一直以來，對重要數(shù)據(jù)進行備份被認為是有效應對勒索軟件攻擊的最后一道防線，但大量真實事件表明，在不斷變化的勒索攻擊面前，數(shù)據(jù)備份也絕非“萬靈丹”！一方面，“雙重勒索”、“三重勒索”等新攻擊模式不斷涌現(xiàn)，讓傳統(tǒng)數(shù)據(jù)備份的作用不斷降低；另一方面，由于備份系統(tǒng)普遍缺乏完善的安全保護機制，很多攻擊者也把攻擊目標從服務器系統(tǒng)轉(zhuǎn)向了數(shù)據(jù)備份系統(tǒng)。

因此，企業(yè)需要更加積極地保護現(xiàn)有的數(shù)據(jù)備份系統(tǒng)，以避免其成為安全體系中最薄弱的環(huán)節(jié)。以下9個建議可以幫助組織更好地提升備份服務器的安全性。

1、嚴格的補丁策略

嚴格的補丁管理對保護備份服務器安全性非常關(guān)鍵。在許多情況下，當供應商發(fā)布補丁時，網(wǎng)絡犯罪分子其實早已了解該漏洞并已利用其開展攻擊。為了盡可能的減少損失，企業(yè)應該確保備份服務器的操作系統(tǒng)始終處于最新版本更新狀態(tài)。此外，也可以訂閱備份軟件提供的自動更新服務，以便及時利用其中包含的安全保護新機制。

2、禁用入站端口

備份服務器受到的攻擊方式主要有兩種：利用漏洞或使用受損的憑據(jù)登錄。因此，除必要的入站端口外，企業(yè)應該禁用所有入站端口來同時阻止這兩種攻擊方式。組織應該確保只允許備份軟件執(zhí)行備份和恢復所需的端口保持開放，并且只能通過備份服務器專用的VPN訪問這些端口，即使是網(wǎng)絡內(nèi)部的用戶也應該使用VPN來實現(xiàn)訪問。

3、限制出站DNS請求

研究人員發(fā)現(xiàn)，勒索軟件感染備份服務器后做的第一件事，就是請求連接它的命令和控制（C&C）服務器。如果它不這樣做，就不能接收到下一步該做什么的指令。組織可以考慮使用本地主機文件或不支持外部查詢的受限D(zhuǎn)NS系統(tǒng)。這可能看起來有些難以理解，但這是一種阻止勒索軟件感染系統(tǒng)的有效方法。

4、禁止備份服務器與LDAP連接

備份服務器不應連接到輕型目標訪問協(xié)議（LDAP）或任何其他集中式認證系統(tǒng)。勒索軟件通常利用這些信息獲取備份服務器本身或其備份應用程序的用戶名和密碼。安全專家認為，企業(yè)不應該將管理員賬戶存放在LDAP中，而是應該配置一個單獨的密碼管理系統(tǒng)，以確保只允許在需要訪問權(quán)限的人之間共享密碼。

5、啟用多因素身份驗證

多因素身份驗證（MFA）可以提高備份服務器的安全性，但不建議使用SMS或電子郵件認證的方式，因為這兩者都是經(jīng)常被攻擊的目標。企業(yè)可以考慮第三方身份驗證應用程序，如谷歌Authenticator、Authy或其他一些商業(yè)性驗證服務產(chǎn)品。

6、限制root和管理員賬戶

數(shù)據(jù)備份服務器系統(tǒng)應該嚴格限制管理員賬戶的授權(quán)和使用。例如，如果在Windows上將一個用戶賬戶設置為管理員賬戶，那么該用戶不應該登錄它來管理備份系統(tǒng)。該賬戶只能用于更新操作系統(tǒng)或添加存儲等任務，這些任務不需要經(jīng)常訪問，而且第三方應用程序可能會對過度使用特權(quán)賬戶進行嚴格監(jiān)控。

7、使用SaaS備份模式 

使用軟件即服務（SaaS），將備份服務器放置到企業(yè)網(wǎng)絡環(huán)境之外的地方。這意味著，企業(yè)不需要不斷更新備份服務器，也不需要使用防火墻將其與網(wǎng)絡的其他部分分隔開來。同時，企業(yè)也不需要在為備份系統(tǒng)的特權(quán)賬戶維護配置單獨的密碼管理系統(tǒng)。

8、使用最小特權(quán)原則

確保需要訪問備份系統(tǒng)的人員只擁有完成授權(quán)任務所需的特權(quán)。例如，刪除備份、縮短保留期和執(zhí)行存儲的能力應該限制在一小部分人，并且應該對這些行為進行大量的日志記錄和監(jiān)控。如果攻擊者獲得了對備份系統(tǒng)的過多訪問權(quán)限，他們就有可能將所有數(shù)據(jù)傳輸?shù)轿醇用艿奈恢?，并進行竊取或其他破壞活動。

9、創(chuàng)建一個單獨的root賬戶

創(chuàng)建一個相當于root級別的單獨賬戶，并且只管理需要的時候才訪問它，這樣可以有效限制因其泄露而造成損害的可能性?？紤]到這種特權(quán)賬戶可能對備份系統(tǒng)和敏感數(shù)據(jù)造成的損害，這樣做是非常有必要的。