数据作为现代企业的核心资产，其业务价值持续攀升。然而，数据安全也面临着前所未有的挑战。网络攻击，尤其是勒索病毒，已成为企业最显著的威胁之一，直接针对企业的数据存储和备份系统。

监管机构、保险公司和审计机构日益关注企业的数据完整性、韧性和可恢复性，以及底层IT基础设施的安全性。这表明，数据保护已成为企业风险管理的核心议题。

2024年，Continuity Software Ltd 对财富500强企业进行的一项调查显示，企业领导者对存储和备份环境的安全性高度重视。他们正在积极部署新的网络恢复能力，并寻求满足日益严格的合规性要求的解决方案。

关键发现

存储团队希望改进的配置领域:

• 检测硬件或软件生命周期终止状态 (65%)
• 检测偏离勒索病毒防护最佳实践及供应商加固指南的情况 (53%)
• 提供按需配置合规性证据报告 (53%)
• 与行业同行进行安全状况评分基准对比 (44%)

存储团队希望改进的安全性和可恢复性领域:

• 系统配置的备份和恢复 (77%)
• 在存储卷、存储池或备份策略级别进行数据分类 (63%)
• 检测暴露于安全公告和警报的设备 (58%)
• 检测不可变性和隔离的配置错误 (42%)

存储、数据保护和备份系统的内部强制标准:

• NIST 800-53 (49%)
• PCI DSS (44%)
• CIS (33%)
• ISO/IEC 27000系列 (30%)

配置管理

• 检测硬件或软件生命周期终止状态：主动检测并解决生命周期终止的系统问题,可确保持续的安全态势和数据保护,同时提高系统可靠性。
• 检测偏离勒索病毒防护最佳实践及供应商加固指南的情况：关键策略包括实施不可变备份、安全快照、异常检测、用户行为分析、多因素认证(MFA)、双人完整性控制和安全时间同步。
• 按需配置合规性证据报告：自动化证据收集任务可使企业高效管理多样化系统,减少对个别团队成员的依赖,提高合规工作的准确性和一致性。
• 与行业同行进行安全状况评分基准对比：这有助于明确企业在安全成熟度方面的现状。

安全性与可恢复性

• 系统配置的备份与恢复：与数据备份同等重要的是定期备份设备和系统配置。系统配置包括设置、策略和运行参数，对存储和备份基础设施的正常运行和性能起关键作用。
• 数据分类在存储卷、存储池或备份策略层面的实施：企业可根据数据敏感度进行分类（如个人可识别信息（PII）、受保护健康信息（PHI）或社会保险号），从而针对不同风险级别的数据实施相应的访问控制、加密和监控措施。
• 识别受安全公告和警报影响的设备：近期，存储和备份解决方案中发现并被积极利用的多个漏洞引起广泛关注。其中包括Veeam Backup & Replication的CVE-2022-26500和CVE-2022-26501漏洞，允许远程未授权攻击者执行任意代码；以及Veritas Backup Exec的CVE-2021-27876漏洞，使攻击者能通过Backup Exec代理未经授权访问文件。
• 恶意行为者势必会继续积极利用新出现的漏洞，对生产数据和备份数据构成威胁，潜在影响范围可达PB级规模。

近期安全事件摘要

• 默认密码使用导致远程代码执行漏洞，可能造成严重后果。
• CSO报道：Lockbit变种攻击备份软件，危及勒索病毒恢复能力。
• 新兴勒索病毒团伙EstateRansomware利用Veeam一年前修复的漏洞，传播LockBit变种加密恶意软件，勒索受害者。
• Brocade存储设备发现18个漏洞，包括允许远程攻击者以root权限未经认证登录的高危漏洞。

不可变性与隔离配置错误检测最佳实践

应采取的措施：

1. 设置不可变性保留期
2. 使用安全时间同步
3. 对不可变性相关设置实施双人控制
4. 考虑启用异常检测
5. 保护底层硬件组件（如iDRAC、IPMI、BMC、iLO等）
6. 为本地用户启用多因素认证（MFA）
7. 限制并发会话数
8. 设置账户登录阈值
9. 限制管理访问权限
10. 指定安全官
11. 禁用不活跃用户账户
12. 加固备份目录/存储库

应避免的做法：

1. 选用较弱的不可变模式（允许更改、禁用或删除不可变选项）
2. 使用相同凭据管理主存储和备份系统
3. 启用不受限制的远程访问
4. 启用不安全协议（如FTP、Telnet或明文HTTP）
5. 使用不受限制或易受攻击的文件共享
6. 允许不受信任的主机加入备份域
7. 使用默认密码

行业与安全标准

2024年初，ISO发布了ISO/IEC 27040:2024，为存储和备份系统安全提供了权威建议。

NIST SP 800-209存储基础设施安全指南是业界最具影响力的指南之一，提供了存储和数据保护系统安全部署、配置及运营的全面建议。

欧盟最新出台的数字运营韧性法案（DORA，欧盟法规2022/2554）要求金融机构构建稳健且具备韧性的存储和备份系统，以防止数据遭受未授权访问、丢失或损坏。

支付卡行业数据安全标准（PCI DSS）提供了保护持卡人数据的全面要求，其中包括存储和备份系统相关指南，如定期漏洞扫描和测试，以及实施多因素认证（MFA）进行存储系统访问控制。

