Como aumentar a segurança dos sistemas de backup e evitar atividades maliciosas realizadas por lobos solitários?
Privilégio mínimo – a ideia de que cada pessoa em sua organização deve ter o menor número de privilégios de que precisa para realizar uma determinada tarefa – é um conceito de segurança importante que precisa ser implementado em seu sistema de backup.
O desafio aqui é que todos os administradores de rede, sistema e backup possuam uma quantidade incrível de poder. Se um deles comete um erro, ou pior, tenta intencionalmente prejudicar a empresa, limitando a quantidade de poder que eles têm se reduz a quantidade de danos que podem causar.
Por exemplo, você pode dar a um administrador de rede a capacidade de monitorar redes e a outro a capacidade de criar e/ou reconfigurar redes. Os administradores de segurança podem ser responsáveis por criar e manter usuários de administração de rede sem obter nenhum desses privilégios.
Os administradores de sistema fazem isso limitando quem pode fazer login como root ou administrador e exigindo ferramentas como “executar como administrador” ou como comando sudo, que podem dar aos administradores os privilégios de que precisam quando precisam, enquanto registram em auditoria o que fazem.
Como muitas coisas no mundo da segurança, promulgar privilégios mínimos não é fácil. Isso pode limitar o número de produtos que você pode usar, pois você só pode usar aqueles que suportam o conceito. Também exigirá muito mais configuração do que simplesmente dar superpoderes a todos. Mas já passamos muito tempo em que você pode ter pessoas com superpoderes irrestritos em seu ambiente.
A ideia de privilégio mínimo é frequentemente ignorada no espaço de backup, onde uma pessoa com superpoderes pode realmente causar uma quantidade incrível de danos com apenas algumas teclas. Se você não aprovar propositalmente o mínimo de privilégios em seu sistema de backup, o administrador do sistema de backup terá praticamente todo o poder. Eles podem facilmente excluir uma quantidade incrível de dados e excluir todos os backups desses dados.
Mesmo assim, os sistemas de backup estão notória e lamentavelmente por trás das práticas de segurança no resto do mundo. Muitos sistemas de backup são simplesmente incapazes de suportar o conceito de privilégio mínimo, o que significa que provavelmente milhares de empresas não estão seguindo a prática.
Isso significa que os administradores de backup devem ter a senha de superusuário para o servidor de backup. Esse superusuário é root, administrador ou outro usuário com os mesmos privilégios, que pode fazer login diretamente como esse superusuário e não haveria nenhum registro de que ele esteve lá. Isso geralmente é restrito ao console físico, mas os administradores de backup residem no data center. Isso realmente não é uma limitação para eles.
Mesmo que eles precisem usar algo como Sudo para se tornarem superusuários, uma vez que estejam executando a interface de backup como superusuário, eles podem literalmente fazer o que quiserem. Por exemplo, eles podem criar um script no sistema de backup que faz tudo o que eles querem, como fazer backup e restaurá-lo em um sistema que desejam explorar. Em seguida, eles podem executar esse script como superusuário por meio do software de backup, usando sua funcionalidade para executar prescrições e pós-scripts para um determinado backup. Eles podem fazer o script fazer qualquer coisa que eles quiserem, executá-lo sem responsabilidade e, em seguida, excluí-lo e excluir qualquer evidência de que tenha executado.
A única proteção contra atividades maliciosas seria fora do próprio sistema de backup. Por exemplo, limitar quem pode fazer login como root ou administrador e exigir sudo. Mas cada um desses sistemas pode ser contornado.
Não é assim que a administração do sistema deve funcionar e, definitivamente, não é assim que os sistemas de backup devem funcionar. Mas se você está ignorando os aspectos de segurança de seu sistema de backup, pode ser assim que seu sistema de backup funcione hoje.
Do ponto de vista da segurança, o mais importante em um sistema de backup é não ter que fazer login como superusuário para executá-lo. O sistema deve exigir que os administradores de backup façam login como eles próprios, com seu próprio nome de usuário e senha. Se o seu sistema de backup tem apenas um nome de usuário que controla tudo no sistema de backup, é hora de obter um novo sistema de backup. Não tenho conhecimento de nenhum produto de backup importante que ainda funcione dessa maneira, mas você pode estar executando uma versão mais antiga que funciona.
Em vez disso, seu sistema de backup deve oferecer suporte à administração baseada em funções, onde você atribui a cada usuário várias funções ou poderes. Muito semelhante à rede e à administração do sistema discutida acima, uma pessoa pode ter a capacidade de executar e monitorar backups, enquanto outra pode configurar novos backups ou excluir configurações de backup antigas.
Ainda mais protegido deve ser a capacidade de excluir backups antes de seu período de retenção atribuído. O melhor cenário seria que qualquer atividade destrutiva exigisse autenticação de duas pessoas. Por exemplo, se você deseja excluir qualquer backup antes do período de retenção atribuído, duas pessoas precisam fazer o login para permitir essa ação. Na verdade, eu gostaria de ver o conceito de autenticação de duas pessoas integrado em muitos lugares onde a exclusão faz parte das atividades.
Se este artigo te assustou, o propósito foi cumprido. Agora que você entende quanto poder um administrador de backup tem, talvez seja hora de dar uma olhada na configuração de segurança do seu sistema.
