保护勒索软件时代的备份与恢复系统
勒索软件攻击者经常以备份和恢复系统为目标,迫使受害者支付赎金,这使得强大的保护策略对所有组织都至关重要。本篇博客介绍了防御性备份基础设施控制框架(DBIC),这是一个我从基本原则出发开发的流程,旨在最坏的数据损坏或勒索软件事件中保护备份、强化系统并保持恢复能力。
这或许难以接受,但事实是:
- 勒索软件攻击短期内不会消失
- 攻击者一旦进入您的环境就会专门针对备份
- 大多数备份系统是为站点丢失设计的,并未准备好应对像勒索软件这样的恶意技术攻击
过去几年中,我与数十个组织合作——从非营利组织到中小企业再到全球企业——找出了必须实现的关键能力,以便您的备份在勒索软件攻击中幸存,并且您实际上能够恢复组织并重新站稳脚跟。我强调这些控制措施是围绕能力而非工具设计的,因此无论您是拥有后台服务器的小型企业、完全云原生的企业,还是在全球数据中心拥有数千个系统的企业,它们都同样相关。流程和实施才是关键——而不是您插入服务器机架的闪亮盒子品牌。
事不宜迟,请允许我介绍防御性备份基础设施控制框架:
防御性备份基础设施控制框架
防御性备份基础设施控制(DBIC)框架是TrustedSec开发的一套定制化控制措施。该框架提出了一种策略和规范性指南,用于强化备份和备份系统,以应对人为操作的勒索软件和类似破坏性攻击的威胁。
该框架的核心原则是,从备份中恢复关键数据和IT能力的能力是防止因勒索软件和其他企业级破坏性网络攻击造成灾难性业务损失的最后一道防线。
成功的恢复取决于在任何攻击之前实现五个战略目标:
- 执行关键系统备份
- 强化备份以防破坏
- 备份数据在全网络中断期间可访问
- 关键系统可在企业规模下从备份恢复
- 支持性控制增强弹性并防止偏差
DBIC中的战略目标和技术控制基于对勒索软件攻击者常用趋势和策略的威胁建模。该框架借鉴了TrustedSec事件响应和修复团队的经验,并汲取了行业最佳实践控制框架,包括CIS控制、NIST网络安全框架(CSF)和NIST特别出版物(SP)800-53:信息系统和组织的安全与隐私控制。该框架并非全面、风险知情的业务连续性(BC)和灾难恢复(DR)规划的替代品。
DBIC战略目标
1. 执行关键系统备份
根据组织的恢复要求,定期对关键系统和数据进行备份。备份包括核心基础设施,如组织的身份提供商(例如Active Directory(AD))、DNS、DHCP以及相关的基础能力,此外还包括关键业务系统。
| 控制措施 | 控制范围 |
|---|---|
| 识别关键信息系统并纳入备份 | 安全计划 |
| 建立恢复要求 | 安全计划 |
| 备份能力与恢复要求对齐 | 系统特定 |
2. 强化备份以防破坏
在组织定义的保留生命周期内,备份数据不易受到技术手段的修改、损坏或删除。保护措施包括防止滥用备份管理界面中的管理员删除功能,以及在文件系统或数据存储级别的删除或损坏。
最有效的解决方案是实施不可变备份存储。当正确安装和配置时,不可变存储几乎肯定能保护备份免受损坏或删除。
此外,特别是在不可用性不可用的情况下,备份系统与覆盖环境隔离,以防止恶意访问或覆盖环境中的攻击者破坏。
| 控制措施 | 控制范围 |
|---|---|
| 使用不可变备份存储 | 系统特定 |
| 独立身份和强认证控制保护备份系统访问 | 系统特定 |
| 备份基础设施管理独立于覆盖系统 | 系统特定 |
| 对备份系统和基础设施应用强化措施 | 系统特定 |
3. 备份数据在全网络中断期间可访问
当生产网络和关键IT基础设施宕机、加密或以其他方式不可访问时,组织能够访问备份数据。如果没有在大规模基础设施中断期间验证访问备份数据的能力,组织很可能无法执行恢复并在可接受的时间范围内恢复IT和业务运营。
| 控制措施 | 控制范围 |
|---|---|
| 维护紧急访问凭据 | 系统特定 |
| 识别所需的加密密钥 | 系统特定 |
| 建立紧急网络访问方法和依赖关系 | 系统特定 |
| 维护备份紧急访问的流程文档 | 系统特定 |
| 离线维护重要配置文件 | 系统特定 |
4. 关键系统可在企业规模下从备份恢复
在重大事件后,关键IT系统、能力和数据集可以在组织可接受的时间范围内从备份中在企业规模下恢复。
| 控制措施 | 控制范围 |
|---|---|
| 建立恢复流程 | 系统特定 |
| 维护恢复流程文档 | 系统特定 |
| 执行企业勒索软件攻击的灾难恢复测试 | 安全计划 |
| 辅助人员能够执行完全恢复 | 系统特定 |
5. 支持性控制增强弹性并防止偏差
实施支持性控制,提高灾难恢复的有效性,监控备份基础设施中的问题,并可能识别和预防进行中的攻击。
| 控制措施 | 控制范围 |
|---|---|
| 实施秘密管理策略 | 安全计划 |
| 整合灾难恢复流程文档 | 安全计划 |
| 所有必要的秘密和文档对攻击具有弹性 | 安全计划 |
| 启用备份系统告警 | 系统特定 |
| 安全团队监控备份流程问题 | 安全计划 |
| 存在备份系统问题的事件响应流程 | 安全计划 |
结论
使用防御性备份基础设施控制框架仔细审视您组织的备份和恢复能力。您在哪些方面准备充分?哪些方面未能达标?制定计划紧急解决关键故障点,然后取得一些快速胜利并开始定期测试。逐步改进。请记住,昂贵的平台不能替代有效的流程。无论您的组织规模或团队预算如何,这里都有您可以解决的问题。
最后,如果您需要帮助评估您组织的备份和恢复策略和架构(或设计更新),请告诉我们!您可以通过联系我们页面给我们留言,拨打1.877.550.4728,或发送电子邮件至info@trustedsec.com。