9 passaggi per proteggere i server di backup dai ransomware
Ora che le organizzazioni di ransomware stanno prendendo di mira specificamente i server di backup on-site, è ancora più importante che le aziende li difendano nella maniera più efficace possibile. Ecco nove passaggi fondamentali per proteggere i vostri backup e perché dovresti metterli in pratica.
Patchare… e patchare
Assicuratevi che il vostro server di backup sia tra i primi a ricevere gli ultimi aggiornamenti del sistema operativo. La maggior parte degli attacchi ransomware sfrutta infatti vulnerabilità per le quali le patch sono disponibili da molto tempo, ma che non sono state installate. Inoltre, scaricate qualsiasi aggiornamento automatico fornito dal vostro software di backup per sfruttare tutte le nuove protezioni che potrebbe includere.
Disabilitare le porte in ingresso
I server di backup vengono attaccati in due modi: sfruttando una vulnerabilità o effettuando l’accesso utilizzando credenziali compromesse. La disabilitazione di tutte le porte in ingresso tranne quelle necessarie può arrestare entrambe le modalità di attacco. Solo le porte necessarie al software di backup per eseguire backup e ripristini devono essere lasciate aperte e dovrebbero essere accessibili solo tramite una VPN dedicata al server di backup. Anche gli utenti sulla LAN dovrebbero utilizzare la VPN.
Bloccare le richieste DNS in uscita
La prima cosa che il ransomware fa quando infetta il server di backup è contattare il suo server di comando e controllo. Se non è in grado di farlo, non può ricevere istruzioni su cosa fare dopo. Valutate quindi la possibilità di utilizzare un file host locale o un sistema DNS con restrizioni che non supporta query esterne. Questo può sembrare ridicolo, ma è il modo più semplice per fermare il ransomware che ha infettato il sistema. ÈDopotutto, perché un server di backup dovrebbe legittimamente aver bisogno dell’indirizzo IP di una macchina casuale su Internet?
Disconnettere il server di backup da LDAP
Il server di backup non deve essere connesso al protocollo LDAP (Lightweight Directory Access Protocol) o a qualsiasi altro sistema di autenticazione centralizzato. Questi infatti sono spesso compromessi dal ransomware e possono essere facilmente utilizzati per ottenere nomi utente e password per il server di backup stesso o per la sua applicazione di backup. Molti professionisti della sicurezza ritengono che nessun account amministratore debba essere inserito in LDAP, quindi potrebbe essere già in atto un sistema di gestione delle password separato. Considerate anche un gestore di password commerciale che consente la condivisione delle password solo tra le persone che richiedono l’accesso.
Abilitare l’autenticazione a più fattori
L’autenticazione a più fattori può aumentare la sicurezza dei server di backup, ma utilizzate un metodo diverso da SMS o e-mail, entrambi spesso presi di mira e “bucati”. Considerate invece un’applicazione di autenticazione di terze parti come Google Authenticator, Authy o uno dei tanti prodotti commerciali disponibili sul mercato.
Limitare gli account root e amministratore
I sistemi di backup dovrebbero essere configurati in modo che quasi nessuno debba accedere direttamente a un account amministratore o root. Ad esempio, se un account utente è impostato in Windows come account amministratore, tale utente non deve accedervi per amministrare il sistema di backup. Tale account deve essere utilizzato solo per eseguire operazioni come l’aggiornamento del sistema operativo o l’aggiunta di spazio di archiviazione, attività che richiedono un accesso poco frequente e possono essere fortemente monitorate da app di terze parti per l’uso eccessivo di account privilegiati.
Prendere in considerazione il backup SaaS
Usate un SaaS (Software-as-a-Service) che sposta il server di backup all’esterno dell’ambiente di elaborazione aziendale on-site. Ciò significa non dover aggiornare continuamente il server di backup e segmentarlo dal resto della rete con un firewall. Rende inoltre superfluo mantenere un sistema di gestione delle password separato per gli account privilegiati del backup.
Impiegare il privilegio minimo
Assicuratevi che il personale che deve accedere al sistema di backup disponga solo dei privilegi necessari per svolgere le attività autorizzate. Ad esempio, la possibilità di eliminare i backup e ridurre i periodi di conservazione dovrebbe essere limitata a un piccolo gruppo e tali azioni dovrebbero essere registrate e monitorate in modo intensivo. Se gli aggressori ottengono l’accesso illimitato come amministratore al sistema di backup, potrebbero utilizzare i ripristini per trasferire tutti i dati desiderati in una posizione non crittografata per l’esfiltrazione.
Creare un account root/admin separato
Un ID separato come equivalente di un account root/admin a cui si accede solo occasionalmente può limitare la probabilità di danni da compromissione se attiva degli avvisi quando viene utilizzato. Considerando il danno che tali privilegi possono fare a un sistema di backup e ai dati sensibili, ne vale la pena.