現(xiàn)在，勒索軟件組織已經(jīng)開始專門針對數(shù)據(jù)中心備份服務器攻擊，因此企業(yè)應該大力保護這些備份服務器，以保障業(yè)務的正常開展。

　　以下是保護備份服務器的九個步驟：

　　一)及時打補丁

　　一定要確保企業(yè)的備份服務器及時接收最新操作系統(tǒng)更新。大多數(shù)勒索軟件攻擊都利用已經(jīng)存在很長時間的補丁但未能及時安裝的漏洞。此外，訂閱備份軟件提供的任何自動更新，及時完成更新才能確保備份服務器的安全。

　　二)禁用入站端口

　　備份服務器通常受到兩種方式的攻擊：一是利用漏洞或使用泄露的憑據(jù)登錄，這就要求企業(yè)禁用除必要入站端口之外的所有端口，并同時停止這兩個端口。二是只有備份軟件執(zhí)行備份和還原所需的端口才應保持打開狀態(tài)，并且只能通過專用于備份服務器的 VPN 訪問這些端口。另外，即使是局域網(wǎng)上的用戶也應該使用 VPN。

　　三)削弱出站 DNS 請求

　　勒索軟件感染備份服務器時做的第一件事就是利用命令控制服務器。如果無法執(zhí)行此操作，則無法接收有關下一步操作的說明。因此，企業(yè)可以考慮使用本地主機文件或不支持外部查詢的受限 DNS 系統(tǒng)，這是阻止勒索軟件感染系統(tǒng)的最簡單方法，這樣可以從輕微不便中獲得重大回報。畢竟，為什么備份服務器需要合法地從互聯(lián)網(wǎng)上隨機機器的IP地址?

　　四)斷開備份服務器與 LDAP 的連接

　　備份服務器不應連接到輕量級目錄訪問協(xié)議 (LDAP) 或任何其他集中式身份驗證系統(tǒng)。這些通常受到勒索軟件的攻擊，可以很容易地用于獲取備份服務器本身或其備份應用程序的用戶名和密碼。許多安全專業(yè)人員認為，不應將管理員帳戶放入LDAP，因此可能已經(jīng)存在單獨的密碼管理系統(tǒng)。只允許在需要訪問的人之間共享密碼的商業(yè)密碼管理器可能符合要求。

　　五)啟用多重身份驗證

　　MFA 可以提高備份服務器的安全性，但使用除 SMS 或電子郵件以外的其他方法，都會成為攻擊目標并。因此，企業(yè)可以考慮使用第三方身份驗證應用程序，例如Google Authenticator或Authy或眾多商業(yè)產(chǎn)品之一。

　　六)限制根帳戶和管理員帳戶

　　備份系統(tǒng)應該被配置，以便幾乎沒有人必須直接登錄到管理員或root帳戶。例如，如果在 Windows 上將用戶帳戶設置為管理員帳戶，則該用戶不必登錄即可管理備份系統(tǒng)。該帳戶應僅用于執(zhí)行更新操作系統(tǒng)或添加存儲等操作。當然，這些任務需要不頻繁訪問，并且要受到第三方應用的嚴格監(jiān)視，以防止h過度使用特權帳戶。

　　七)考慮 SaaS 備份

　　使用軟件即服務 (SaaS) 將備份服務器移出企業(yè)數(shù)據(jù)中心計算環(huán)境。這意味著不必不斷更新備份服務器并使用防火墻將其與網(wǎng)絡的其余部分隔離開來。這也使得沒有必要為備份的特權帳戶維護單獨的密碼管理系統(tǒng)。

　　八)使用最小特權

　　確保需要訪問備份系統(tǒng)的人員僅具有完成其授權任務所需的權限。例如，刪除備份、縮短保留期和執(zhí)行存儲的能力應限制為一小組，并且應嚴格記錄和監(jiān)視這些行為。如果攻擊者獲得對備份系統(tǒng)的不受限制的管理員訪問權限，保證可以使用還原將他們想要的所有數(shù)據(jù)傳輸?shù)轿醇用艿奈恢眠M行滲透。

　　九)創(chuàng)建單獨的根/管理員帳戶

　　與 root 等效且僅偶爾訪問的單獨 ID 可以在使用時觸發(fā)警報并限制泄露損壞的可能性。考慮到此類特權可能對備份系統(tǒng)和敏感數(shù)據(jù)造成的損害，值得為此付出。

　　實施這些步驟后，請務必咨詢企業(yè)的備份供應商，以獲取有關其產(chǎn)品和解決方案的最新使用提示。