原則的背景

備份是組織響應(yīng)和恢復(fù)過程的重要組成部分，定期備份是從破壞性勒索軟件攻擊中恢復(fù)的最有效方法，攻擊者的目的是破壞或刪除受害者的數(shù)據(jù)。備份方式主要有兩種：

• 將副本保存到物理上斷開連接的備份存儲(chǔ)中，您完全負(fù)責(zé)管理
• 通過將副本保存到基于云的備份服務(wù)來為您處理部分責(zé)任    

事件分析表明，在破壞性勒索軟件攻擊的早期階段，攻擊者通常會(huì)針對(duì)備份和基礎(chǔ)設(shè)施，刪除或銷毀存儲(chǔ)在那里的數(shù)據(jù)，使受害者更難恢復(fù)數(shù)據(jù)，也更有可能支付贖金。這使得基于云的備份服務(wù)中的數(shù)據(jù)面臨來自勒索軟件攻擊者的特別風(fēng)險(xiǎn)，除非采取額外的措施來保護(hù)它。

由于基于云的備份服務(wù)默認(rèn)情況下不一定能抵抗勒索軟件攻擊，因此這些原則規(guī)定了服務(wù)應(yīng)提供的功能，以便可以認(rèn)為它可以抵抗勒索軟件的破壞。

如何使用它們

這些原則適用于基于云的備份服務(wù)供應(yīng)商和打算使用這些服務(wù)的系統(tǒng)所有者。

供應(yīng)商和所有者都可以使用它們來評(píng)估基于云的備份服務(wù)在勒索軟件威脅的情況下的恢復(fù)能力。

• 對(duì)于基于云的備份服務(wù)供應(yīng)商：通過展示服務(wù)如何滿足這些原則，您可以將服務(wù)描述為能夠抵抗勒索軟件攻擊者的破壞，并幫助潛在客戶了解如果他們的系統(tǒng)遭受勒索軟件攻擊，他們的備份數(shù)據(jù)將如何受到保護(hù)。    
• 對(duì)于系統(tǒng)所有者：作為基于云的備份服務(wù)的客戶，這些原則將幫助您向潛在供應(yīng)商提出問題，以了解如果系統(tǒng)遭受勒索軟件攻擊，他們的服務(wù)將如何保護(hù)您的備份數(shù)據(jù)。

勒索軟件的勒索威脅

本指南的重點(diǎn)是減輕破壞性勒索軟件攻擊的影響。應(yīng)用這些原則并不能解決攻擊者竊取數(shù)據(jù)以隨后勒索受害者的日益增長的趨勢(shì)。為了解決這個(gè)問題，您應(yīng)該保護(hù)您的備份系統(tǒng)免受未經(jīng)授權(quán)的訪問，就像保護(hù)系統(tǒng)中保存敏感和關(guān)鍵數(shù)據(jù)的任何其他部分一樣。

還要注意：

• 基于云的備份服務(wù)只是備份機(jī)制的一部分。組織應(yīng)在整體備份方法中考慮廣泛的技術(shù)，其中可能包括自我管理備份以及基于云的備份。您還應(yīng)該考慮程序和政策，以確保它們得到有效使用。
• 當(dāng)攻擊者試圖刪除組織的數(shù)據(jù)以造成破壞而不是勒索贖金時(shí)，本指南也可能適用。這對(duì)于關(guān)鍵的國家基礎(chǔ)設(shè)施 (CNI) 組織尤其重要。
• 與任何基于云的服務(wù)一樣，安全是一項(xiàng) 共同的責(zé)任。該服務(wù)應(yīng)提供基于原則的機(jī)制，允許系統(tǒng)所有者設(shè)計(jì)和操作安全備份機(jī)制。但是，只有系統(tǒng)所有者定期測(cè)試和監(jiān)控備份數(shù)據(jù)的運(yùn)行狀況，并在組織的整體備份系統(tǒng)的背景下評(píng)估基于云的服務(wù)，滿足這些原則的服務(wù)才會(huì)在實(shí)踐中有效。

原則1：備份應(yīng)對(duì)破壞性操作具有彈性

威脅：

勒索軟件攻擊可能會(huì)通過破壞備份來阻止或阻止有效恢復(fù)。因此，備份服務(wù)應(yīng)該能夠抵御破壞備份數(shù)據(jù)的嘗試，并且還應(yīng)該保護(hù)該數(shù)據(jù)免遭惡意編輯、覆蓋或刪除。

