备份受到攻击：如何保护备份

勒索软件已成为一种高度协同且无处不在的威胁，传统防御措施已越来越难以抵御。如今，勒索软件攻击最初瞄准的是最后一道防线——备份基础设施。在锁定生产环境之前，网络犯罪分子会先窃取备份数据，以削弱被攻击者的恢复能力，从而增加勒索赎金的几率。

值得注意的是，这些攻击是精心策划的，旨在摧毁防御系统。威胁者会禁用备份代理、删除快照、修改保留策略、加密备份卷（尤其是可通过网络访问的备份卷），并利用集成备份平台中的漏洞。他们不再仅仅试图拒绝您的访问，而是彻底摧毁您的恢复手段。如果您的备份环境在构建时没有考虑到这种不断变化的威胁形势，那么它就面临着很高的被入侵风险。

IT 专业人员该如何防御？在本指南中，将揭示导致备份暴露的薄弱策略，并探讨切实可行的步骤，以加强本地和云端备份的勒索软件防护。让我们看看如何构建一个高弹性的备份策略，即使面对复杂的勒索软件攻击，也能 100% 信赖。

导致备份暴露的常见陷阱#

隔离不足以及缺乏异地或不可变副本是备份策略中最常见的弱点。仅靠快照或本地备份是不够的；如果它们与生产系统位于同一现场环境中，攻击者很容易发现、加密或删除它们。如果没有适当的隔离，备份环境很容易受到横向移动的影响，勒索软件很容易从受感染的系统传播到备份基础设施。

以下是一些用于破坏备份的最常见的横向攻击技术：

• 活动目录 (AD) 攻击：攻击者利用AD提升权限并获取备份系统的访问权限。
• 虚拟主机接管：恶意行为者利用客户工具或虚拟机管理程序代码中的错误配置或漏洞来控制虚拟机管理程序和虚拟机（VM），包括托管备份的虚拟机管理程序和虚拟机。
• 基于 Windows 的软件攻击：威胁行为者利用内置的Windows服务和跨版本的已知行为作为进入备份软件和备份存储库的入口点。
• 常见漏洞和暴露 (CVE) 利用：高严重性CVE通常会在应用补丁之前攻击备份主机。

另一个主要陷阱是依赖单一云提供商进行云备份，这会造成单点故障，并增加数据完全丢失的风险。例如，如果在 Microsoft 环境中备份 Microsoft 365 数据，则备份基础架构和源系统共享相同的生态系统，因此很容易被发现。攻击者可以通过窃取凭据或应用程序编程接口 (API) 访问权限，同时入侵两者。

利用 3-2-1-1-0 策略构建备份弹性#

3-2-1 备份规则长期以来一直是数据保护的黄金标准。然而，随着勒索软件越来越多地将备份基础设施作为攻击目标，已不再足够。当今的威胁形势需要一种更具弹性的方法，这种方法假设攻击者会试图摧毁你的恢复能力。

这就是 3-2-1-1-0 策略的用武之地。这种方法旨在保留数据的三个副本并将它们存储在两种不同的介质上，其中一个副本位于异地，一个副本不可变，并且零备份错误。

图 1：3-2-1-1-0 备份策略

工作原理如下：

3 个数据副本：1 个生产副本 + 2 个备份#

备份时，切勿仅仅依赖文件级备份。使用基于映像的备份，捕获完整系统（包括操作系统 (OS)、应用程序、设置和数据），以实现更全面的恢复。寻找诸如裸机恢复和即时虚拟化等功能。

使用专用备份设备（物理或虚拟），而非标准备份软件，实现更佳的隔离和控制。在选择设备时，请考虑基于强化 Linux 构建的设备，以减少攻击面，并规避 Windows 漏洞和常见的目标文件类型。

2 种不同的媒体格式#

将备份存储在两种不同的媒体类型（本地磁盘和云存储）上，以分散风险并防止同时受到损害。

1份异地副本#

确保将一份备份副本存储在异地，并按地理位置进行隔离，以防范自然灾害或全站攻击。尽可能使用物理或逻辑隔离。

1 个不可变副本#

在不可变的云存储中保留至少一个备份副本，以便勒索软件或恶意用户无法更改、加密或删除它。

0 个错误#

备份必须定期验证、测试和监控，以确保其无错误且在需要时可恢复。只有当您对恢复充满信心时，您的策略才算完整。

为了使 3-2-1-1-0 策略真正有效，强化备份环境至关重要。请考虑以下最佳实践：

• 将备份服务器部署在安全的局域网（LAN）环境中，以限制可访问性。
• 使用最小特权原则限制访问。使用基于角色的访问控制 (RBAC) 确保没有本地域帐户拥有备份系统的管理权限。
• 对备份网络进行分段，禁止来自互联网的入站流量。仅允许出站流量。此外，只有受保护的系统才能与备份服务器通信。
• 使用防火墙来强制执行网络访问控制，并在网络交换机端口上使用基于端口的访问控制列表 (ACL)。
• 部署代理级加密，以便使用只有您才能使用自己的密码生成的唯一密钥对写入备份服务器的数据进行加密。
• 禁用未使用的服务和端口以减少潜在攻击媒介的数量。
• 对所有备份环境的访问启用多因素身份验证 (MFA) - 最好是生物识别而不是基于时间的一次性密码 (TOTP)。
• 保持备份系统修补并更新，以避免暴露已知漏洞。
• 使用上锁的外壳、访问日志和监控措施来物理保护所有备份设备。

保护基于云的备份的最佳实践#

勒索软件同样可以轻易地瞄准云平台，尤其是当备份位于同一生态系统中时。因此，隔离和隔离至关重要。

数据分割和隔离#

为了在云中构建真正的隔离，备份数据必须驻留在独立的云基础架构中，并配备独立的身份验证系统。避免依赖生产环境中存储的机密或凭证。这种隔离可以降低生产环境受损影响备份的风险。

采用私有云备份架构#

选择将备份数据从源环境迁移到其他云环境（例如私有云）的服务。这将创建一个逻辑隔离的环境，屏蔽原始访问向量，提供抵御现代勒索软件所需的隔离保护。共享环境使攻击者更容易在一次攻击活动中发现、访问或摧毁源资产和备份资产。

身份验证和访问控制#

基于云的备份应使用完全独立的身份系统。实施 MFA（最好是生物识别）、RBAC 以及针对未经授权的更改（例如代理移除或保留策略修改）的警报。凭证绝不能存储在正在备份的同一生态系统中。将访问令牌和机密保存在生产环境（例如 Azure 或 Microsoft 365）之外，可以消除备份恢复对它们的任何依赖。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：备份受到攻击：如何保护备份