Credit image: Freepix
Cara Melindungi Backup Anda dari Serangan – Ransomware telah menjadi ancaman yang sangat terkoordinasi dan meluas, dan pertahanan tradisional semakin kesulitan untuk menetralisirnya. Serangan ransomware saat ini awalnya menargetkan lini pertahanan terakhir Anda, infrastruktur backup Anda.
Sebelum mengunci lingkungan produksi Anda, penjahat siber menyerang backup Anda untuk melumpuhkan kemampuan Anda untuk pulih, meningkatkan kemungkinan pembayaran tebusan.
Perlu dicatat, serangan-serangan ini adalah penyerangan pertahanan yang direkayasa dengan cermat. Para pelaku ancaman menonaktifkan agen backup, menghapus snapshot, memodifikasi kebijakan retensi, mengenkripsi volume backup (terutama yang dapat diakses jaringan) dan mengeksploitasi kerentanan pada platform backup terintegrasi.
Mereka tidak lagi hanya mencoba menolak akses Anda tetapi menghapus sarana pemulihan itu sendiri. Jika lingkungan backup Anda tidak dibangun dengan mempertimbangkan lanskap ancaman yang berkembang ini, maka berisiko tinggi untuk disusupi. Bagaimana para profesional IT dapat bertahan melawan ini?
Dalam panduan ini, kita akan mengungkap strategi lemah yang membuat backup terpapar dan menjelajahi langkah-langkah yang dapat ditindaklanjuti untuk memperkuat backup di tempat (on-site) maupun berbasis cloud terhadap ransomware.
Mari kita lihat bagaimana membangun strategi backup yang tangguh, sehingga menjadi cara melindungi backup Anda dari serangan bahkan di hadapan serangan ransomware yang canggih.
|
Baca juga: Teknik dan Tips Pencadangan Data |
Kesalahan Umum yang Membuat Backup Terpapar
Pemisahan yang tidak memadai dan kurangnya salinan offsite atau immutable adalah di antara kelemahan paling umum dalam strategi backup.
Snapshot atau backup lokal saja tidak cukup; jika mereka berada di lingkungan on-site yang sama dengan sistem produksi, mereka dapat dengan mudah ditemukan, dienkripsi, atau dihapus oleh penyerang.
Tanpa isolasi yang tepat, lingkungan backup sangat rentan terhadap pergerakan lateral, memungkinkan ransomware menyebar dari sistem yang disusupi ke infrastruktur backup.
Berikut adalah beberapa teknik serangan lateral yang paling umum digunakan untuk menyusupi backup:
- Serangan Active Directory (AD): Penyerang mengeksploitasi AD untuk meningkatkan hak istimewa dan mendapatkan akses ke sistem backup.
- Pengambilalihan Virtual Host: Aktor jahat memanfaatkan miskonfigurasi atau kerentanan dalam alat tamu atau kode hypervisor untuk mengendalikan hypervisor dan mesin virtual (VM), termasuk yang menghosting backup.
- Serangan Perangkat Lunak Berbasis Windows: Pelaku ancaman mengeksploitasi layanan Windows bawaan dan perilaku yang diketahui di berbagai versi untuk titik masuk ke perangkat lunak backup dan repositori backup.
- Eksploitasi Common Vulnerabilities and Exposures (CVE): CVE dengan tingkat keparahan tinggi secara rutin ditargetkan untuk membobol host backup sebelum patch diterapkan.
Kesalahan besar lainnya adalah mengandalkan satu penyedia cloud untuk backup cloud, yang menciptakan satu titik kegagalan dan meningkatkan risiko kehilangan data total.
Misalnya, jika Anda mencadangkan data Microsoft 365 di lingkungan Microsoft, infrastruktur backup dan sistem sumber Anda berbagi ekosistem yang sama, membuatnya mudah ditemukan.
Dengan kredensial yang dicuri atau akses application programming interface (API), penyerang dapat menyusupi keduanya sekaligus.
Bangun Ketahanan Backup dengan Strategi 3-2-1-1-0
Aturan backup 3-2-1 telah lama menjadi standar emas dalam perlindungan data. Namun, karena ransomware semakin menargetkan infrastruktur backup, itu tidak lagi cukup. Lanskap ancaman saat ini menyerukan pendekatan yang lebih tangguh, yang mengasumsikan penyerang akan mencoba menghancurkan kemampuan Anda untuk pulih.
Di sinilah strategi 3-2-1-1-0 berperan. Pendekatan ini bertujuan untuk menyimpan tiga salinan data Anda dan menyimpannya di dua media berbeda, dengan satu salinan offsite, satu salinan immutable, dan nol kesalahan backup.
|
Baca juga: Pentingnya Pencadangan Data |
Berikut cara kerjanya:
- 3 salinan data: 1 produksi + 2 backup. Saat mencadangkan, sangat penting untuk tidak hanya mengandalkan backup tingkat file. Gunakan backup berbasis gambar yang menangkap sistem penuh sistem operasi (OS), aplikasi, pengaturan dan data untuk pemulihan yang lebih lengkap. Cari kemampuan, seperti pemulihan bare metal dan virtualisasi instan. Gunakan alat backup khusus (fisik atau virtual) alih-alih perangkat lunak backup standar untuk isolasi dan kontrol yang lebih besar. Saat mencari alat, pertimbangkan yang dibangun di atas Linux yang diperkeras untuk mengurangi permukaan serangan dan menghindari kerentanan berbasis Windows serta jenis file yang sering ditargetkan.
