防勒索软件云备份的原则

原则的背景

备份是组织响应和恢复过程的重要组成部分，定期备份是从破坏性勒索软件攻击中恢复的最有效方法，攻击者的目的是破坏或删除受害者的数据。备份方式主要有两种：

• 将副本保存到物理上断开连接的备份存储中，您完全负责管理
• 通过将副本保存到基于云的备份服务来为您处理部分责任    

事件分析表明，在破坏性勒索软件攻击的早期阶段，攻击者通常会针对备份和基础设施，删除或销毁存储在那里的数据，使受害者更难恢复数据，也更有可能支付赎金。这使得基于云的备份服务中的数据面临来自勒索软件攻击者的特别风险，除非采取额外的措施来保护它。

由于基于云的备份服务默认情况下不一定能抵抗勒索软件攻击，因此这些原则规定了服务应提供的功能，以便可以认为它可以抵抗勒索软件的破坏。

如何使用它们

这些原则适用于基于云的备份服务供应商和打算使用这些服务的系统所有者。

供应商和所有者都可以使用它们来评估基于云的备份服务在勒索软件威胁的情况下的恢复能力。

• 对于基于云的备份服务供应商：通过展示服务如何满足这些原则，您可以将服务描述为能够抵抗勒索软件攻击者的破坏，并帮助潜在客户了解如果他们的系统遭受勒索软件攻击，他们的备份数据将如何受到保护。    
• 对于系统所有者：作为基于云的备份服务的客户，这些原则将帮助您向潜在供应商提出问题，以了解如果系统遭受勒索软件攻击，他们的服务将如何保护您的备份数据。

勒索软件的勒索威胁

本指南的重点是减轻破坏性勒索软件攻击的影响。应用这些原则并不能解决攻击者窃取数据以随后勒索受害者的日益增长的趋势。为了解决这个问题，您应该保护您的备份系统免受未经授权的访问，就像保护系统中保存敏感和关键数据的任何其他部分一样。

还要注意：

• 基于云的备份服务只是备份机制的一部分。组织应在整体备份方法中考虑广泛的技术，其中可能包括自我管理备份以及基于云的备份。您还应该考虑程序和政策，以确保它们得到有效使用。
• 当攻击者试图删除组织的数据以造成破坏而不是勒索赎金时，本指南也可能适用。这对于关键的国家基础设施 (CNI) 组织尤其重要。
• 与任何基于云的服务一样，安全是一项 共同的责任。该服务应提供基于原则的机制，允许系统所有者设计和操作安全备份机制。但是，只有系统所有者定期测试和监控备份数据的运行状况，并在组织的整体备份系统的背景下评估基于云的服务，满足这些原则的服务才会在实践中有效。

原则1：备份应对破坏性操作具有弹性

威胁：

勒索软件攻击可能会通过破坏备份来阻止或阻止有效恢复。因此，备份服务应该能够抵御破坏备份数据的尝试，并且还应该保护该数据免遭恶意编辑、覆盖或删除。

建议实施    ：

• 创建备份后阻止任何删除或更改请求。如果没有适当的机制来更改或删除备份，恶意行为者就无法删除备份数据。实际上，备份数据不可能永远存储，因此系统所有者应该能够提前设置策略来指定备份应保留多长时间。这应该与备份计划保持一致，并且对于不同类型的数据可能有所不同。
• 默认提供软删除。软删除机制将数据标记为不可访问，这意味着更广泛的系统的行为就像数据已被永久删除一样，而实际上它在一段时间内仍然可以恢复，也许在为此目的保留的单独存储区域中。这意味着，如果恶意行为者删除了有用的备份数据，客户仍然能够恢复它。客户帐户（因此也是攻击者）不应能够从保存软删除数据的存储区域中删除或覆盖数据。为了使软删除有效，系统所有者需要监视备份系统的整体运行状况，因为如果攻击者可以软删除所有备份数据，并且系统所有者直到审查期结束后才注意到，则攻击者可以颠覆这一点。
• 延迟执行任何删除或更改请求。这应该是预先商定的一段时间，具体取决于系统所有者的监控计划。只有同时发出警报，并且系统所有者确信即使其基础设施受到损害，该警报也会成功发送，这才有效。
• 禁止来自客户帐户的破坏性请求。这包括用户和机器身份，例如管理用户、备份代理、安全扫描工具和保护监控连接。在这种情况下，所有特殊的破坏性请求都必须使用客户和备份服务之间预先商定的机制进行带外授权。这意味着破坏系统的攻击者无法在不破坏另一个单独系统的情况下发出破坏性请求。    

