备份和恢复系统面临两种类型的勒索软件攻击的风险：加密和渗透。四川联想服务器代理而且大多数本地备份服务器对这两种攻击都是开放的。这使得备份系统本身成为某些勒索软件组织的主要目标，需要特别注意。

黑客知道备份服务器通常由不太精通信息安全的初级人员保护和管理。而且似乎没有人愿意为此做些什么，以免他们成为负责服务器的新备份专家。这是一个由来已久的问题，它可以让备份系统在保护大多数服务器的健全进程的监视下通过。

恰恰相反，备份服务器应该是数据中心中最新和最安全的系统。他们应该是最难以管理员或 root 身份登录的。他们应该需要跳过最多的环节才能远程登录。

备份服务器发挥的重要作用是提供无需支付赎金即可从勒索软件攻击中恢复的方法。它们包含重建被勒索软件加密的机器所需的数据，因此勒索软件组织也试图加密备份。任何勒索软件故事中最可悲的一句话是，“而且备份也被加密了”。 他们是你的最后一道防线，你必须守住防线。

这是传统的勒索软件攻击，但数据泄露正迅速成为针对备份服务器的勒索软件攻击者的主要动机。如果不良行为者可以通过备份服务器泄露和解密您公司的机密，他们就会以您无法抵御的方式勒索您：“支付费用，否则您公司最重要（或最糟糕）的机密将成为公众所知。” 然后他们会让你访问一个网页，在那里你可以看到他们拥有的数据，你的企业别无选择，只能支付赎金并希望他们信守诺言。

这种策略对勒索软件组很有意义。攻击肯定保存了企业所有敏感数据的一台服务器比成功攻击可能保存一些敏感数据的多台服务器要容易得多。

按照这个逻辑，一旦恶意软件进入您的数据中心，它就会立即联系其命令和控制服务器以了解下一步应该做什么。越来越多的下一步是确定正在使用哪种类型的备份系统，一旦他们弄清楚，就开始直接攻击该系统。

攻击者可能会尝试通过网络通过 NFS 或 SMB 直接访问您的备份数据，如果他们可以——而且数据是未加密的——他们的工作就完成了。如果他们做不到，他们会使用系统漏洞利用或受损凭据直接进入备份服务器的操作系统以获得管理员/root 访问权限。获得用于基本加密的机器密钥的访问权限为他们提供了备份服务器的密钥。

抵御这种情况的最佳方法是防止勒索软件组织破坏您的备份服务器：

使操作系统和应用程序补丁保持最新

关闭除备份软件需要的所有入站端口

通过私有 VPN 启用必要的管理端口（例如 SSH、RDP）

使用本地主机文件来防止恶意软件联系命令和控制服务器

为备份和应用服务器维护一个单独的密码管理系统（即没有 LDAP）

强制使用多重身份验证

限制root/Administrator的使用；当你这样做时发出警报

使用 SaaS 备份替代管理您自己的备份服务器

尽可能使用最少的特权，给予每个人完成工作所需的特权，仅此而已

为了保护备份数据本身免受勒索或加密，您应该像这样配置您的备份系统：

对存储在任何位置的所有备份数据进行加密

使用第三方管理加密密钥

不要通过 DAS 或 NAS 将备份存储为文件。向您的供应商咨询更安全的方法。

将备份存储在与备份服务器不同的操作系统上。

使用具有不可变特性的本地存储（例如 Linux）

在磁带/RDX 上创建副本并将其发送到异地

在不可变的云存储上创建副本。

对于大多数环境来说，这将是一项繁重的工作，但如果您认识到您的备份服务器所处的危险程度，那么这是值得的。

【公司名称】成都鸿盛广达科技有限公司

【代理级别】成都联想服务器总代理

【销售经理】成都鸿盛广达科技有限公司

【联系方式】座机：028-85952921 手机：13981931555

【公司地址】成都市武侯区人民南路四段一号时代数码广场A座17楼