建議實(shí)施    ：

• 創(chuàng)建備份后阻止任何刪除或更改請(qǐng)求。如果沒有適當(dāng)?shù)臋C(jī)制來更改或刪除備份，惡意行為者就無法刪除備份數(shù)據(jù)。實(shí)際上，備份數(shù)據(jù)不可能永遠(yuǎn)存儲(chǔ)，因此系統(tǒng)所有者應(yīng)該能夠提前設(shè)置策略來指定備份應(yīng)保留多長時(shí)間。這應(yīng)該與備份計(jì)劃保持一致，并且對(duì)于不同類型的數(shù)據(jù)可能有所不同。
• 默認(rèn)提供軟刪除。軟刪除機(jī)制將數(shù)據(jù)標(biāo)記為不可訪問，這意味著更廣泛的系統(tǒng)的行為就像數(shù)據(jù)已被永久刪除一樣，而實(shí)際上它在一段時(shí)間內(nèi)仍然可以恢復(fù)，也許在為此目的保留的單獨(dú)存儲(chǔ)區(qū)域中。這意味著，如果惡意行為者刪除了有用的備份數(shù)據(jù)，客戶仍然能夠恢復(fù)它?？蛻魩簦ㄒ虼艘彩枪粽撸┎粦?yīng)能夠從保存軟刪除數(shù)據(jù)的存儲(chǔ)區(qū)域中刪除或覆蓋數(shù)據(jù)。為了使軟刪除有效，系統(tǒng)所有者需要監(jiān)視備份系統(tǒng)的整體運(yùn)行狀況，因?yàn)槿绻粽呖梢攒泟h除所有備份數(shù)據(jù)，并且系統(tǒng)所有者直到審查期結(jié)束后才注意到，則攻擊者可以顛覆這一點(diǎn)。
• 延遲執(zhí)行任何刪除或更改請(qǐng)求。這應(yīng)該是預(yù)先商定的一段時(shí)間，具體取決于系統(tǒng)所有者的監(jiān)控計(jì)劃。只有同時(shí)發(fā)出警報(bào)，并且系統(tǒng)所有者確信即使其基礎(chǔ)設(shè)施受到損害，該警報(bào)也會(huì)成功發(fā)送，這才有效。
• 禁止來自客戶帳戶的破壞性請(qǐng)求。這包括用戶和機(jī)器身份，例如管理用戶、備份代理、安全掃描工具和保護(hù)監(jiān)控連接。在這種情況下，所有特殊的破壞性請(qǐng)求都必須使用客戶和備份服務(wù)之間預(yù)先商定的機(jī)制進(jìn)行帶外授權(quán)。這意味著破壞系統(tǒng)的攻擊者無法在不破壞另一個(gè)單獨(dú)系統(tǒng)的情況下發(fā)出破壞性請(qǐng)求。    

原則2：應(yīng)配置備份系統(tǒng)，以便不可能拒絕所有客戶訪問

威脅：

如果攻擊者可以通過禁用或刪除所有客戶帳戶或公司身份來阻止受害組織訪問其自己的備份數(shù)據(jù)，那么他們將不需要做任何像刪除數(shù)據(jù)本身那樣具有破壞性的事情。

因此，應(yīng)配置備份系統(tǒng)，以便攻擊者無法通過刪除用于訪問備份數(shù)據(jù)的個(gè)人帳戶或刪除整個(gè)客戶帳戶來拒絕所有客戶訪問。這還包括設(shè)置身份和訪問管理 (IAM) 策略以確保這一點(diǎn)。

建議實(shí)施：

• 通過同意單獨(dú)的帶外機(jī)制，即使所有現(xiàn)有的企業(yè) IT 系統(tǒng)和資產(chǎn)都不可用，也允許客戶訪問備份服務(wù)。這可以是單獨(dú)的授權(quán)客戶帳戶和/或設(shè)備，或者可以物理存儲(chǔ)并通過客戶和服務(wù)之間的電話進(jìn)行身份驗(yàn)證的預(yù)共享密碼。    
• 禁止任何將訪問限制在攻擊者控制范圍內(nèi)的單個(gè)賬戶的 IAM 策略，因?yàn)檫@會(huì)迫使攻擊者破壞多個(gè)賬戶以實(shí)現(xiàn)對(duì)備份系統(tǒng)的完全控制。