- 2 format media berbeda: Simpan backup pada dua jenis media yang berbeda, disk lokal dan penyimpanan cloud untuk mendiversifikasi risiko dan mencegah kompromi simultan.
- 1 salinan offsite: Pastikan satu salinan backup disimpan offsite dan terpisah secara geografis untuk melindungi dari bencana alam atau serangan di seluruh lokasi. Gunakan airgap fisik atau logis jika memungkinkan.
- 1 salinan immutable: Pertahankan setidaknya satu salinan backup dalam penyimpanan cloud yang immutable sehingga tidak dapat diubah, dienkripsi, atau dihapus oleh ransomware atau pengguna jahat.
- 0 kesalahan: Backup harus secara teratur diverifikasi, diuji, dan dipantau untuk memastikan backup bebas kesalahan dan dapat dipulihkan saat dibutuhkan. Strategi Anda tidak lengkap sampai Anda memiliki kepercayaan penuh pada pemulihan.
Implementasi Strategi 3-2-1-1-0
Untuk membuat strategi 3-2-1-1-0 benar-benar efektif, sangat penting untuk memperkeras lingkungan tempat backup Anda berada. Pertimbangkan praktik terbaik berikut:
- Terapkan server backup di lingkungan jaringan area lokal (LAN) yang aman untuk membatasi aksesibilitas.
- Batasi akses menggunakan prinsip least privilege.
- Gunakan kontrol akses berbasis peran (role-based access control/RBAC) untuk memastikan tidak ada akun domain lokal yang memiliki hak admin atas sistem backup.
- Segmentasikan jaringan backup tanpa lalu lintas masuk dari internet. Hanya izinkan lalu lintas keluar. Selain itu, hanya sistem yang dilindungi yang dapat berkomunikasi dengan server backup.
- Gunakan firewall untuk menegakkan kontrol akses jaringan dan gunakan daftar kontrol akses berbasis port (ACL) pada port switch jaringan.
- Terapkan enkripsi tingkat agen sehingga data yang ditulis ke server backup dienkripsi menggunakan kunci unik yang hanya dapat Anda buat dengan passphrase Anda sendiri.
- Nonaktifkan layanan dan port yang tidak digunakan untuk mengurangi jumlah vektor serangan potensial.
- Aktifkan otentikasi multifaktor (MFA) — lebih disukai biometrik daripada kata sandi satu kali berbasis waktu (TOTP) — untuk semua akses ke lingkungan backup.
- Jaga agar sistem backup di-patch dan diperbarui untuk menghindari paparan kerentanan yang diketahui.
- Amankan secara fisik semua perangkat backup dengan enclosure yang terkunci, log akses, dan tindakan pengawasan.
|
Baca juga: Strategi Pencadangan Data Perusahaan |
Praktik Terbaik untuk Mengamankan Backup Berbasis Cloud
Ransomware dapat dengan mudah menargetkan platform cloud, terutama ketika backup berada di ekosistem yang sama. Itu sebabnya segmentasi dan isolasi sangat penting.
Segmentasi dan isolasi data
Untuk membangun air gap sejati di cloud, data backup harus berada di infrastruktur cloud yang terpisah dengan sistem otentikasinya sendiri. Hindari ketergantungan pada secret atau kredensial yang disimpan di produksi. Pemisahan ini mengurangi risiko lingkungan produksi yang disusupi memengaruhi backup Anda.
Gunakan arsitektur backup cloud pribadi
Pilih layanan yang memindahkan data backup keluar dari lingkungan sumber dan ke lingkungan cloud alternatif, seperti cloud pribadi.
Ini menciptakan lingkungan yang terisolasi secara logis yang terlindungi dari vektor akses asli, memberikan perlindungan air-gapped yang dibutuhkan untuk menahan ransomware modern.
Lingkungan bersama mempermudah penyerang untuk menemukan, mengakses, atau menghancurkan aset sumber dan backup dalam satu kampanye.
Otentikasi dan kontrol akses
Backup berbasis cloud harus menggunakan sistem identitas yang sepenuhnya terpisah. Terapkan MFA (lebih disukai biometrik), RBAC, dan peringatan untuk perubahan yang tidak sah, seperti penghapusan agen atau modifikasi kebijakan retensi.
Kredensial tidak boleh disimpan di ekosistem yang sama yang dicadangkan. Menyimpan token akses dan secret di luar lingkungan produksi (seperti Azure atau Microsoft 365) menghilangkan ketergantungan pada mereka untuk pemulihan backup.
Demikian pembahsan kita mengenai cara melindungi backup Anda dari serangan, semoga informasi di atas dapat menjadi wawasan baru dan memberi manfaat.
Sumber berita:
