امنیت سامانه‌های پشتیبان‌گیری

مقدمه

در سال‌های اخیر، یکی از پیچیده‌ترین تهدیدات سایبری، حملاتی بوده است که زیرساخت‌های پشتیبان‌گیری سازمان‌ها را هدف قرار می‌دهد. مهاجمان دریافته‌اند که نابودی نسخه‌های بکاپ می‌تواند سازمان را در برابر باج‌خواهی کاملاً بی‌دفاع کند. در قسمت نخست این مقاله، به اهمیت این نوع حملات و روش‌های نفوذ مهاجمان اشاره شد. در این بخش، تمرکز ما بر ارائه‌ی یک چک‌لیست امنیتی جامع برای سامانه‌های Backup سازمانی است تا مدیران فناوری اطلاعات بتوانند ساختار پشتیبان‌گیری خود را در برابر این تهدیدها مقاوم‌تر کنند.

 بخش اول: چرا مهاجمان زیرساخت‌های بکاپ را هدف می‌گیرند؟

در اغلب حملات باج‌افزاری پیشرفته، مهاجمان تنها به رمزگذاری داده‌های عملیاتی اکتفا نمی‌کنند. هدف اصلی آن‌ها از بین بردن توانایی سازمان برای بازیابی اطلاعات است. حذف نسخه‌های پشتیبان باعث می‌شود قربانی هیچ راهی جز پرداخت باج نداشته باشد. از سوی دیگر، سیستم‌های بکاپ معمولاً شامل اطلاعات حساس، credentialها، و پیکربندی‌های حیاتی هستند که می‌توان از آن‌ها برای حرکت جانبی در شبکه نیز بهره گرفت. به همین دلیل، حفاظت از زیرساخت پشتیبان‌گیری به‌اندازه محافظت از داده‌های اصلی اهمیت دارد.

 بخش دوم: چک‌لیست امنیتی راهکارهای پشتیبان‌گیری

سازمان‌ها باید بر اساس این چک‌لیست، سامانه‌های بکاپ خود را ارزیابی و ایمن‌سازی کنند. در ادامه، مهم‌ترین حوزه‌های ارزیابی معرفی شده‌اند:

این چک‌لیست باید بخشی از ممیزی امنیتی دوره‌ای و برنامه ارزیابی ریسک سازمان باشد.

 بخش سوم: مطالعه‌ی موردی حملات واقعی

۱. حمله به Veeam Backup & Replication

در سال ۲۰۲۴، آسیب‌پذیری بحرانی (CVE-2023-27532) در این نرم‌افزار باعث شد مهاجمان بتوانند به Credentialهای ذخیره‌شده دسترسی پیدا کنند. آن‌ها از همین دسترسی برای حذف فایل‌های بکاپ و نفوذ به Domain Controller استفاده کردند.
درس کلیدی: Credentialها باید رمزگذاری‌شده ذخیره شوند و replication jobs با حساب‌های مجزا اجرا گردند.

۲. حمله Agenda Ransomware به مراکز صنعتی

این گروه در سال ۲۰۲۵ از طریق پلتفرم‌های دسترسی از راه دور و سرورهای بکاپ وارد شبکه‌های صنعتی شد. آن‌ها ابتدا Snapshotهای حیاتی را حذف و سپس با تهدید انتشار داده‌های بکاپ، اقدام به باج‌خواهی مضاعف کردند.
نکته امنیتی: بکاپ‌های IT و OT باید کاملاً جدا از هم و با سیاست‌های متفاوت نگهداری شوند.

۳. نفوذ به NAS و Backup Appliance

در سال ۲۰۲۴، گروه‌های BlackCat و LockBit با سوءاستفاده از credentialهای ذخیره‌شده در NASها توانستند Snapshotهای محلی را رمزگذاری کنند.
راهکار: بکاپ‌های داخلی باید به‌صورت منظم به فضای ابری یا Tape آفلاین منتقل شوند.

 بخش چهارم: چارچوب دفاع چندلایه برای امنیت بکاپ

هیچ راه‌حل واحدی نمی‌تواند از زیرساخت بکاپ در برابر همه‌ی تهدیدات محافظت کند. رویکرد چندلایه (Defense-in-Depth) بهترین راه برای ایجاد تاب‌آوری سایبری است:

۱. لایه ایزولاسیون و معماری امن

• جداسازی شبکه‌های بکاپ و تولیدی

• پیاده‌سازی Air-gap فیزیکی یا منطقی

• استفاده از رسانه‌های متنوع (Tape, Cloud, Disk)

۲. لایه کنترل هویت و مجوزها

• اجرای MFA برای تمام کنسول‌ها

• حذف Credentialهای ذخیره‌شده به‌صورت plaintext

• اجرای RBAC و تفکیک نقش‌ها میان تیم‌های IT و Backup

۳. لایه مانیتورینگ و تحلیل رفتاری

• ارسال لاگ‌ها به SIEM برای تحلیل لحظه‌ای

• فعال‌سازی هشدار برای حذف دسته‌جمعی نسخه‌ها

• استفاده از UEBA برای شناسایی رفتار مشکوک کاربران

۴. لایه حفاظت از داده‌ها

• رمزگذاری بکاپ‌ها با AES-256

• فعال‌سازی WORM یا Object Lock

• بررسی هش و امضای دیجیتال پس از هر job

۵. لایه عملیات و واکنش

• طراحی Ransomware Recovery Playbook

• تعریف RPO و RTO برای سرویس‌های حیاتی

• اجرای Table-top exercise برای شبیه‌سازی بحران

۶. لایه فرهنگ و آموزش

• آموزش مداوم تیم‌های IT درباره تهدیدات بکاپ

• انجام ممیزی‌های دوره‌ای روی policyهای retention

• بررسی تغییرات توسط شخص ثالث امنیتی

 نتیجه‌گیری

حمله به زیرساخت‌های پشتیبان‌گیری، در واقع هدف قرار دادن ستون فقرات امنیت سایبری سازمان است. در دنیای امروز که باج‌افزارها هر روز پیشرفته‌تر می‌شوند، تنها سازمان‌هایی تاب‌آور خواهند بود که امنیت بکاپ را بخشی از راهبرد کلان دفاع سایبری خود بدانند.
بنابراین، طراحی ساختار بکاپ امن، اجرای تست‌های بازیابی منظم، و نهادینه‌سازی فرهنگ امنیتی در تیم‌ها، دیگر یک انتخاب نیست؛ بلکه ضرورتی حیاتی است.