瑞士存储供应商最近与iland和Veeam一起参加了2020年预测网络研讨会,现在可以点播。与其他预测网络研讨会不同,这个网络研讨会提供了特定于IT的方法来克服预测指出的任何问题。其中一项预测是勒索软件将成为未来十年数据灾难的主要原因,并且IT团队可以提供一些解决方案来抵御勒索软件攻击。但许多企业没有足够时间准备的一个领域是制定勒索软件恢复计划。2020年,规划、准备和实施勒索软件恢复应该是第一要务。RansomwareRecoveryMatters预测,勒索软件将在未来十年内影响组织,正如去年8月预测它会袭击德克萨斯州一样。根据目前的数据,这是一个显而易见的结论。然而,令大多数IT专业人士感到意外的是今年这些攻击的范围将发生怎样的变化。现代勒索软件与2015年的勒索软件不同。恶意软件开发人员非常老练。勒索软件没有尽快加密尽可能多的文件,而是处于闲置状态,因此多个备份作业会备份触发文件。当恶意软件开始加密过程时,它启动缓慢,避免被发现。在某些情况下,它会根据上次访问日期加密文件,首先从最旧的数据开始,然后逐步增加到最新的文件。目的是加密用户不会立即注意到的数据。在某些情况下,恶意软件会在检测到之前加密80%或更多的组织数据。在最近的勒索软件攻击中看到的另一个因素是尽可能长时间地进行缓慢的加密过程。然而,一旦用户打开加密文件,触发文件就会进入快速攻击模式,在删除文件之前加密尽可能多的文件。企业的业务有必要从失去对数据中心的访问权中恢复过来。但勒索软件不同。首先,数据中心在技术上并没有“丢失”。其次,不同的备份集可能有不同程度的损坏。虽然大多数数据保护解决方案现在利用不可变(只读)存储来保护自己,但它们必须备份损坏的文件或触发勒索软件的文件。IT团队需要一个特定的勒索软件恢复计划和执行该计划的实践。大多数灾难的默认响应是从备份存储库中恢复数据的最新副本。但是,最新的副本可能包含大量损坏(加密)的文件。很多时候,由于勒索软件不是站点范围的灾难,组织会选择从快照恢复或使用备份的即时恢复。问题在于,这些快速恢复技术仍会恢复许多加密文件,并可能重新启动勒索软件进程,使组织处于比开始恢复过程之前更糟糕的状态。制定勒索软件恢复计划无论攻击的性质如何,第一步都是找到触发文件并将其从环境中删除。恢复的第二步是确定恶意软件使用的攻击向量类型。如果它是加密所有内容的较旧、快速的方法,则应该可以从较新的快照之一恢复,或从上次备份即时恢复。如果攻击媒介使用慢速触发器和低加密率,IT需要确定触发器文件何时首次破坏网络以及何时开始加密网络上的数据。IT团队需要找到多年来一直停滞不前的文件,然后在攻击期间更改它们(可能一次)。在大多数情况下,从该日期之前的受保护数据副本中恢复将使组织能够恢复其数据的80%有效副本。问题是,在很多情况下,这个过程需要使用数周甚至数月的备份集。大多数组织的存储系统无法在不影响性能的情况下长时间保留快照。因此,备份软件需要成为恢复的来源。删除勒索软件文件并设置基准数据集后,组织需要将剩余20%的数据放在一起。IT组织应该相对容易识别最近加密的文件,这通常是在上述初步检测后快速攻击的结果。这些文件很可能在当前备份或快照中。中间文件难以识别并且恢复起来可能很耗时。这些是用户在攻击期间创建和修改的文件。专家建议是搜索在攻击周期中创建的文件,然后将该文件的第二个版本恢复到最后一个版本,即加密前的版本。假设这是一个具有复杂搜索功能的备份解决方案,这三个恢复步骤将恢复受勒索软件攻击影响的大部分数据。其余文件应该很少,除非特别要求,否则不应检索。最后一步是如何处理包含加密文件的备份。在大多数情况下,发作期通常约为两到三周,但也有可能持续几个月。一个组织如何处理它在这段时间内制作的副本在很大程度上取决于它的保留政策。一旦组织知道它已经恢复了全部或大部分数据,IT应该删除在攻击期间拍摄的任何快照。在大多数情况下,对于大多数存储系统,IT会删除所有快照。IT还应该至少隔离攻击期间制作的任何备份副本。如果IT可以确定数据的所有有效副本都已恢复并且没有违反保留策略,他们应该考虑完全删除在攻击期间制作的备份副本。事实证明,勒索软件对其开发人员来说是一项有利可图的“生意”。人们甚至看到一些勒索软件附带有关如何购买比特币的技术支持。这些不良行为者继续开发更复杂的方法来持有组织的数据以勒索赎金。IT团队需要监控这些变化并相应地调整他们的恢复计划。当然,仅恢复最新备份的概念已经不够了。准备、计划和实践是成功摆脱这种长达十年的勒索软件迭代的关键要求。
