感染備份服務(wù)器后做的第一件事，就是請(qǐng)求連接它的命令和控制（C&C）服務(wù)器。如果它不這樣做，就不能接收到下一步該做什么的指令。組織可以考慮使用本地主機(jī)文件或不支持外部查詢的受限D(zhuǎn)NS系統(tǒng)。這可能看起來(lái)有些難以理解，但這是一種阻止勒索軟件感染系統(tǒng)的有效方法。

4、禁止備份服務(wù)器與LDAP連接

備份服務(wù)器不應(yīng)連接到輕型目標(biāo)訪問(wèn)協(xié)議（LDAP）或任何其他集中式認(rèn)證系統(tǒng)。勒索軟件通常利用這些信息獲取備份服務(wù)器本身或其備份應(yīng)用程序的用戶名和密碼。安全專家認(rèn)為，企業(yè)不應(yīng)該將管理員賬戶存放在LDAP中，而是應(yīng)該配置一個(gè)單獨(dú)的密碼管理系統(tǒng)，以確保只允許在需要訪問(wèn)權(quán)限的人之間共享密碼。

5、啟用多因素身份驗(yàn)證

多因素身份驗(yàn)證（MFA）可以提高備份服務(wù)器的安全性，但不建議使用SMS或電子郵件認(rèn)證的方式，因?yàn)檫@兩者都是經(jīng)常被攻擊的目標(biāo)。企業(yè)可以考慮第三方身份驗(yàn)證應(yīng)用程序，如谷歌Authenticator、Authy或其他一些商業(yè)性驗(yàn)證服務(wù)產(chǎn)品。

6、限制root和管理員賬戶

數(shù)據(jù)備份服務(wù)器系統(tǒng)應(yīng)該嚴(yán)格限制管理員賬戶的授權(quán)和使用。例如，如果在Windows上將一個(gè)用戶賬戶設(shè)置為管理員賬戶，那么該用戶不應(yīng)該登錄它來(lái)管理備份系統(tǒng)。該賬戶只能用于更新操作系統(tǒng)或添加存儲(chǔ)等任務(wù)，這些任務(wù)不需要經(jīng)常訪問(wèn)，而且第三方應(yīng)用程序可能會(huì)對(duì)過(guò)度使用特權(quán)賬戶進(jìn)行嚴(yán)格監(jiān)控。

7、使用SaaS備份模式 

使用軟件即服務(wù)（SaaS），將備份服務(wù)器放置到企業(yè)網(wǎng)絡(luò)環(huán)境之外的地方。這意味著，企業(yè)不需要不斷更新備份服務(wù)器，也不需要使用防火墻將其與網(wǎng)絡(luò)的其他部分分隔開(kāi)來(lái)。同時(shí)，企業(yè)也不需要在為備份系統(tǒng)的特權(quán)賬戶維護(hù)配置單獨(dú)的密碼管理系統(tǒng)。

8、使用最小特權(quán)原則

確保需要訪問(wèn)備份系統(tǒng)的人員只擁有完成授權(quán)任務(wù)所需的特權(quán)。例如，刪除備份、縮短保留期和執(zhí)行存儲(chǔ)的能力應(yīng)該限制在一小部分人，并且應(yīng)該對(duì)這些行為進(jìn)行大量的日志記錄和監(jiān)控。如果攻擊者獲得了對(duì)備份系統(tǒng)的過(guò)多訪問(wèn)權(quán)限，他們就有可能將所有數(shù)據(jù)傳輸?shù)轿醇用艿奈恢茫⑦M(jìn)行竊取或其他破壞活動(dòng)。

9、創(chuàng)建一個(gè)單獨(dú)的root賬戶

創(chuàng)建一個(gè)相當(dāng)于root級(jí)別的單獨(dú)賬戶，并且只管理需要的時(shí)候才訪問(wèn)它，這樣可以有效限制因其泄露而造成損害的可能性?？紤]到這種特權(quán)賬戶可能對(duì)備份系統(tǒng)和敏感數(shù)據(jù)造成的損害，這樣做是非常有必要的。