Comment protéger les backups des ransomwares ?

Introduction

Il est important de prendre certaines mesures pour protéger les serveurs de sauvegarde des entreprises contre les attaques de ransomware.

Voici neuf mesures essentielles à prendre:

Correctifs

Appliquer religieusement les correctifs pour s'assurer que le serveur de sauvegarde reçoit les dernières mises à jour du système d'exploitation.

Gestion des points d'entrées

Désactiver les ports entrants, à l'exception de ceux strictement nécessaires pour effectuer des sauvegardes et des restaurations. Ces ports doivent également être accessibles uniquement avec un VPN dédié.

Gestion de vos DNS

Bloquer les requêtes DNS sortantes en utilisant un fichier hôte local ou un système DNS restreint. Cela empêchera le ransomware de contacter son serveur de commande et de contrôle.

Gestion des authentifications

Déconnecter le serveur de back-up du LDAP (Lightweight Directory Access Protocol) ou de tout autre système d'authentification centralisé. L'utilisation de l'authentification à plusieurs facteurs (MFA) peut améliorer la sécurité des serveurs de sauvegarde. Cependant, il est important d'éviter d'utiliser des méthodes comme les messages SMS ou les courriels car ils sont fréquemment visés par les pirates et facilement contournés. Il est préférable d'utiliser une application d'authentification tierce telle que Google Authenticator ou Authy ou l'un des nombreux produits commerciaux disponibles pour renforcer la sécurité de ces serveurs.

Gestion de votre pare-feu

Utiliser une pare-feu pour bloquer toutes les communications entrantes et sortantes non autorisées.

Activation du chiffrage

Chiffrer les données de sauvegarde pour les protéger contre le vol ou la perte de données.

Restriction des accès de la sauvegarde

Restreindre l'accès aux serveurs de sauvegarde aux utilisateurs autorisés uniquement. Il est possible de prévenir certains dommages causés par une compromission en utilisant un identifiant distinct, similaire à celui de l'identifiant root, mais qui est uniquement utilisé à des fins exceptionnelles. Ce type de privilèges peut potentiellement causer des dommages importants à un système de sauvegarde et à des données sensibles. Cependant, l'utilisation d'un tel identifiant, qui déclenche des alarmes lorsqu'il est utilisé, peut être bénéfique pour protéger les données et les systèmes importants.

Limitation des communications

Limiter la capacité de communication sortante des serveurs de sauvegarde afin de réduire les risques d'infection par ransomware.

Redondance des sauvegardes

Utiliser des supports de stockage tels que les bandes de sauvegarde pour sécuriser les données de sauvegarde. Il est possible de déplacer le serveur de sauvegarde en dehors de l'environnement informatique en interne de l'entreprise (Saas), ce qui permet de ne plus avoir besoin de mettre à jour constamment le serveur de sauvegarde et de le séparer du reste du réseau en utilisant un pare-feu, et il n'est plus nécessaire de maintenir un système de gestion de mots de passe distinct pour les comptes de sauvegarde ayant des privilèges.
Exemple : Plan de sauvegarde en ligne via un serveur relais :

Conclusion

En résumé, il est essentiel de prendre des mesures de sécurité pour protéger les serveurs de sauvegarde contre les ransomwares. Cela inclut l'application régulière de correctifs de sécurité, la désactivation de ports entrants non nécessaires et l'utilisation d'un VPN pour accéder aux ports ouverts, le blocage des requêtes DNS sortantes et la déconnexion du serveur de sauvegarde du LDAP et d'autres systèmes d'authentification centralisés. Il est également important de limiter la capacité de communication sortante des serveurs de sauvegarde et de restreindre l'accès à ces serveurs pour empêcher les attaques de ransomware. Enfin, il est recommandé d'utiliser des bandes de sauvegarde pour protéger les données en raison de leur fiabilité.