Syns inte – finns inte! Ronja Rövardotter lurade vildvittrorna till att tro att hon inte fanns bara för att hon inte syntes. En användbar strategi även inom cybersäkerhet – Security by Obscurity. Jag vill dra en parallell till strategier för att skydda din backuplösning mot Ransomware – Segmentera/Isolera och Åtkomstsäkra.
Segmentera handlar om att isolera från resten av infrastrukturen det som krävs för en (katastrof)återställning, vanligtvis backupsystem, -lagring och -hårdvara.
Åtkomstsäkra handlar om att säkra åtkomsten till din backuplösning med MFA, RBAC, kryptering och åtkomst bara från en eller ett fåtal klienter.
Låt oss fördjupa oss och beskriva några av dessa.
Segmentera och Isolera
Segmentera förknippas med nätverksdesign, så utan att jag dyker för djupt inom ett område som mina kollegor är många gånger bättre på, låt mig ge några förenklade exempel.
Tänk dig att du placerar en backupserver i samma subnät/VLAN som andra servrar, exempelvis applikationsservrar eller domänkontrollanter. Om en hacker får tillgång till en server i det nätet ser de lättare din backupserver och har då lättare att ta sig in i den. Och när har de kontroll över din backupserver kan de sabotera backupjobb, -historik och -lagring så att du inte har möjlighet att återställa något.
Så för att försvåra för en hacker placera inte dessa i samma nät som dina backupsystem:
– Domänkontrollanter
– Applikation-/webservrar
– IPMI/iLO/iDRAC och annan hårdvarumanagering
– VDI/RDP
– Test/Lab/Utveckling
– WiFi
När det gäller lagringsnät och backupservrar bör du även fundera på hur datatrafiken för backup går. Helst skall trafiken, åtminstone för återläsningar, gå så få hopp och så kort väg som möjligt mellan lagring och mål. Inte över brandväggar eller andra flaskhalsar. För du vill ha maximal bandbredd när det är bråttom och stora mängder data skall flyttas. Planera och implementera tillsammans med din nät-/säkarkitekt, eller fråga oss! Läs gärna https://cuebid.se/vikten-av-segmentering/ också.
Åtkomstsäkra
Integrera inte med Active Directory
Använd inte Active Directory för autentisering till dina backupsystem då det oftast är den vägen en hacker har kommit in. Kom ihåg att idag hackar ingen sig in, de loggar in med stulna kontouppgifter. Men om du verkligen vill använda AD så segmentera även det i en admindomän som har en envägstrust till resten av domänerna i er AD-forest. Och använd alltid multifaktorauthenticering(MFA) för dessa konton!
Rollbaserad åtkomst (RBAC)
Alla administratörer behöver inte vara Administratör! Helst skall ingen person ha den åtkomsten och namnet på det ultimata kontot skall ha bytts från standardnamnet. Skapa i stället roller och ge de olika personkontona bara precis de roller som de behöver för sin arbetsuppgift.
Dubbel admin
Även kallat bl.a. Quorum Authorization (QAuth). För åtgärder så som att radera backupdata, ta bort backupjobb eller ändra immutability och tidsinställningar eller liknande kan många backupsystem kräva att två separata administratörskonton verifierar sig innan åtgärden utförs. I vissa fall kan man tillochmed kräva ett samtal till tillverkarens support. Detta är ett utmärkt skydd mot komprometterade konton eller en ensam intern sabotör.
Säker Adminserver
Ett annan sätt att minska attackytan är att använda en specifik server för all administration. Hoppserver, jumpserver, manageringsserver är andra namn på detta. Du kan begränsa åtkomsten till dina kritiska nätverk till färre IP-adresser. Om du dessutom härdar, säkrar upp och övervakar den här servern samt kräver MFA för inloggning så har du kommit ytterligare ett steg på vägen.
Slutsats
Ingen ensam strategi löser alla problem, men varje litet steg gör din miljö lite säkrare. Men tänk igenom förändringarna innan och dokumentera säkert, för när du ökar komplexitet ökar du risk. Så ta en diskussion med din leverantör idag och gör en plan för hur Du kan röra dig mot en Ransomwaresäker backuplösning!
Stay safe, backup!
/Fredrik Ranelöv
