原副标题:存储伺服器免遭敲诈应用软件反击的 9 个关键步骤
现在,敲诈应用软件组织早已开始专门针对特别针对网络系统存储伺服器反击,因而民营企业如果加大力度为保护那些存储伺服器,以保证业务的正常积极开展。
以下是为保护存储伺服器的八个关键步骤:
一)及时处理短果
一定要保证民营企业的存储伺服器及时处理转交新一代操作方式控制系统预览。绝大多数敲诈应用软件反击都借助早已存在极短时间的插件但没能及时处理加装的安全漏洞。此外,订户存储应用软件提供的任何人离线,及时处理完成预览才能保证存储伺服器的安全。
二)暂停采用入站路由器
存储伺服器一般来说受两种方式的反击:其一借助安全漏洞或采用外泄的凭证登入,这就要求民营企业暂停采用除必要性入站路由器之外的所有路由器,并同时暂停这两个路由器。并有只有存储应用软件继续执行存储和还原成所需的路由器才应保持关上状态,并且只能通过专供于存储伺服器的 VPN 出访那些路由器。另外,即使是以太网上的使用者也如果采用 VPN。
三)弱化南行 DNS 允诺
敲诈应用软件病毒感染存储伺服器时做的第二件事就是借助指示控制伺服器。如果难以继续执行此操作方式,则难以转交有关下一步棋操作方式的说明。因而,民营企业能考虑采用邻近地区PS3文档或不支持内部查阅的受到限制 DNS 控制系统,这是制止敲诈应用软件病毒感染控制系统的最简单方法,这样能从轻度诸多不便中获得重大投资回报。毕竟,为什么存储伺服器需要不合法地从网络上乱数电脑的IP门牌号?
四)接上存储伺服器与 LDAP 的相连
存储伺服器不应相连到轻量产品目录出访协定 (LDAP) 或任何人其他封闭式加密控制系统。那些一般来说受敲诈软业公钥指示行可能符合规定。
五)投入使用双重加密
MFA 能提高存储伺服器的安全性,但采用除 SMS 或电子邮件以外的其他方法,都会成为反击目标并。因而,民营企业能考虑采用第三方加密应用程序,例如Google Authenticator或Authy或众多商业产品之一。
六)限制根帐户和管理员帐户
存储控制系统如果被配置,以便几乎没有人必须直接登入到管理员或root帐户。例如,如果在 Windows 上将用户帐户设置为管理员帐户,则该使用者不必登入即可管理存储控制系统。该帐户应仅用于继续执行预览操作方式控制系统或添加存储等操作方式。当然,那些任务需要不频繁出访,并且要受第三方应用的严格监视,以防止h过度采用特权帐户。
七)考虑 SaaS 存储
采用应用软件即服务 (SaaS) 将存储伺服器移出民营企业网络系统计算环境。这意味着不必不断预览存储伺服器并采用防火墙将其与网络的其余部分隔离开来。这也使得没有必要性为存储的特权帐户维护单独的公钥管理控制系统。
八)采用最小特权
保证需要出访存储控制系统的人员仅具有完成其授权任务所需的权限。例如,删除存储、缩短保留期和继续执行存储的能力应限制为一小组,并且应严格记录和监视那些行为。如果反击者获得对存储控制系统的不受到限制制的管理员出访权限,保证能采用还原成将他们想要的所有数据传输到未加密的位置进行渗透。
九)创建单独的根/管理员帐户
与 root 等效且仅偶尔出访的单独 ID 能在采用时触发警报并限制外泄损坏的可能性。考虑到此类特权可能对存储控制系统和敏感数据造成的损害,值得为此付出。
原文门牌号:9 steps to protecting backup servers from ransomware
原文作者:W. Curtis Preston