原则2：应配置备份系统，以便不可能拒绝所有客户访问

威胁：

如果攻击者可以通过禁用或删除所有客户帐户或公司身份来阻止受害组织访问其自己的备份数据，那么他们将不需要做任何像删除数据本身那样具有破坏性的事情。

因此，应配置备份系统，以便攻击者无法通过删除用于访问备份数据的个人帐户或删除整个客户帐户来拒绝所有客户访问。这还包括设置身份和访问管理 (IAM) 策略以确保这一点。

建议实施：

• 通过同意单独的带外机制，即使所有现有的企业 IT 系统和资产都不可用，也允许客户访问备份服务。这可以是单独的授权客户帐户和/或设备，或者可以物理存储并通过客户和服务之间的电话进行身份验证的预共享密码。    
• 禁止任何将访问限制在攻击者控制范围内的单个账户的 IAM 策略，因为这会迫使攻击者破坏多个账户以实现对备份系统的完全控制。

原则3：该服务允许客户从备份版本进行恢复，即使后续版本已损坏

威胁：

如果攻击者可以用损坏的备份数据淹没备份存储，他们将不需要做任何像删除数据本身那样具有破坏性的事情。

因此，备份服务应允许客户将备份存储一段与其风险偏好相符的保留期限，并且系统所有者应定期监控和测试其备份的状态。

建议实施：

• 提供机制，以便系统所有者可以测试他们是否可以从当前备份状态进行恢复，这可以按需进行（以不会破坏公司现有基础设施的方式），并且应该允许系统所有者检测备份是否已恢复已被损坏。为了使其有效，系统所有者应将其作为定期监控过程的一部分进行测试。    
• 按照固定的时间段存储备份数据，而不是固定的备份次数。这将防止攻击者用一系列损坏的备份快速连续地覆盖备份存储。
• 创建并保留版本历史记录，以便系统所有者可以从他们选择的版本进行恢复。
• 提供灵活的存储策略，以便系统所有者可以根据自己的风险偏好决定在不同时间段保留多少备份。例如，系统所有者可能决定将每日备份保留一个月，每月备份保留一年。

原则4：使用稳健的密钥管理来保护静态数据

威胁：

• 如果存储的备份经过加密以保护静态数据，则攻击者只需删除或修改加密密钥，就无需实际删除数据本身。
• 因此，应保护用于加密静态数据的密钥，以确保在必要时可以解密备份数据。    

建议实施：

• 遵循 NCSC 的云密钥管理指南。
• 提供带外密钥备份选项，例如以人性化文本编码或 QR 代码形式将主密钥提交到纸上的选项，以便将其存储在安全位置，例如保险箱。

原则5：如果发生重大更改或尝试特权操作，则会触发警报

威胁：

攻击者希望他们破坏备份的尝试不会被检测到，因为针对备份系统可能是对组织主系统进行攻击的先兆。

如果尝试进行重大更改，云备份服务应发出警报，然后在触发这些警报后启动后续操作。该服务应提供不同类型的警报传递机制，以便在客户的基础设施受到损害时仍然可以收到警报。重大更改可能包括（但不限于）批量删除请求、备份停止、更改全局保留期限、更改全局加密策略或更改管理员帐户详细信息。无论尝试成功与否，都应该发出警报。    

仅当客户在触发后启动后续事件管理流程时，警报才会有效。

建议实施：

• 该服务针对影响备份系统的活动提供了广泛的可定制警报，系统所有者可以获取和监控这些警报。对于较大的组织，这可能是 SOC；对于较小的组织，它可能是发送到受监控组邮箱的自动电子邮件。尽管完全可自定义，但重大更改的警报应默认打开。
• 备份系统的行为或访问方式的重大变化需要额外的授权，并且应该自动启动额外的保护监控。