原則的背景

備份是組織響應和恢復過程的重要組成部分，定期備份是從破壞性勒索軟件攻擊中恢復的最有效方法，攻擊者的目的是破壞或刪除受害者的數據。備份方式主要有兩種：

• 將副本保存到物理上斷開連接的備份存儲中，您完全負責管理
• 通過將副本保存到基于云的備份服務來為您處理部分責任    

事件分析表明，在破壞性勒索軟件攻擊的早期階段，攻擊者通常會針對備份和基礎設施，刪除或銷毀存儲在那里的數據，使受害者更難恢復數據，也更有可能支付贖金。這使得基于云的備份服務中的數據面臨來自勒索軟件攻擊者的特別風險，除非采取額外的措施來保護它。

由于基于云的備份服務默認情況下不一定能抵抗勒索軟件攻擊，因此這些原則規定了服務應提供的功能，以便可以認為它可以抵抗勒索軟件的破壞。

如何使用它們

這些原則適用于基于云的備份服務供應商和打算使用這些服務的系統所有者。

供應商和所有者都可以使用它們來評估基于云的備份服務在勒索軟件威脅的情況下的恢復能力。

• 對于基于云的備份服務供應商：通過展示服務如何滿足這些原則，您可以將服務描述為能夠抵抗勒索軟件攻擊者的破壞，并幫助潛在客戶了解如果他們的系統遭受勒索軟件攻擊，他們的備份數據將如何受到保護。    
• 對于系統所有者：作為基于云的備份服務的客戶，這些原則將幫助您向潛在供應商提出問題，以了解如果系統遭受勒索軟件攻擊，他們的服務將如何保護您的備份數據。

勒索軟件的勒索威脅

本指南的重點是減輕破壞性勒索軟件攻擊的影響。應用這些原則并不能解決攻擊者竊取數據以隨后勒索受害者的日益增長的趨勢。為了解決這個問題，您應該保護您的備份系統免受未經授權的訪問，就像保護系統中保存敏感和關鍵數據的任何其他部分一樣。

還要注意：

• 基于云的備份服務只是備份機制的一部分。組織應在整體備份方法中考慮廣泛的技術，其中可能包括自我管理備份以及基于云的備份。您還應該考慮程序和政策，以確保它們得到有效使用。
• 當攻擊者試圖刪除組織的數據以造成破壞而不是勒索贖金時，本指南也可能適用。這對于關鍵的國家基礎設施 (CNI) 組織尤其重要。
• 與任何基于云的服務一樣，安全是一項 共同的責任。該服務應提供基于原則的機制，允許系統所有者設計和操作安全備份機制。但是，只有系統所有者定期測試和監控備份數據的運行狀況，并在組織的整體備份系統的背景下評估基于云的服務，滿足這些原則的服務才會在實踐中有效。

原則1：備份應對破壞性操作具有彈性

威脅：

勒索軟件攻擊可能會通過破壞備份來阻止或阻止有效恢復。因此，備份服務應該能夠抵御破壞備份數據的嘗試，并且還應該保護該數據免遭惡意編輯、覆蓋或刪除。

建議實施    ：

• 創建備份后阻止任何刪除或更改請求。如果沒有適當的機制來更改或刪除備份，惡意行為者就無法刪除備份數據。實際上，備份數據不可能永遠存儲，因此系統所有者應該能夠提前設置策略來指定備份應保留多長時間。這應該與備份計劃保持一致，并且對于不同類型的數據可能有所不同。
• 默認提供軟刪除。軟刪除機制將數據標記為不可訪問，這意味著更廣泛的系統的行為就像數據已被永久刪除一樣，而實際上它在一段時間內仍然可以恢復，也許在為此目的保留的單獨存儲區域中。這意味著，如果惡意行為者刪除了有用的備份數據，客戶仍然能夠恢復它?？蛻魩簦ㄒ虼艘彩枪粽撸┎粦軌驈谋４孳泟h除數據的存儲區域中刪除或覆蓋數據。為了使軟刪除有效，系統所有者需要監視備份系統的整體運行狀況，因為如果攻擊者可以軟刪除所有備份數據，并且系統所有者直到審查期結束后才注意到，則攻擊者可以顛覆這一點。
• 延遲執行任何刪除或更改請求。這應該是預先商定的一段時間，具體取決于系統所有者的監控計劃。只有同時發出警報，并且系統所有者確信即使其基礎設施受到損害，該警報也會成功發送，這才有效。
• 禁止來自客戶帳戶的破壞性請求。這包括用戶和機器身份，例如管理用戶、備份代理、安全掃描工具和保護監控連接。在這種情況下，所有特殊的破壞性請求都必須使用客戶和備份服務之間預先商定的機制進行帶外授權。這意味著破壞系統的攻擊者無法在不破壞另一個單獨系統的情況下發出破壞性請求。    

