勒索軟件正成為對數據的頭號威脅,這使得確保不良分子在執行勒索軟件攻擊時不會將您的備份數據和您的主要數據一起加密至關重要。如果他們成功了,你將別無選擇,只能支付贖金,這將鼓勵他們再次嘗試。
作者:高博來源:IT168企業級|2021-03-0109:40收藏分享
如何保護備份數據免受勒索軟件侵害
勒索軟件正成為對數據的頭號威脅,這使得確保不良分子在執行勒索軟件攻擊時不會將您的備份數據和您的主要數據一起加密至關重要。如果他們成功了,你將別無選擇,只能支付贖金,這將鼓勵他們再次嘗試。
不必支付贖金的關鍵是擁有備份以還原勒索軟件已加密的系統。保護這些備份免受勒索軟件攻擊的關鍵是在生產系統和備份系統之間設置盡可能多的障礙。無論做什么,請確保備份的唯一副本不是簡單地位于要保護的同一數據中心的Windows服務器上的目錄中。
保護Windows
大多數勒索軟件攻擊是針對Windows主機的,一旦單個主機被感染,它們就會傳播到計算環境中的其他Windows主機上。一旦勒索軟件擴散到足夠多的主機,攻擊者就會激活加密程序。因此,最明智的做法是使用Windows以外的其他工具作為備份服務器。
不幸的是,許多流行的備份產品主要在Windows上運行。好消息是,其中許多還提供了Linux替代方案。即使主備份軟件必須在Windows上運行,它也可能具有Linux介質服務器選項。介質服務器是關鍵,因為這就是您要保護的數據所在的位置。如果只能通過基于Linux的媒體服務器訪問您的備份,則針對Windows服務器的勒索軟件攻擊將無法對其進行攻擊。
除了將常規備份存儲在基于Linux的媒體服務器后面之外,請確保主備份服務器的備份也存儲在其中。如果訪問那些備份所需的數據庫已被勒索軟件加密,那么對備份進行未加密將無濟于事。
您還應該盡可能加強基于Windows的備份服務器。了解勒索軟件用于攻擊服務器(例如RDP)的服務并盡可能多的關閉它們。一定要記住,該服務器是您的最后一道防線,因此請著重考慮安全性,而不是便利性。
從數據中心獲取備份
無論選擇哪種備份解決方案,都應將備份副本存儲在其他位置。這意味著不僅僅是將備份服務器放置在云中的虛擬機中。如果從電子角度來看虛擬機具有與在數據中心內一樣的可訪問性,則攻擊同樣容易。您需要以一種方式進行配置,以使對數據中心系統的攻擊無法傳播到云中的備份系統。這可以通過多種方式來完成,包括防火墻規則,更改操作系統和存儲協議。
例如,大多數云供應商提供對象存儲,并且大多數備份軟件產品和服務都可以寫入對象存儲。勒索軟件攻擊者可能很老練,但是到目前為止,還沒有弄清楚如何攻擊基于對象的存儲中存儲的備份。此外,此類提供程序通常提供一次寫入,多次讀取選項,這意味著您可以指定一個期限,在該期限內,即使授權人員也無法修改或刪除備份。
還有一些備份服務可以將數據寫入只能通過用戶界面訪問的數據到其存儲中。如果您無法直接看到備份,則勒索軟件也不會。
這樣做的目的是使您的備份(或至少備份的一個副本)盡可能的遠離受感染的Windows系統。將它們放置在受防火墻規則保護的提供商的云中,為備份服務器使用其他操作系統,并將備份寫入其他類型的存儲。
刪除文件系統對備份的訪問
如果您的備份系統正在將備份寫入磁盤,請盡最大努力確保無法通過標準文件系統目錄訪問它們。例如,放置備份數據的最壞可能的位置是E:\backups。勒索軟件產品專門針對具有此類名稱的目錄,并將對備份進行加密。
這意味著您需要找出一種將那些備份存儲在磁盤上的方式,以使操作系統不會將那些備份視為文件。例如,最常見的備份配置之一是備份服務器將其備份數據寫入到目標重復數據刪除陣列中,該目標重復數據刪除陣列通過服務器消息塊(SMB)或網絡文件系統(NFS)安裝到備份服務器上。如果勒索軟件產品感染了該服務器,它將能夠對該目標重復數據刪除系統上的備份進行加密,因為可以通過目錄訪問這些備份。您需要研究允許備份產品在不使用SMB或NFS的情況下寫入目標重復數據刪除陣列的方法。所有流行的備份產品均具有此類選項。
利用磁帶進行備份
當然我們還可以使用磁帶進行備份,磁帶真正擅長的一件事是將昨晚或上周的備份復制到另一種介質,然后發送到異地以防范勒索軟件攻擊。即使是最好的勒索軟件產品也完全無法感染你的備份。有時,原始的方法往往是最好的方法。
設置一些障礙
不要讓勒索軟件輕易看到和加密你的備份。如果可能,不要將它們存儲在Windows服務器上,至少要將一份拷貝存儲在數據中心無法通過電子方式訪問的地方。最后,以這樣一種方式配置備份系統,使備份不能被視為備份服務器上的文件。