原則3：該服務(wù)允許客戶從備份版本進(jìn)行恢復(fù)，即使后續(xù)版本已損壞

威脅：

如果攻擊者可以用損壞的備份數(shù)據(jù)淹沒備份存儲(chǔ)，他們將不需要做任何像刪除數(shù)據(jù)本身那樣具有破壞性的事情。

因此，備份服務(wù)應(yīng)允許客戶將備份存儲(chǔ)一段與其風(fēng)險(xiǎn)偏好相符的保留期限，并且系統(tǒng)所有者應(yīng)定期監(jiān)控和測(cè)試其備份的狀態(tài)。

建議實(shí)施：

• 提供機(jī)制，以便系統(tǒng)所有者可以測(cè)試他們是否可以從當(dāng)前備份狀態(tài)進(jìn)行恢復(fù)，這可以按需進(jìn)行（以不會(huì)破壞公司現(xiàn)有基礎(chǔ)設(shè)施的方式），并且應(yīng)該允許系統(tǒng)所有者檢測(cè)備份是否已恢復(fù)已被損壞。為了使其有效，系統(tǒng)所有者應(yīng)將其作為定期監(jiān)控過程的一部分進(jìn)行測(cè)試。    
• 按照固定的時(shí)間段存儲(chǔ)備份數(shù)據(jù)，而不是固定的備份次數(shù)。這將防止攻擊者用一系列損壞的備份快速連續(xù)地覆蓋備份存儲(chǔ)。
• 創(chuàng)建并保留版本歷史記錄，以便系統(tǒng)所有者可以從他們選擇的版本進(jìn)行恢復(fù)。
• 提供靈活的存儲(chǔ)策略，以便系統(tǒng)所有者可以根據(jù)自己的風(fēng)險(xiǎn)偏好決定在不同時(shí)間段保留多少備份。例如，系統(tǒng)所有者可能決定將每日備份保留一個(gè)月，每月備份保留一年。

原則4：使用穩(wěn)健的密鑰管理來保護(hù)靜態(tài)數(shù)據(jù)

威脅：

• 如果存儲(chǔ)的備份經(jīng)過加密以保護(hù)靜態(tài)數(shù)據(jù)，則攻擊者只需刪除或修改加密密鑰，就無需實(shí)際刪除數(shù)據(jù)本身。
• 因此，應(yīng)保護(hù)用于加密靜態(tài)數(shù)據(jù)的密鑰，以確保在必要時(shí)可以解密備份數(shù)據(jù)。    

建議實(shí)施：

• 遵循 NCSC 的云密鑰管理指南。
• 提供帶外密鑰備份選項(xiàng)，例如以人性化文本編碼或 QR 代碼形式將主密鑰提交到紙上的選項(xiàng)，以便將其存儲(chǔ)在安全位置，例如保險(xiǎn)箱。

原則5：如果發(fā)生重大更改或嘗試特權(quán)操作，則會(huì)觸發(fā)警報(bào)

威脅：

攻擊者希望他們破壞備份的嘗試不會(huì)被檢測(cè)到，因?yàn)獒槍?duì)備份系統(tǒng)可能是對(duì)組織主系統(tǒng)進(jìn)行攻擊的先兆。

如果嘗試進(jìn)行重大更改，云備份服務(wù)應(yīng)發(fā)出警報(bào)，然后在觸發(fā)這些警報(bào)后啟動(dòng)后續(xù)操作。該服務(wù)應(yīng)提供不同類型的警報(bào)傳遞機(jī)制，以便在客戶的基礎(chǔ)設(shè)施受到損害時(shí)仍然可以收到警報(bào)。重大更改可能包括（但不限于）批量刪除請(qǐng)求、備份停止、更改全局保留期限、更改全局加密策略或更改管理員帳戶詳細(xì)信息。無論嘗試成功與否，都應(yīng)該發(fā)出警報(bào)。    

僅當(dāng)客戶在觸發(fā)后啟動(dòng)后續(xù)事件管理流程時(shí)，警報(bào)才會(huì)有效。

建議實(shí)施：

• 該服務(wù)針對(duì)影響備份系統(tǒng)的活動(dòng)提供了廣泛的可定制警報(bào)，系統(tǒng)所有者可以獲取和監(jiān)控這些警報(bào)。對(duì)于較大的組織，這可能是 SOC；對(duì)于較小的組織，它可能是發(fā)送到受監(jiān)控組郵箱的自動(dòng)電子郵件。盡管完全可自定義，但重大更改的警報(bào)應(yīng)默認(rèn)打開。
• 備份系統(tǒng)的行為或訪問方式的重大變化需要額外的授權(quán)，并且應(yīng)該自動(dòng)啟動(dòng)額外的保護(hù)監(jiān)控。