保护备份与恢复在勒索软件时代
勒索软件攻击者经常针对备份和恢复系统,迫使受害者支付赎金,这使得强大的保护策略对所有组织都至关重要。本篇博客介绍了防御性备份基础设施控制框架,这是我基于基本原则开发的一个流程,旨在保护备份、加固系统,并在最坏的数据损坏或勒索软件事件中保持恢复能力。
这可能很难接受,但:
- 勒索软件攻击不会很快消失
- 攻击者一旦进入您的环境,就会专门针对备份
- 大多数备份系统是为站点丢失设计的,并未准备好应对像勒索软件这样的恶意技术攻击
在过去几年中,我与数十个组织合作——从非营利组织到中小型企业再到全球企业——以找出必须实现的关键能力,使您的备份在勒索软件攻击中幸存下来,并且您实际上能够恢复组织并重新站稳脚跟。我强调这些控制措施是围绕能力设计的,而不是工具,因此无论您是一个在后屋有服务器的小型企业,完全云原生,还是在全球数据中心拥有数千个系统,这些控制措施都同样相关。流程和实施才是最重要的——而不是您插入服务器机架的闪亮盒子的品牌。
事不宜迟,让我介绍防御性备份基础设施控制框架:
防御性备份基础设施控制框架
防御性备份基础设施控制(DBIC)框架是TrustedSec开发的一套定制控制措施。该框架提出了一种策略和规范性指南,用于加固备份和备份系统,以应对人为操作的勒索软件和类似破坏性攻击的威胁。
该框架的核心原则是,从备份中恢复关键数据和IT能力的能力是防止因勒索软件和其他企业级破坏性网络攻击导致灾难性业务损失的最后一道防线。
成功的恢复取决于在任何攻击之前实现五个战略目标:
- 执行关键系统的备份
- 备份被加固以防止破坏
- 备份数据在全网络中断期间可访问
- 关键系统可以在企业规模上从备份中恢复
- 支持性控制提高弹性并防止变异
DBIC中的战略目标和技术控制基于对勒索软件攻击者常用趋势和策略的威胁建模。该框架借鉴了TrustedSec事件响应和修复团队的经验,并汲取了行业最佳实践控制框架,包括CIS控制、NIST网络安全框架(CSF)和NIST特别出版物(SP)800-53:信息系统和组织的安全与隐私控制。该框架不能替代全面的、基于风险的业务连续性(BC)和灾难恢复(DR)规划。
DBIC战略目标
1. 执行关键系统的备份
根据组织的恢复要求,定期执行关键系统和数据的备份。备份包括核心基础设施,如组织的身份提供者(例如,Active Directory(AD))、DNS、DHCP以及相关的基础能力,以及关键业务系统。
| 控制 | 控制范围 |
|---|---|
| 关键信息系统被识别并包含在备份中 | 安全计划 |
| 建立恢复要求 | 安全计划 |
| 备份能力与恢复要求对齐 | 系统特定 |
2. 备份被加固以防止破坏
备份数据在组织定义的保留生命周期内不易受到技术手段的修改、损坏或删除。保护措施包括防止在备份管理界面中滥用管理员删除能力,以及在文件系统或数据存储级别的删除或损坏。
最有效的解决方案是实施不可变备份存储。当正确安装和配置时,不可变存储几乎肯定能保护备份免受损坏或删除。
此外,特别是在不可用性不可用的情况下,备份系统与受保护环境隔离,以防止恶意访问或受保护环境中的攻击者入侵。
| 控制 | 控制范围 |
|---|---|
| 使用不可变备份存储 | 系统特定 |
| 独立身份和强身份验证控制保护对备份系统的访问 | 系统特定 |
| 备份基础设施管理与受保护系统独立 | 系统特定 |
| 对备份系统和基础设施应用加固 | 系统特定 |
3. 备份数据在全网络中断期间可访问
当生产网络和关键IT基础设施宕机、加密或以其他方式不可访问时,组织能够访问备份数据。如果没有在大规模基础设施中断期间验证访问备份数据的能力,组织很可能无法执行恢复并在可接受的时间内恢复IT和业务操作。
| 控制 | 控制范围 |
|---|---|
| 维护紧急访问凭据 | 系统特定 |
| 识别所需的加密密钥 | 系统特定 |
| 建立紧急网络访问方法和依赖关系 | 系统特定 |
| 维护紧急访问备份的流程文档 | 系统特定 |
| 重要配置文件离线维护 | 系统特定 |
4. 关键系统可以在企业规模上从备份中恢复
在重大事件后,关键IT系统、能力和数据集可以在组织可接受的时间范围内从备份中在企业规模上恢复。
| 控制 | 控制范围 |
|---|---|
| 建立恢复流程 | 系统特定 |
| 维护恢复流程文档 | 系统特定 |
| 执行企业勒索软件攻击的灾难恢复测试 | 安全计划 |
| 辅助人员能够执行完全恢复 | 系统特定 |
5. 支持性控制提高弹性并防止变异
实施支持性控制,提高灾难恢复的有效性,监控备份基础设施中的问题,并可能识别和先发制人地阻止进行中的攻击。
| 控制 | 控制范围 |
|---|---|
| 实施秘密管理策略 | 安全计划 |
| 整合灾难恢复流程文档 | 安全计划 |
| 所有必要的秘密和文档对攻击具有弹性 | 安全计划 |
| 启用备份系统的警报 | 系统特定 |
| 安全团队监控备份流程问题 | 安全计划 |
| 存在备份系统问题的事件响应流程 | 安全计划 |
结论
使用防御性备份基础设施控制框架来严格审视您组织的备份和恢复能力。您在哪些方面准备充分?哪些方面未达到标准?制定计划紧急解决您的关键故障点,然后取得一些快速胜利并开始定期测试。一点一点地改进。记住,昂贵的平台不能替代有效的流程。无论您的组织规模大小或团队预算如何,这里都有您可以解决的问题。
最后,如果您需要帮助评估您组织的备份和恢复策略和架构(或设计更新),请告诉我们!您可以通过联系我们页面给我们留言,拨打1.877.550.4728,或发送电子邮件至info@trustedsec.com。