原則2：應配置備份系統，以便不可能拒絕所有客戶訪問

威脅：

如果攻擊者可以通過禁用或刪除所有客戶帳戶或公司身份來阻止受害組織訪問其自己的備份數據，那么他們將不需要做任何像刪除數據本身那樣具有破壞性的事情。

因此，應配置備份系統，以便攻擊者無法通過刪除用于訪問備份數據的個人帳戶或刪除整個客戶帳戶來拒絕所有客戶訪問。這還包括設置身份和訪問管理 (IAM) 策略以確保這一點。

建議實施：

• 通過同意單獨的帶外機制，即使所有現有的企業 IT 系統和資產都不可用，也允許客戶訪問備份服務。這可以是單獨的授權客戶帳戶和/或設備，或者可以物理存儲并通過客戶和服務之間的電話進行身份驗證的預共享密碼。    
• 禁止任何將訪問限制在攻擊者控制范圍內的單個賬戶的 IAM 策略，因為這會迫使攻擊者破壞多個賬戶以實現對備份系統的完全控制。

原則3：該服務允許客戶從備份版本進行恢復，即使后續版本已損壞

威脅：

如果攻擊者可以用損壞的備份數據淹沒備份存儲，他們將不需要做任何像刪除數據本身那樣具有破壞性的事情。

因此，備份服務應允許客戶將備份存儲一段與其風險偏好相符的保留期限，并且系統所有者應定期監控和測試其備份的狀態。

建議實施：

• 提供機制，以便系統所有者可以測試他們是否可以從當前備份狀態進行恢復，這可以按需進行（以不會破壞公司現有基礎設施的方式），并且應該允許系統所有者檢測備份是否已恢復已被損壞。為了使其有效，系統所有者應將其作為定期監控過程的一部分進行測試。    
• 按照固定的時間段存儲備份數據，而不是固定的備份次數。這將防止攻擊者用一系列損壞的備份快速連續地覆蓋備份存儲。
• 創建并保留版本歷史記錄，以便系統所有者可以從他們選擇的版本進行恢復。
• 提供靈活的存儲策略，以便系統所有者可以根據自己的風險偏好決定在不同時間段保留多少備份。例如，系統所有者可能決定將每日備份保留一個月，每月備份保留一年。

原則4：使用穩健的密鑰管理來保護靜態數據

威脅：

• 如果存儲的備份經過加密以保護靜態數據，則攻擊者只需刪除或修改加密密鑰，就無需實際刪除數據本身。
• 因此，應保護用于加密靜態數據的密鑰，以確保在必要時可以解密備份數據。    

建議實施：

• 遵循 NCSC 的云密鑰管理指南。
• 提供帶外密鑰備份選項，例如以人性化文本編碼或 QR 代碼形式將主密鑰提交到紙上的選項，以便將其存儲在安全位置，例如保險箱。

原則5：如果發生重大更改或嘗試特權操作，則會觸發警報

威脅：

攻擊者希望他們破壞備份的嘗試不會被檢測到，因為針對備份系統可能是對組織主系統進行攻擊的先兆。

如果嘗試進行重大更改，云備份服務應發出警報，然后在觸發這些警報后啟動后續操作。該服務應提供不同類型的警報傳遞機制，以便在客戶的基礎設施受到損害時仍然可以收到警報。重大更改可能包括（但不限于）批量刪除請求、備份停止、更改全局保留期限、更改全局加密策略或更改管理員帳戶詳細信息。無論嘗試成功與否，都應該發出警報。    

僅當客戶在觸發后啟動后續事件管理流程時，警報才會有效。

建議實施：

• 該服務針對影響備份系統的活動提供了廣泛的可定制警報，系統所有者可以獲取和監控這些警報。對于較大的組織，這可能是 SOC；對于較小的組織，它可能是發送到受監控組郵箱的自動電子郵件。盡管完全可自定義，但重大更改的警報應默認打開。
• 備份系統的行為或訪問方式的重大變化需要額外的授權，并且應該自動啟動額外的保護監控。