数据备份——一道不容忽视的防线

点击蓝字

关注我们

（本文为国外文章翻译，加上译者个人观点；英文原文点击“阅读原文”）

当今数字化时代，数据备份的重要性日益突显，这一点在安全规划中常常被忽视。为了抵御勒索软件攻击，我们需要的是可用且能保证完整性的数据备份。然而，数据备份的过程并不仅仅止步于定期备份和存储数据这一层面。

“我的虚拟机每小时自动备份数据——我现在安全了，出了问题也能恢复。”

真的吗？先来看几个“出了问题”但弱备份策略无法应对的情况。

勒索软件攻击

2017年，Windows SMB协议的永恒之蓝漏洞导致了Wannacry勒索软件的爆发。尽管这种攻击的手法是常见的勒索软件，但其自主传播能力以及0day特性使得它更加危险。

不过，在网络受感染或被云备份的情况下，对于至少将重要数据备份在外部的人来说，他们相对安全。

然而，2019年的Ragnar Locker、Locky、Crypto和Ryuk勒索软件有点特别。一旦启动，它会删除所有现有备份，加密数据，然后显示勒索提示。

弗吉尼亚州最大的骨科医学和治疗提供商OrthoVirginia遭到了Ryuk勒索软件的攻击，导致工作站、定期手术所需的成像系统、数据备份等无法访问。

这让我们不禁思考：即使你能接受数据泄露，如何从目标明确的勒索软件攻击中恢复数据，尤其是当它删除或混淆了你珍贵的数据备份时？

你不能。

警惕那些标榜“防勒索软件”或“100%安全”的软件，因为这不切实际。安全是软件、管理员和用户的共同责任，而这从来就没有完全实现过。下面让我们来看几种备份策略，并讨论一下它们的安全性。

数据备份策略

方案1：备份至本地磁盘

这是一个众所周知但不太好的备份策略。备份代理或脚本定期将数据备份文件保存到本地磁盘，然后管理员计划通过SSH进入运行备份代理的服务器来访问备份文件。

图片1. 本地备份图片来源：https://hackernoon.com/

在这种情况下，很多地方可能出问题：

这里忽视了数据冗余。如果存储备份的服务器出了问题，我们的数据备份也就丢了。
如果数据源被破坏，由于备份服务器直接访问它，备份服务器被攻击的可能性非常高（这种脆弱性取决于两个服务之间的连接）。
如果备份服务器被破坏，攻击者不仅可以加密你的数据源，还可以删除所有备份，使得数据恢复变得不可能。事实上在很多红队任务中，将删除系统的所有备份作为拿下整个内网的证明。

方案2备份至远程分布式存储

在这种情况下，数据备份文件存储在NAS或云存储上（比如amazon S3或者Dell EMC Data Domain都可以实现WORM（write once，read many），即一写多读。要求在写入后只能读取，不能进行修改或删除），且实现3个完全独立的副本存在于存储系统中。我们在这篇文章中不讨论NAS备份（NDMP）和NAS网关，但如果你的数据达到PB量级，这种方案又有极多的坑要踩。

图片2. 备份到分布式存储里面去

图片来源：https://hackernoon.com/

在这种策略下，备份文件存储在NAS或某种云存储上，拥有至少3个副本。通过维护严格的NAS访问控制列表（ACL），你可以为备份管理器分配仅上传备份文件的权限，而不能更新、覆盖或删除任何已存在的备份。即使备份管理器的虚拟机受到破坏，你仍然保留有之前的备份。这比方案1安全多了，但仍有改进空间。

备份至可靠、容错且不可变的数据存储系统

我们对上一个设置进行了升级，增加了几个要素；首先是3-2-1规则，即创建数据的三份副本（包括原件），将它们存储在两种不同类型的存储介质上，并且在一个离线隔离存储上再存储一份。总的来说，有一个规则应该牢记：三二一备份法则（至少三个总副本，其中两个本地但在不同媒介，一个位于远程地点）。

图片3. 备份至可靠、容错且不可变的数据存储

图片来源：https://hackernoon.com/

这种方案还需要同时保证备份的数据在多个阶段进行加密（这里又引入了密钥管理设备）。

首先，在源头处数据处于静态时进行加密。在整个备份管理生命周期中，数据在传输过程中也进行加密。用于加密的私钥应谨慎管理，并且必须对访问它们的ACL进行严格控制。

应使用硬件安全模块（HSM）来卸载加密、解密和密钥管理工作。由于私钥存储在HSM中，并且你使用其API与功能交互，加密密钥被泄露或被盗的可能性较小。当然，HSM集群的ACL应谨慎管理，并且在创建使用HSM功能的用户时应遵循最小权限原则。

最小权限划分以及ACL管理

在确保数据备份合规性方面，恰当的访问控制和数据的不变性与隔离性是除了必要的硬件和软件解决方案以外的关键要素，也是遵循传统安全标准的基本要求。

最小权限划分

在数据备份的整个生命周期中，访问策略应当严格限定，只允许数据向其下一目的地复制或传输。备份管理员应只拥有执行数据源快照或流传输的必要权限，并且不能删除或对数据源作出任何修改。

