一直以來，對重要數據進行備份被認為是有效應對勒索軟件攻擊的最后一道防線，但大量真實事件表明，在不斷變化的勒索攻擊面前，數據備份也絕非“萬靈丹”！一方面，“雙重勒索”、“三重勒索”等新攻擊模式不斷涌現，讓傳統數據備份的作用不斷降低；另一方面，由于備份系統普遍缺乏完善的安全保護機制，很多攻擊者也把攻擊目標從服務器系統轉向了數據備份系統。

因此，企業需要更加積極地保護現有的數據備份系統，以避免其成為安全體系中最薄弱的環節。以下9個建議可以幫助組織更好地提升備份服務器的安全性。

1、嚴格的補丁策略

嚴格的補丁管理對保護備份服務器安全性非常關鍵。在許多情況下，當供應商發布補丁時，網絡犯罪分子其實早已了解該漏洞并已利用其開展攻擊。為了盡可能的減少損失，企業應該確保備份服務器的操作系統始終處于最新版本更新狀態。此外，也可以訂閱備份軟件提供的自動更新服務，以便及時利用其中包含的安全保護新機制。

2、禁用入站端口

備份服務器受到的攻擊方式主要有兩種：利用漏洞或使用受損的憑據登錄。因此，除必要的入站端口外，企業應該禁用所有入站端口來同時阻止這兩種攻擊方式。組織應該確保只允許備份軟件執行備份和恢復所需的端口保持開放，并且只能通過備份服務器專用的VPN訪問這些端口，即使是網絡內部的用戶也應該使用VPN來實現訪問。

3、限制出站DNS請求

研究人員發現，勒索軟件感染備份服務器后做的第一件事，就是請求連接它的命令和控制（C&C）服務器。如果它不這樣做，就不能接收到下一步該做什么的指令。組織可以考慮使用本地主機文件或不支持外部查詢的受限DNS系統。這可能看起來有些難以理解，但這是一種阻止勒索軟件感染系統的有效方法。

4、禁止備份服務器與LDAP連接

備份服務器不應連接到輕型目標訪問協議（LDAP）或任何其他集中式認證系統。勒索軟件通常利用這些信息獲取備份服務器本身或其備份應用程序的用戶名和密碼。安全專家認為，企業不應該將管理員賬戶存放在LDAP中，而是應該配置一個單獨的密碼管理系統，以確保只允許在需要訪問權限的人之間共享密碼。

5、啟用多因素身份驗證

多因素身份驗證（MFA）可以提高備份服務器的安全性，但不建議使用SMS或電子郵件認證的方式，因為這兩者都是經常被攻擊的目標。企業可以考慮第三方身份驗證應用程序，如谷歌Authenticator、Authy或其他一些商業性驗證服務產品。

6、限制root和管理員賬戶

數據備份服務器系統應該嚴格限制管理員賬戶的授權和使用。例如，如果在Windows上將一個用戶賬戶設置為管理員賬戶，那么該用戶不應該登錄它來管理備份系統。該賬戶只能用于更新操作系統或添加存儲等任務，這些任務不需要經常訪問，而且第三方應用程序可能會對過度使用特權賬戶進行嚴格監控。

7、使用SaaS備份模式 

使用軟件即服務（SaaS），將備份服務器放置到企業網絡環境之外的地方。這意味著，企業不需要不斷更新備份服務器，也不需要使用防火墻將其與網絡的其他部分分隔開來。同時，企業也不需要在為備份系統的特權賬戶維護配置單獨的密碼管理系統。

8、使用最小特權原則

確保需要訪問備份系統的人員只擁有完成授權任務所需的特權。例如，刪除備份、縮短保留期和執行存儲的能力應該限制在一小部分人，并且應該對這些行為進行大量的日志記錄和監控。如果攻擊者獲得了對備份系統的過多訪問權限，他們就有可能將所有數據傳輸到未加密的位置，并進行竊取或其他破壞活動。

9、創建一個單獨的root賬戶

創建一個相當于root級別的單獨賬戶，并且只管理需要的時候才訪問它，這樣可以有效限制因其泄露而造成損害的可能性?？紤]到這種特權賬戶可能對備份系統和敏感數據造成的損害，這樣做是非常有必要的。