آنتی ویروس پادویش
امنیت

بکاپ‌ها تحت حمله هستند: چگونه از نسخه‌های پشتیبان خود محافظت کنیم؟

بکاپ‌ها تحت حمله هستند: چگونه از نسخه‌های پشتیبان خود محافظت کنیم؟

فهرست مطالب

به گزارش زوم تک به نقل از The Hacker News، باج‌افزار به یک تهدید بسیار هماهنگ و فراگیر تبدیل شده است و دفاع‌های سنتی به طور فزاینده‌ای برای خنثی کردن آن با مشکل مواجه هستند. حملات باج‌افزاری امروزی ابتدا آخرین خط دفاعی شما — زیرساخت بکاپ شما — را هدف قرار می‌دهند. مجرمان سایبری قبل از قفل کردن محیط عملیاتی شما، به سراغ بکاپ‌های شما می‌روند تا توانایی شما برای بازیابی را از بین ببرند و احتمال پرداخت باج را افزایش دهند.

گیفت کارت

قابل توجه است که این حملات به دقت برای از کار انداختن دفاعیات شما مهندسی شده‌اند. عاملان تهدید، عوامل بکاپ را غیرفعال می‌کنند، اسنپ‌شات‌ها را حذف می‌کنند، سیاست‌های نگهداری را تغییر می‌دهند، حجم‌های بکاپ (به ویژه آنهایی که از طریق شبکه قابل دسترسی هستند) را رمزگذاری می‌کنند و از آسیب‌پذیری‌ها در پلتفرم‌های بکاپ یکپارچه سوءاستفاده می‌کنند. آن‌ها دیگر فقط سعی در ممانعت از دسترسی شما ندارند، بلکه قصد دارند خود ابزارهای بازیابی را نیز از بین ببرند. اگر محیط بکاپ شما با در نظر گرفتن این چشم‌انداز تهدید در حال تکامل ساخته نشده باشد، در معرض خطر بالایی برای به خطر افتادن قرار دارد.

متخصصان فناوری اطلاعات چگونه می‌توانند در برابر این حملات دفاع کنند؟ در این راهنما، ما استراتژی‌های ضعیفی که بکاپ‌ها را در معرض خطر قرار می‌دهند را بررسی می‌کنیم و گام‌های عملی برای تقویت بکاپ‌های محلی و ابری در برابر باج‌افزار را کاوش می‌کنیم. بیایید ببینیم چگونه می‌توان یک استراتژی بکاپ مقاوم ساخت که حتی در مواجهه با حملات پیچیده باج‌افزاری، بتوانید ۱۰۰٪ به آن اعتماد کنید.

نقاط ضعف رایج که بکاپ‌ها را در معرض خطر قرار می‌دهند

جداسازی ناکافی و عدم وجود کپی‌های خارج از سایت یا غیرقابل تغییر (immutable) از جمله رایج‌ترین نقاط ضعف در استراتژی‌های بکاپ هستند. اسنپ‌شات‌ها یا بکاپ‌های محلی به تنهایی کافی نیستند؛ اگر آن‌ها در همان محیط محلی سیستم‌های عملیاتی قرار داشته باشند، به راحتی می‌توانند توسط مهاجمان کشف، رمزگذاری یا حذف شوند. بدون جداسازی مناسب، محیط‌های بکاپ به شدت مستعد حرکت جانبی هستند و به باج‌افزار اجازه می‌دهند از سیستم‌های آلوده به زیرساخت بکاپ گسترش یابد.

در اینجا برخی از رایج‌ترین تکنیک‌های حمله جانبی مورد استفاده برای به خطر انداختن بکاپ‌ها آورده شده است:

  • حملات Active Directory (AD): مهاجمان از AD برای افزایش امتیازات و دسترسی به سیستم‌های بکاپ سوءاستفاده می‌کنند.
  • تصرف میزبان مجازی: عاملان مخرب از یک پیکربندی اشتباه یا آسیب‌پذیری در ابزارهای مهمان یا کد هایپروایزر برای کنترل هایپروایزر و ماشین‌های مجازی (VMs) از جمله آنهایی که بکاپ‌ها را میزبانی می‌کنند، استفاده می‌کنند.
  • حملات نرم‌افزاری مبتنی بر ویندوز: عاملان تهدید از سرویس‌های داخلی ویندوز و رفتارهای شناخته شده در نسخه‌های مختلف برای یافتن نقاط ورود به نرم‌افزارهای بکاپ و مخازن بکاپ سوءاستفاده می‌کنند.
  • بهره‌برداری از آسیب‌پذیری‌ها و نقاط ضعف عمومی (CVE): CVE‌های با شدت بالا به طور معمول برای نفوذ به میزبان‌های بکاپ قبل از اعمال پچ‌ها هدف قرار می‌گیرند.