同理，各个阶段均应实行最小权限原则，以便于数据的分发和安全存储。虽然通过角色分离和权限细分无法实现百分之百的系统安全，但这种方法可以显著缩小潜在的攻击面。安全的实现要求系统越来越复杂和细分化，从而在不增加攻击面的前提下提高安全性效率。

ACL管理

在整个数据备份管理周期中，为参与者正确设置和维护访问控制列表（ACL）对确保数据安全至关重要。虽然保护ACL机制本身是另外一个复杂议题，在本文中我们不做详细讨论，但要明确，如果ACL设置薄弱，那么所有为保护数据备份所做的努力都可能白费。

请注意，不要将自己无意中排除在系统之外，这样做实际上等同于删除数据，因为那样系统既不会面临攻击者的访问，也无法被你本人访问。正确配置的ACL应确保数据在非活动状态下是不可变且被隔离保护的。

结论

当然，数据备份对抵御勒索软件至关重要，但仅仅依赖数据备份远远不够。我们需要定期扫描和评估数据备份流程，进行数据备份完整性检查，并确保备份恢复的操作符合预期。安全专家和管理员必须对他们的备份策略进行定期审查，确保它们不仅可以抵御今天的威胁，也能应对未来的挑战。记住，你的备份是你在灾难中的救生索，不要等到需要使用它们的时候才发现它们无用。

保护数据备份的重要性不亚于主应用程序或产品本身。执行数据备份的软件和流程也可能遭受网络攻击。因此，数据备份站点和所有系统都应该部署适当的监控工具、入侵检测与预防系统(IDPS)、网络隔离、加密技术和系统操作工具，以减小被攻击的面，并提高系统的透明度。

安全团队还需要定期举行培训课程，以保持最新状态，并为任何网络攻击做好准备。使用先进的威胁模拟、红蓝对抗演习和渗透测试来模拟现实世界场景，是常见的培训练习。

总结一下，如果软件1需要软件2来保护，难道不需要另一个软件3来保护软件2吗？接着还需要软件4？

实际并非如此。例如，想象一下用高级语言如C++编写的程序的执行过程：编译器 > 汇编语言 > 机器代码 > 指令解码器 > CPU。在每个步骤中，都在为处理数据去除一个层次的抽象。同样，在分布式系统中，每个服务都需要有明确的目标。而数据备份正是其中的一环。

当前，开源的备份管理软件，比如Bacula、Amanda等，实现了大多数安全方面的特性，并提供了包括自动化在内的许多功能。尽管数据备份看起来简单，但要做到可靠的数据备份，需要高度的注意力和维护。或者说，数据备份虽然在流程和解决方案上面比较固定，但是需要投入相当的人力和资金成本进行落地。

游民点评

在国家标准下，数据备份是一个关键措施。绝大多数系统都需设立本地备份。对于关键性高可用系统，通常还会要求实现热备份和异地备份。然而，除非是出于生产必须，否则很少有系统执行彻底的备份工作。常见的情况是，仅仅将数据库输出到服务器上的一个文件夹，形式上做到备份。此外，很少会有数据丢失和恢复的模拟演练。因此，一旦真正遭受攻击，数据的恢复不能及时进行，导致业务中断和损失的发生几乎是必然的。

笔者个人认为，暂且不论出于保障业务连续性而采取的热备措施，单就面对安全攻击的备份而言，至少应达成以下几个目标：

1.完全隔离：确保即便内网被完全控制，备份数据也不会被删除。

2.恢复测试：通过全面的测试，保证备份数据的可靠性和实际可用性。

3.应急响应演练：确保在最短时间内实现业务的快速恢复。

然而，不难看出，要实现真正全面的数据备份是极具挑战性的。这需要专业团队的长期努力。特别是对于大型组织，可能拥有数十乃至数百个系统，在当前连基础日志持续保存都面临困难的状况下，保障数据备份的有效性无疑是一场艰巨的挑战。

此外，针对网络安全维度进行的数据备份的加固建设还面临一个独特的挑战：它是一项通常不可见的投资。通常，只有在组织遭受网络攻击后，足够安全的数据备份的价值才会显现。然而，在没有攻击发生的情况下，数据备份的安全加固就像是一笔“隐形”的成本，它是整体安全预算的一部分，但它的收益却不容易直观感知。资产拥有者往往只有在真正体验到其带来的好处之后，才可能更愿意进行进一步的投资。不幸的是，从个体的视角看，安全事件很极端，要么发生要么不发生，没有中间状态。因此笔者认为，在目前阶段，体系化的数据备份的广泛采纳和实施可能更多地依赖于行业的标准化和政府的监管措施。

// 编译者/作者 CyberRipples

信息安全爱好者与从业者，先后担任过数据安全、安全合规等岗位，现在是一名活跃的渗透测试工程师，偶尔参与众测。个人热衷于探索网络安全、合规标准、渗透技术以及商业战略领域。持有众多认证，目标是不停歇的学习新的知识和技能。