避免通过勒索软件向攻击者支付赎金的最好方法是对重要系统进行足够的备份,以便在系统被感染时及时删除它们并从安全备份中恢复。用户可以通过以下选项来确保这些备份发挥作用。在本文中,备份是指用户用来应对勒索软件攻击的所有系统,包括遗留备份系统、复制系统以及支持备份和灾难恢复的现代混合系统。为了简单起见,我们在这里将它们统称为备份。遵循3-2-1规则备份所有内容首先,备份所有内容非常重要。用户需要知道他们的自动备份系统能做什么,是否有能力覆盖所有新系统、文件系统和数据库。在虚拟化的世界里,这项工作非常简单,用户可以配置备份系统,让宿主机上的所有虚拟机一出现就自动备份。备份作业也可以基于标记包含,其中不同类型的虚拟机可以根据它们的“包含”标签自动包含。备份系统中自动化的最佳用途之一是自动包含所有内容。用户应确保在其备份系统中严格遵守3-2-1规则。该规则规定至少三个副本或数据版本必须存储在两个不同的媒体上,其中一个必须是离线的。它的本质是将三个副本中的两个和另一个副本存储在不同的系统和不同的位置,不要将备份存储在与主系统相同的位置,将它们存储在不同的操作系统和物理位置上更好,但是在现实世界中可能并不总是可能的。备份系统应该有某种类型的自动报告,这样用户就可以确定所做的备份是否真实有效。这些功能应包括成功报告和失败报告。第三方监控系统可能是最好的选择,因为他们可以不断查看所有内容并指出备份何时出现问题。带有机器学习的报告系统是理想的,因为它们可以突出显示发现的问题。这显然比每天从备份系统中阅读数十封或数百封电子邮件来确定要容易得多。灾难恢复应该放在第一位。备份和灾难恢复系统应该是您的计算环境中最安全的系统。他们应该很难访问和登录,即使是作为管理员或根用户。我们建议备份系统支持基于角色的管理,以便用户可以自己登录并运行备份。用户不应通过root或以管理员身份运行备份。因为以这种方式登录是非常危险的,所以应该尽可能地加以限制。备份和灾难恢复系统必须是最新的。安全补丁应该放在最前面,而不是最后,因为备份和灾难恢复系统是最后一道防线。用户必须确保他们不受应该在几周前修补的安全漏洞的影响。如果用户可以物理访问服务器,那么所有关于数据完整性和不变性的讨论都显得苍白无力,因此用户必须确保备份服务器难以物理访问。备份服务器应位于具有不同访问权限的不同房间,或者位于并非每个人都有钥匙的机架中。另一个好主意是将备份系统与数据中心完全分离,并将它们放在云端。加密一切所有备份通信都应该加密,因此用户需要确保他们的备份提供商加密系统之间的通信。这意味着当用户遇到高级持续性威胁时,即使对方嗅探网络,也无法识别备份服务器。有效防止备份系统被勒索软件攻击。除了在通信中加密备份数据外,用户还应该加密所有静态备份数据,尤其是当数据存储在物理控制之外的位置时。这包括用户需要随时交付的磁带,也包括存储在云供应商网络中的数据,因为即使它们非常安全,仍然让人无法安心。用户应确保备份数据不被攻击者利用深入网络进行攻击。根据业务需求构建灾备一个经过良好测试的灾备系统是抵御勒索软件攻击的最佳防御。设计不当的系统可能最终导致用户遭受勒索攻击并不得不支付赎金。灾难恢复系统应该基于业务需求。在决定如何满足这些要求之前,用户应该充分讨论恢复时间目标(RTO)和恢复点目标(RPO)等要求。首先确定RTO和RPO,然后根据这些需求设计备份和容灾系统。严格测试新闻报道称,德克萨斯州奥斯汀市在全州停电期间长时间没有水,因为自来水厂的工人都不知道如何打开备用发电机。千万要注意不要成为一家拥有完善的备份和容灾系统却不知道如何使用的公司。由于当今数据存在如此多的风险,用户必须遵循以下建议:经常测试您的灾难恢复系统。好消息是大多数现代备份和灾难恢复系统都支持对整个系统进行频繁测试。用户可以随时在沙盒中打开整个数据中心,以查看它们的实际工作情况。至少每季度测试一次。测试需要几个小时而且很无聊,但它证明它们是有效的。虽然每个季度都要测试很烦人,但用户在面对勒索软件攻击需要恢复的时候可以从容操作。每次运行测试时都需要轮换测试人员。测试人员不应该是设计系统的人,也不应该是每天使用系统的人。他们必须精通技术并能够访问适当的技术文档。这是确认系统和文档是否正常工作的最佳方式。能够在勒索软件攻击后快速使整个数据中心恢复在线的灾难恢复系统是避免支付赎金的唯一方法。