یکی دیگر از نقاط ضعف عمده، تکیه بر یک ارائه‌دهنده ابری واحد برای بکاپ‌های ابری است که یک نقطه شکست واحد ایجاد می‌کند و خطر از دست دادن کامل داده‌ها را افزایش می‌دهد. به عنوان مثال، اگر داده‌های مایکروسافت ۳۶۵ را در محیط مایکروسافت بکاپ می‌گیرید، زیرساخت بکاپ و سیستم‌های منبع شما همان اکوسیستم را به اشتراک می‌گذارند و کشف آن‌ها را آسان می‌کند. با اعتبارنامه‌های دزدیده شده یا دسترسی API، مهاجمان می‌توانند هر دو را به طور همزمان به خطر بیندازند.

ساخت مقاومت بکاپ با استراتژی 3-2-1-1-0

قانون بکاپ ۳-۲-۱ مدت‌هاست که استاندارد طلایی در حفاظت از داده‌ها بوده است. با این حال، با توجه به اینکه باج‌افزار به طور فزاینده‌ای زیرساخت بکاپ را هدف قرار می‌دهد، دیگر کافی نیست. چشم‌انداز تهدید امروزی نیازمند رویکردی مقاوم‌تر است، رویکردی که فرض می‌کند مهاجمان سعی در از بین بردن توانایی شما برای بازیابی خواهند داشت.

اینجاست که استراتژی ۳-۲-۱-۱-۰ وارد می‌شود. این رویکرد با هدف نگهداری سه کپی از داده‌های شما و ذخیره آن‌ها در دو رسانه مختلف، با یک کپی خارج از سایت، یک کپی غیرقابل تغییر و صفر خطای بکاپ عمل می‌کند.

شکل ۱: استراتژی بکاپ 3-2-1-1-0

در اینجا نحوه عملکرد آن آورده شده است:

۳ کپی از داده: ۱ تولید + ۲ بکاپ

هنگام بکاپ‌گیری، تکیه صرف بر بکاپ‌های در سطح فایل بسیار مهم است. از بکاپ‌های مبتنی بر ایمیج استفاده کنید که سیستم کامل — سیستم عامل (OS)، برنامه‌ها، تنظیمات و داده‌ها — را برای بازیابی کامل‌تر ضبط می‌کنند. به دنبال قابلیت‌هایی مانند بازیابی Bare Metal و مجازی‌سازی فوری باشید.

به جای نرم‌افزار بکاپ استاندارد، از یک دستگاه بکاپ اختصاصی (فیزیکی یا مجازی) برای جداسازی و کنترل بیشتر استفاده کنید. هنگام جستجو برای دستگاه‌ها، آنهایی را در نظر بگیرید که بر روی لینوکس تقویت‌شده ساخته شده‌اند تا سطح حمله را کاهش داده و از آسیب‌پذیری‌های مبتنی بر ویندوز و انواع فایل‌های هدف قرار گرفته جلوگیری کنند.

۲ فرمت رسانه مختلف

بکاپ‌ها را روی دو نوع رسانه متمایز — دیسک محلی و فضای ذخیره‌سازی ابری — ذخیره کنید تا خطر را متنوع کرده و از به خطر افتادن همزمان جلوگیری کنید.

۱ کپی خارج از سایت

اطمینان حاصل کنید که یک کپی بکاپ در خارج از سایت و به صورت جغرافیایی جداگانه ذخیره می‌شود تا در برابر بلایای طبیعی یا حملات در سطح سایت محافظت شود. در صورت امکان، از یک Air Gap فیزیکی یا منطقی استفاده کنید.

۱ کپی غیرقابل تغییر (Immutable)

حداقل یک کپی بکاپ را در فضای ذخیره‌سازی ابری غیرقابل تغییر نگهداری کنید تا نتواند توسط باج‌افزار یا کاربران سرکش تغییر، رمزگذاری یا حذف شود.

۰ خطا

بکاپ‌ها باید به طور منظم تأیید، آزمایش و نظارت شوند تا اطمینان حاصل شود که بدون خطا و در صورت نیاز قابل بازیابی هستند. استراتژی شما تا زمانی که اعتماد کامل به بازیابی نداشته باشید، کامل نیست.

