| "分手是很难做到的——尼尔·塞达卡1966
在过去的10天里,我们讨论了针对VCenter的攻击,并建议进行紧急修补. (如果你还没有打补丁,需要帮助,请APP客户端).
上周,我读到一种最新的勒索软件变种如何主动搜索Active Directory,寻找具有Veeam访问权限的id,并专门针对它们破坏您的备份进程并破坏/加密它们. 这样当他们发动攻击时, 你会发现你的备份完全受损,甚至更受他们的摆布,支付赎金.
多年来,微软和其他公司一直承诺利用Active Directory的强大功能. 然而, 什么是如此强大,现在也被证明是如此危险,因为如果活动目录被泄露, 它成为坏人破坏你的网络的“快速通道”.
解决方案是将网络的各个部分分解为独立的、不连接的功能筒仓. 这是通过VLAN分段完成的. 每个供应商都有自己的VLAN通道来做自己的事情——与内部网络分开. 面对Internet的设备尽可能在DMZ区域启动. 访问是基于做需要做的事情所需的最少特权原则. 不管你是谁, 我们不相信你——即使你有适当的证书——没有二级证书, 多因素访问挑战,如思科DUO.
很长一段时间以来,我一直在敦促您从Active Directory中断开VMware VCenter. 虽然不需要知道额外的证书是非常方便的, 在这个时代,有太多的渠道. VMware应该是它自己的筒仓——神圣的圣地——与你的网络完全分离. 在备受关注的“Notpetya”俄罗斯对乌克兰的网络战攻击中, 网络被毁后唯一幸存下来的是分离装置, 不属于主网络的沙箱VMware实现. 他们有一个域控制器的当前副本,用于原型制作.
请,请,请断开Active Directory与VCenter的连接.
其次是备份问题. 首先,无论您为备份做什么,都应该有一些完全断开连接的备份, 在某个架子上的带外备份. 这就是你的"击碎玻璃"最后一招.
然后你需要有备份的副本. 对于那些使用BOCES/RIC CoSer的人,您符合此标准. 对于那些使用Veeam的人, 如果你的Veeam备份没有云存储库, 你绝对应该拥有它. CSI提供Veeam云备份存储服务.
越来越多的审计人员和网络保险承保人要求你不仅说你有良好的备份和离线备份, 而且你还可以定期证明你的备份每月甚至每周都是有效的.
如果您在当前的备份解决方案中没有能力以相当轻松的方式做到这一点, 给我们打电话,我们可以告诉你如何实现功能.
我的最后一个建议结束于我开始这篇文章的地方——您的Veeam备份服务器(或您正在使用的任何服务器)应该完全断开与Microsoft Active Directory域的连接. 它应该是一个使用自己的凭据进行加固的工作组服务器,这些凭据与您的主Active Directory凭据完全没有关系. 这包括用于存放现场备份的所有本地存储设备.
如果坏人在探查你的网络, 他们应该在主网络中找不到任何关于备份的信息. 如果它们危及您的Active Directory管理员凭据并禁用您的网络, 它应该对您的备份服务器绝对没有影响.
我知道很多人仍然把Vcenter和备份服务器作为活动目录的一部分. 这种情况必须改变.
如果是你的话, 有一些步骤需要采取,以提高您的安全立场,使您更安全.
CSI很乐意以任何方式帮助您.
给我们打电话.
新闻官斯科特Quimby |
最近的评论