مقالات

9 مرحله برای محافظت از سرورهای بکاپ گیرنده در برابر باج افزار

atiehpardaz
05 شهریور 1403 0 نظرها

محدود کردن دسترسی به سرورهای پشتیبان‌گیری (سرورهای بکاپ) و محدود کردن توانایی آنها برای ارتباطات خارجی از جمله اقدامات دفاعی در برابر باج افزارها برای محافظت از داده های سازمانی است.

اکنون که سازمان های باج افزار به طور خاص، سرورهای پشتیبان‌گیری در سایت را مورد هدف قرار می دهند، مهم تر است که شرکت ها به شدت از خود در برابر آنها دفاع کنند. در اینجا نه مرحله برای محافظت از پشتیبان‌گیری‌ها و اینکه چرا باید از آن‌ها استفاده کنید، آورده شده است.

مرحله 1: روی نصب وصله‌ها پافشاری کنید

مطمئن شوید که سرور پشتیبان (سرور بکاپ) شما جزو اولین گروهی است که جدیدترین بروز رسانی های سیستم عامل را دریافت می کند. اکثر حملات باج‌افزار از آسیب‌پذیری‌هایی سوءاستفاده می‌کنند که وصله‌های آن برای مدت طولانی در دسترس بوده است، اما نصب نشده اند. همچنین، در هر سرویس دهنده ای که خدمات بروزسانی‌های خودکار نرم‌افزار پشتیبان‌گیری را به شما ارائه می‌کند، عضو شوید تا از مزایای هر گونه حفاظت جدیدی که ممکن است شامل آن سرور شود، استفاده کنید.

مرحله 2: پورت های ورودی را غیرفعال کنید

سرورهای بکاپ (سرورهای پشتیبان گیری) به دو روش مورد حمله قرار می گیرند. 1) با سوء استفاده از یک آسیب پذیری 2) ورود به سیستم با استفاده از اعتبارنامه های در معرض خطر. غیرفعال کردن همه پورت‌های ورودی به جز پورت‌های ضروری می‌تواند هر دو راه را مسدود کند. فقط پورت‌هایی که نرم‌افزار پشتیبان برای انجام پشتیبان‌گیری و بازیابی به آن نیاز دارد، باید باز بماند و فقط از طریق VPN اختصاص داده شده به سرور پشتیبان قابل دسترسی باشد. حتی کاربران در شبکه LAN باید از VPN استفاده کنند.

مرحله 3: درخواست های DNS خروجی را فلج کنید

اولین کاری که باج افزار هنگام آلوده کردن سرور بکاپ شما انجام می دهد، تماس با سرور فرمان و کنترل آن است. اگر نتواند این کار را انجام دهد، نمی‌تواند دستورالعمل‌هایی درباره کارهای بعدی دریافت کند. برای رفع این مشکل استفاده از فایل localhost یا یک سیستم DNS محدود که از پرس و جوهای خارجی پشتیبانی نمی کند را در نظر بگیرید. این ممکن است مضحک به نظر برسد، اما این ساده ترین راه برای متوقف کردن باج افزارهایی است که سیستم شما را آلوده کرده اند. این یک ترفند کوچک برای جلوگیری از یک اتفاق ناخوشایند بزرگ است. به هر حال، چرا یک سرور پشتیبان گیر بصورت معمول باید به آدرس IP یک ماشین تصادفی در اینترنت نیاز داشته باشد؟

 

مرحله 4: سرور پشتیبان‌گیری را از LDAP جدا کنید

سرور پشتیبان‌گیری نباید به پروتکل lightweight directory access (LDAP) یا هر سیستم احراز هویت متمرکز دیگری متصل شود. اینها اغلب توسط باج افزار در معرض خطر قرار می گیرند و به راحتی می توان از آنها برای به دست آوردن نام کاربری و رمز عبور خود سرور پشتیبان‌گیر یا برنامه پشتیبان گیر آن استفاده کرد. بسیاری از متخصصان امنیتی معتقدند که هیچ حساب مدیری نباید در LDAP قرار داده شود، بنابراین می تواند یک سیستم مدیریت رمز عبور جداگانه برای این موضوع درنظر گرفته شود. یک نرم افزار مدیریت گذرواژه پولی که به اشتراک گذاری گذرواژه‌ها را فقط در بین افرادی که نیاز به دسترسی دارند اجازه می‌دهد، می‌تواند مناسب باشد.

