Immer mehr Ransomware-Gruppen nehmen mittlerweile gezielt die Backup-Server von Unternehmen ins Visier. Gerade auf ihnen liegt häufig nach Ransomware-Angriffen die große Hoffnung, den IT-Betrieb schnell wieder herzustellen. Sie sollten daher rigoros geschützt werden.
Hier sind neun Schritte, wie Sie Ihre Backups schützen können.
1. Regelmäßig Patchen
Stellen Sie sicher, dass Ihre Backup-Server zu den ersten gehören, die neue Betriebssystem-Updates erhalten. Die meisten Ransomware-Angriffe nutzen Schwachstellen aus, für die schon seit langem Patches zur Verfügung stehen, die aber nicht installiert wurden. Abonnieren Sie außerdem alle automatischen Updates, die Ihre Sicherungssoftware anbietet, um auch hier von den neuen Schutzmaßnahmen profitieren zu können.
2. Deaktivieren Sie eingehende Ports
Backup-Server werden auf zwei Arten angegriffen - durch das Ausnutzen einer Sicherheitslücke oder per Anmeldung mit kompromittierten Anmeldeinformationen. Das Deaktivieren aller eingehenden Ports außer den unbedingt notwendigen kann beides verhindern. Nur Ports, die die Backup-Software für die Durchführung von Backups und für Wiederherstellungen benötigt, sollten offengelassen werden. Zudem sollten die Backup-Server nur über ein dediziertes VPN zugänglich sein. Auch Benutzer im LAN sollten das VPN nutzen.
3. Ausgehende DNS-Anfragen lahmlegen
Wenn Ransomware Ihren Backup-Server infiziert, kontaktiert sie als erstes ihren Command-and-Control-Server. Wenn sie dazu nicht in der Lage ist, kann sie auch keine Anweisungen für ihr weiteres Vorgehen erhalten. Erwägen Sie die Verwendung einer lokalen Hostdatei oder eines eingeschränkten DNS-Systems, das keine externen Abfragen unterstützt. Dies mag lächerlich erscheinen, ist aber eine einfache Methode, um Ransomware zu stoppen, die Ihr System infiziert hat.
4. Trennen Sie die Verbindung des Backup-Servers zu LDAP
Der Backup-Server sollte nicht mit dem Lightweight-Directory-Access-Protocol (LDAP)oder einem anderen zentralisierten Authentifizierungssystem verbunden sein. Diese werden häufig von Ransomware kompromittiert und können leicht dazu verwendet werden, um die Benutzernamen und Kennwörter für den Backup-Server selbst oder für seine Backup-Anwendung zu erlangen. Viele Sicherheitsexperten sind der Meinung, dass keine Administratorkonten in LDAP angelegt werden sollten. Ein kommerzieller Passwort-Manager, der die Freigabe von Passwörtern nur für die Personen erlaubt, die einen Zugang benötigen, kann hier eine Lösung sein.
5. Aktivieren Sie die Multi-Faktor-Authentifizierung
MFA kann die Sicherheit von Backup-Servern erhöhen, aber verwenden Sie eine andere Methode als SMS oder E-Mail, die beide häufig angegriffen und umgangen werden. Ziehen Sie eine Authentifizierungsanwendung eines Drittanbieters wie Google Authenticator oder Authyoder eines der vielen kommerziellen Produkte in Betracht.
6. Beschränkung von Root- und Administratorkonten
Backup-Systeme sollten so konfiguriert werden, dass sich fast niemand direkt mit einem Administrator- oder Root-Konto anmelden muss. Wenn beispielsweise ein Benutzerkonto unter Windows als Administratorkonto eingerichtet ist, sollte sich dieser Benutzer nicht bei diesem anmelden müssen, um das Backup-System verwalten zu können. Dieses Konto sollte nur für Dinge wie die Aktualisierung des Betriebssystems oder das Hinzufügen von Speicherplatz verwendet werden - Aufgaben, die nur selten einen Zugriff erfordern, so dass die übermäßige Nutzung dieser privilegierten Konten streng überwacht werden kann.
7. SaaS-Backup als Alternative
Ziehen Sie die Verwendung eines Software-as-a-Service-(SaaS-) Dienstes in Erwägung, um die Backup-Server aus der Unternehmens-IT zu verlagern. Auf diese Weise muss der Backup-Server nicht ständig aktualisiert und durch eine Firewall vom restlichen Netzwerk getrennt werden. Außerdem entfällt die Notwendigkeit, ein separates Kennwortverwaltungssystem für die privilegierten Konten des Backup-Servers zu unterhalten.
8. Einsatz von Least Privilege
Stellen Sie sicher, dass Mitarbeiter, die auf das Backup-System zugreifen müssen, nur über die Berechtigungen verfügen, die sie für die Ausführung ihrer Aufgaben auch wirklich benötigen. Beispielsweise sollte die Möglichkeit, Backups zu löschen, Aufbewahrungsfristen zu verkürzen und Speicherungen vorzunehmen, auf eine kleine Gruppe beschränkt sein. Ferner sollte deren Verhalten streng protokolliert und überwacht werden. Wenn Angreifer uneingeschränkten Administratorzugriff auf das Backup-System erhalten, könnten sie Recovery-Funktionen dazu nutzen, um alle gewünschten Daten an einen unverschlüsselten Speicherort zu übertragen und so zu exfiltrieren.
9. Erstellen Sie ein separates root/admin-Konto
Eine separate ID, die dem Root-Konto entspricht und auf die nur gelegentlich zugegriffen wird, kann die Wahrscheinlichkeit von Schäden durch eine Kompromittierung begrenzen, wenn bei ihrer Verwendung Alarme ausgelöst werden. In Anbetracht des Schadens, den solche Privilegien einem Backup-System und sensiblen Daten zufügen können, ist es die Mühe wert.