برای موثر ساختن استراتژی ۳-۲-۱-۱-۰، تقویت محیطی که بکاپ‌های شما در آن قرار دارند، بسیار مهم است. بهترین روش‌های زیر را در نظر بگیرید:

  • سرور بکاپ را در یک محیط شبکه محلی (LAN) امن مستقر کنید تا دسترسی محدود شود.
  • دسترسی را با استفاده از اصل حداقل امتیاز محدود کنید. از کنترل دسترسی مبتنی بر نقش (RBAC) استفاده کنید تا اطمینان حاصل شود که هیچ حساب دامنه محلی دارای حقوق مدیر بر روی سیستم‌های بکاپ نیست.
  • شبکه‌های بکاپ را با عدم ترافیک ورودی از اینترنت تقسیم‌بندی کنید. فقط ترافیک خروجی را مجاز کنید. همچنین، فقط سیستم‌های محافظت شده باید بتوانند با سرور بکاپ ارتباط برقرار کنند.
  • برای اعمال کنترل‌های دسترسی شبکه از فایروال استفاده کنید و از لیست‌های کنترل دسترسی مبتنی بر پورت (ACLs) در پورت‌های سوئیچ شبکه استفاده کنید.
  • رمزگذاری در سطح عامل را فعال کنید تا داده‌های نوشته شده در سرور بکاپ با استفاده از یک کلید منحصر به فرد که فقط شما می‌توانید با رمز عبور خودتان تولید کنید، رمزگذاری شوند.
  • سرویس‌ها و پورت‌های استفاده نشده را غیرفعال کنید تا تعداد بردارهای حمله بالقوه کاهش یابد.
  • احراز هویت چندعاملی (MFA) — ترجیحاً بیومتریک به جای رمز عبور یکبار مصرف مبتنی بر زمان (TOTP) — را برای تمام دسترسی به محیط بکاپ فعال کنید.
  • سیستم‌های بکاپ را پچ و به روز نگه دارید تا در معرض آسیب‌پذیری‌های شناخته شده قرار نگیرند.
  • تمام دستگاه‌های بکاپ را با محفظه‌های قفل‌شده، گزارش‌های دسترسی و اقدامات نظارتی به صورت فیزیکی ایمن کنید.

بهترین روش‌ها برای ایمن‌سازی بکاپ‌های مبتنی بر ابر

باج‌افزار می‌تواند به راحتی پلتفرم‌های ابری را نیز هدف قرار دهد، به ویژه زمانی که بکاپ‌ها در همان اکوسیستم قرار دارند. به همین دلیل، تقسیم‌بندی و جداسازی حیاتی هستند.

تقسیم‌بندی و جداسازی داده‌ها

برای ایجاد یک Air Gap واقعی در فضای ابری، داده‌های بکاپ باید در یک زیرساخت ابری جداگانه با سیستم احراز هویت خاص خود قرار گیرند. از هرگونه اتکا به اسرار یا اعتبارنامه‌های ذخیره شده در محیط عملیاتی خودداری کنید. این جداسازی خطر به خطر افتادن محیط عملیاتی شما را بر روی بکاپ‌های شما کاهش می‌دهد.

استفاده از معماری بکاپ ابری خصوصی

خدماتی را انتخاب کنید که داده‌های بکاپ را از محیط منبع خارج کرده و به یک محیط ابری جایگزین، مانند یک ابر خصوصی، منتقل می‌کنند. این یک محیط منطقاً ایزوله ایجاد می‌کند که از بردارهای دسترسی اصلی محافظت می‌شود و حفاظت Air-Gapped لازم برای مقاومت در برابر باج‌افزار مدرن را فراهم می‌کند. محیط‌های اشتراکی کشف، دسترسی یا تخریب دارایی‌های منبع و بکاپ را در یک کمپین واحد برای مهاجمان آسان‌تر می‌کند.

احراز هویت و کنترل دسترسی

بکاپ‌های مبتنی بر ابر باید از یک سیستم هویتی کاملاً جداگانه استفاده کنند. MFA (ترجیحاً بیومتریک)، RBAC و هشدار برای تغییرات غیرمجاز، مانند حذف عامل یا تغییر سیاست‌های نگهداری را پیاده‌سازی کنید. اعتبارنامه‌ها هرگز نباید در همان اکوسیستمی که از آن بکاپ گرفته می‌شود، ذخیره شوند. نگه داشتن توکن‌های دسترسی و اسرار در خارج از محیط عملیاتی (مانند Azure یا Microsoft 365) هرگونه وابستگی به آن‌ها را برای بازیابی بکاپ از بین می‌برد.