مرحله 5: احراز هویت چند عاملی را فعال کنید

MFA (multi-factor authentication) می تواند امنیت سرورهای پشتیبان‌گیری را افزایش دهد، اما از روش دیگری غیر از پیامک یا ایمیل (که هر دو اغلب مورد هدف قرار می گیرند و دور زده می شوند) استفاده کنید، یک برنامه احراز هویت شخص ثالث مانند Google Authenticator یا Authy یا یکی از از محصولات تجاری گوناگون را برای این کار درنظر داشته باشید.

مرحله 6: حساب های ریشه (root) و مدیر (administrator) را محدود کنید

سیستم‌های پشتیبان‌گیری باید به گونه‌ای پیکربندی شوند که تقریباً هیچ کس مجبور نباشد مستقیماً به حساب کاربری سرپرست یا روت وارد شود. به عنوان مثال، اگر یک حساب کاربری در ویندوز به عنوان حساب مدیر راه اندازی شده باشد، آن کاربر نباید برای مدیریت سیستم پشتیبان‌گیری وارد آن شود. این حساب فقط باید برای انجام کارهایی مانند به‌روزرسانی سیستم‌ عامل یا افزودن فضای ذخیره‌سازی استفاده شود – کارهایی که به دسترسی نادر نیاز دارند و می‌توانند به شدت توسط برنامه‌های شخص ثالث (غیر از شرکت تولید کننده سیستم عامل) برای استفاده بیش از حد از اکانتهای با دسترسی بالا مانیتور شوند.

مرحله 7: پشتیبان‌گیری SaaS را در نظر بگیرید

با استفاده از نرم افزار سرویس software-as-a-service (SaaS)، سرور پشتیبان‌گیری را به خارج از محیط سازمانی در محل منتقل کنید. این بدان معناست که نیازی به بروزرسانی مداوم سرور پشتیبان‌گیری (سرور بکاپ) و جدا کردن آن از بقیه شبکه با فایروال نیست. همچنین حفظ یک سیستم مدیریت رمز عبور جداگانه برای حساب های ممتاز پشتیبان را غیر ضروری می کند.

مرحله 8: کمترین سطح دسترسی را به کار بگیرید

اطمینان حاصل کنید که پرسنلی که نیاز به دسترسی به سیستم پشتیبان گیری دارند، فقط از آن امتیازات لازم برای انجام وظایف مجاز خود برخوردار هستند. به عنوان مثال، توانایی حذف نسخه‌های پشتیبان، کاهش دوره‌های نگهداری و تخصیص فضاهای داده باید به یک گروه کوچک محدود شود و این رفتارها باید به شدت ثبت و نظارت شوند. اگر مهاجمان دسترسی نامحدود سرپرست به سیستم پشتیبان‌گیری داشته باشند، می توانند از داده های بازیابی برای انتقال غیر مجاز تمام داده های مورد نظر خود به یک مکان رمزگذاری نشده استفاده کنند.

مرحله 9: یک حساب کاربری root/admin جداگانه ایجاد کنید

یک آیدی (شناسه) جداگانه که معادل ریشه است و فقط گاهی اوقات دسترسی به آن می‌تواند احتمال آسیب ناشی از به خطر افتادن را به صورت ایجاد آلارم هنگام استفاده، محدود کند. با توجه به آسیبی که چنین امتیازاتی می‌تواند به سیستم پشتیبان گیری (سیستم بکاپ) و داده های حساس وارد کند، ارزش امتحان کردن را دارد.

پس از اجرای این مراحل، حتماً با فروشنده دستگاه پشتیبان خود در مورد نکاتی که ممکن است درباره محصولات خود داشته باشند، مشورت کنید.

برای راه اندازی و اجرای شبکه خود کلیک کنید

یا با شماره 02122852040 تماس حاصل فرمایید