互联网安全中心（CIS）控制强调了存储和备份系统安全的几个关键方面，包括确保备份数据加密和安全存储，以及实施控制措施防止未授权访问。

参考资料：标准和框架

综合信息安全管理标准和控制框架

NIST 800-53

标题：NIST Special Publication 800-53: Security and Privacy Controls for Information Systems and Organizations

NIST 800-53是由美国国家标准与技术研究院（NIST）发布的一套安全控制和隐私控制指南，旨在帮助组织管理信息系统的安全风险。该标准提供了多个控制类别，包括访问控制、审计与问责、风险评估等，适用于联邦信息系统及其他需要保护敏感数据的组织。

官方链接：[NIST 800-53](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)

ISO/IEC 27000系列

标题：ISO/IEC 27000 series of standards

ISO/IEC 27000系列是国际标准化组织（ISO）和国际电工委员会（IEC）共同制定的信息安全管理标准。该系列标准提供了建立、实施和维护信息安全管理体系（ISMS）的框架，帮助组织识别和管理信息安全风险，并确保信息资产的安全。

官方链接：[ISO/IEC 27000 family](https://www.iso.org/standard/iso-iec-27000-family)

PCI DSS

标题：Payment Card Industry Data Security Standard (PCI DSS)

PCI DSS是由支付卡行业安全标准委员会制定的标准，旨在保护支付账户数据的安全。该标准规定了处理、存储或传输支付账户数据的环境所需遵循的安全要求，帮助商家和服务提供商实施安全实践，以防止数据泄露和欺诈。

官方链接：[PCI DSS](https://www.pcisecuritystandards.org/standards/)

存储安全相关标准和指南

ISO/IEC 27040:2024

标题：ISO/IEC 27040:2024 - Information technology — Security techniques — Storage security

ISO/IEC 27040:2024是国际标准化组织（ISO）和国际电工委员会（IEC）共同制定的标准，旨在为存储系统的安全提供指导。该标准为组织提供了有关存储安全控制的建议，以确保数据的机密性、完整性和可用性。它涵盖了存储安全架构、风险管理、实施控制措施等方面，为组织在存储和备份解决方案中建立有效的安全策略提供支持。

官方链接：[ISO/IEC 27040:2024](https://www.iso.org/standard/80194.html)

NIST SP 800-209

标题：NIST Special Publication 800-209 - Security Guidelines for Storage Infrastructure

NIST SP 800-209是美国国家标准与技术研究院（NIST）发布的安全指南，提供了针对存储基础设施的安全部署、配置和操作的全面建议。该指南旨在帮助组织有效管理存储和数据保护系统的安全风险。

官方链接：[NIST SP 800-209](https://csrc.nist.gov/publications/detail/sp/800-209/final)

数字操作韧性法（DORA）

标题：Digital Operational Resilience Act (Regulation (EU) 2022/2554)

DORA是欧盟新实施的法规，要求金融机构建立强大和韧性的存储与备份系统，以保护数据免受未授权访问、丢失或损坏。该法规旨在增强金融市场的数字韧性，确保金融机构能够抵御各种网络威胁。

官方链接：[DORA](https://www.digital-operational-resilience-act.com)

安全基准和控制建议

CIS基准

标题：CIS Benchmarks

CIS基准是由互联网安全中心（CIS）制定的一系列安全最佳实践，旨在帮助组织安全配置其IT系统。CIS基准提供了针对多种技术的安全配置建议，涵盖操作系统、网络设备和云服务等，帮助组织提升安全性并实现合规性。

官方链接：[CIS基准](https://www.cisecurity.org/cis-benchmarks)

CIS控制

标题：CIS Controls

CIS控制是由互联网安全中心（CIS）制定的一系列最佳实践，强调在保护存储和备份系统时的几个关键方面，包括确保备份数据的加密和安全存储，以及实施控制措施以防止未授权访问。

官方链接：[CIS Controls](https://www.cisecurity.org/controls/)

参考资料：安全事件

CVE-2022-26500 和 CVE-2022-26501

漏洞描述：这两个漏洞存在于Veeam Backup & Replication软件中，允许未经身份验证的远程攻击者通过Veeam Distribution Service（默认TCP端口9380）执行任意代码。攻击者可以利用这些漏洞访问内部API功能，从而上传并执行恶意代码。

影响版本：受影响的版本包括Veeam Backup & Replication 9.5、10和11。

严重性评级：这两个漏洞的CVSS评分均为9.8，属于“关键”级别，CISA已将其列入已知被利用漏洞（KEV）目录，表明这些漏洞正在被积极利用。

修复措施：Veeam已发布补丁，建议用户尽快更新到支持的版本。如果无法立即更新，用户可以暂时停止和禁用Veeam Distribution Service以降低风险。

CVE-2021-27876

漏洞描述：此漏洞存在于Veritas Backup Exec中，允许未经授权的远程攻击者通过SHA认证方案的错误访问文件。攻击者可以利用此漏洞获取对受影响端点的未授权访问。

影响版本：该漏洞影响Veritas Backup Exec的多个版本，具体受影响版本未详细列出。

严重性评级：CVE-2021-27876的CVSS评分为8.1，属于“高”级别。此漏洞已被ALPHV（BlackCat）勒索病毒利用，作为入侵目标网络的初始访问手段。

修复措施：Veritas在2021年3月发布了补丁，建议用户尽快更新到版本21.2或更高版本。然而，许多系统仍未更新，仍然面临风险。

---【本文完】---

文章转载自：Andy730