چگونه Datto BCDR بکاپ‌های شما را برای ۱۰۰٪ اطمینان از بازیابی ایمن می‌کند؟

حتی با داشتن استراتژی درست، مقاومت در نهایت به ابزارهایی که انتخاب می‌کنید بستگی دارد. اینجاست که پلتفرم تداوم کسب و کار و بازیابی فاجعه (BCDR) داتو (Datto) برجسته می‌شود. Datto BCDR تداوم محلی و ابری یکپارچه را با قدرت دستگاه‌های SIRIS و ALTO و ابر غیرقابل تغییر Datto BCDR ارائه می‌دهد. این پلتفرم تضمین می‌کند که بکاپ‌های شما همیشه قابل بازیابی هستند، حتی در بدترین سناریوها.

شکل ۲: چگونه Datto BCDR تداوم کسب و کار را فراهم می‌کند

در اینجا نحوه تضمین بازیابی توسط Datto BCDR آورده شده است:

  • افزونگی محلی و ابری: Datto BCDR دستگاه‌های بکاپ قدرتمندی را ارائه می‌دهد که به عنوان اهداف بازیابی محلی نیز عمل می‌کنند. شما می‌توانید در طول یک خرابی، ورک‌لودها و برنامه‌ها را مستقیماً روی دستگاه اجرا کنید. اگر سیستم‌های محلی به خطر بیفتند، بازیابی به طور یکپارچه به Datto BCDR Cloud برای عملیات مجازی منتقل می‌شود و تداوم کسب و کار را بدون وقفه تضمین می‌کند.
  • قدرت ابر غیرقابل تغییر Datto BCDR: Datto BCDR Cloud که به طور خاص برای بکاپ و بازیابی فاجعه ساخته شده است، انعطاف‌پذیری، امنیت و عملکرد بی‌نظیری را ارائه می‌دهد. این پلتفرم فراتر از ذخیره‌سازی اولیه خارج از سایت می‌رود تا حفاظت چند لایه را ارائه دهد و داده‌های حیاتی را هم ایمن و هم فوراً قابل بازیابی کند.
  • دفاع موثر در برابر باج‌افزار: دستگاه‌های داتو بر روی معماری لینوکس تقویت‌شده اجرا می‌شوند تا آسیب‌پذیری‌هایی که معمولاً در سیستم‌های ویندوز هدف قرار می‌گیرند را کاهش دهند. آن‌ها همچنین شامل تشخیص داخلی باج‌افزار هستند که قبل از شروع هرگونه بازیابی، فعالانه به دنبال تهدیدات می‌گردد.
  • آزمایش بکاپ خودکار و تأیید شده: تأیید اسنپ‌شات خودکار داتو تأیید می‌کند که ماشین‌های مجازی می‌توانند از بکاپ‌ها بوت شوند. همچنین بررسی‌های سطح برنامه را برای اطمینان از عملکرد صحیح ورک‌لودها پس از بازیابی انجام می‌دهد و به تیم‌های فناوری اطلاعات کمک می‌کند تا بازیابی را بدون حدس و گمان تأیید کنند.
  • گزینه‌های بازیابی سریع برای یکپارچگی بازیابی شامل:
    • ویژگی‌هایی مانند بازیابی فاجعه با ۱ کلیک (1-Click DR) که بازیابی فاجعه را تقریباً فوری می‌کند.
    • بکاپ‌های ایمیج‌بیس امن برای بازیابی کامل سیستم.
    • Cloud Deletion Defense™ برای بازیابی فوری اسنپ‌شات‌های ابری حذف شده، چه تصادفی و چه مخرب.

آیا زمان آن رسیده است که استراتژی بکاپ خود را بازنگری کنید؟

مقاومت سایبری با امنیت بکاپ آغاز می‌شود. قبل از اینکه باج‌افزار حمله کند، از خود بپرسید: آیا بکاپ‌های شما واقعاً از سیستم‌های عملیاتی شما جدا شده‌اند؟ آیا می‌توانند توسط حساب‌های به خطر افتاده حذف یا رمزگذاری شوند؟ آخرین بار چه زمانی آن‌ها را آزمایش کردید؟

اکنون زمان آن رسیده است که استراتژی بکاپ خود را از لنز مبتنی بر ریسک ارزیابی کنید. نقاط ضعف را شناسایی کنید، نقاط ضعف را تقویت کنید و بازیابی را به یک اطمینان تبدیل کنید – نه یک سوال.

کاوش کنید که چگونه Datto BCDR می‌تواند به شما در پیاده‌سازی یک معماری بکاپ امن و مقاوم که برای تهدیدات دنیای واقعی ساخته شده است، کمک کند. همین امروز قیمت را دریافت کنید.

 

به این پست امتیاز بدید

مطالب مرتبط

نظرات در مورد : بکاپ‌ها تحت حمله هستند: چگونه از نسخه‌های پشتیبان خود محافظت کنیم؟

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *