勒索软件正在成为数据的头号威胁,这使得确保不良行为者在执行勒索软件攻击时不会将您的备份数据与主数据一起加密变得至关重要。如果他们成功了,您将别无选择,只能支付赎金,这将鼓励他们再次尝试。不必支付赎金的关键是有一个备份来恢复被勒索软件加密的系统。保护这些备份免受勒索软件攻击的关键是在生产系统和备份系统之间设置尽可能多的障碍。无论您做什么,请确保备份的唯一副本不只是位于您要保护的同一数据中心的Windows服务器上的目录中。保护Windows大多数勒索软件攻击都针对Windows主机,一旦单个主机被感染,它们就会传播到计算环境中的其他Windows主机。一旦勒索软件传播到足够多的主机,攻击者就会激活加密程序。因此,最明智的做法是使用Windows以外的东西作为备份服务器。遗憾的是,许多流行的备份产品主要在Windows上运行。好消息是他们中的许多人还提供Linux替代品。尽管主要备份软件必须在Windows上运行,但它可能有一个Linux媒体服务器选项。媒体服务器是关键,因为这是您要保护的数据所在的位置。如果您的备份只能通过基于Linux的媒体服务器访问,则针对Windows服务器的勒索软件攻击将无法攻击它。除了将您的常规备份存储在基于Linux的媒体服务器之后,确保您的主备份服务器的备份也存储在那里。如果访问这些备份所需的数据库已被勒索软件加密,那么解密备份将无济于事。您还应该尽可能强化基于Windows的备份服务器。了解勒索软件使用哪些服务来攻击服务器(例如RDP)并尽可能多地关闭它们。请务必记住,此服务器是您的最后一道防线,因此安全优先于便利。从数据中心获取备份无论您选择哪种备份解决方案,您都应该将备份副本存储在别处。这意味着不仅仅是将备份服务器放置在云中的虚拟机中。如果从电子角度来看虚拟机就像在数据中心内一样易于访问,那么攻击就很容易。您需要以这样一种方式配置它,即对数据中心系统的攻击无法传播到云中的备份系统。这可以通过多种方式完成,包括防火墙规则、更改操作系统和存储协议。例如,大多数云提供商都提供对象存储,大多数备份软件产品和服务都可以写入对象存储。勒索软件攻击者可能很老练,但到目前为止,他们还没有想出如何攻击存储在基于对象的存储中的备份。此外,此类提供商通常提供一次写入,多次读取选项,这意味着您可以指定一个时间段,在此期间即使授权人员也不能修改或删除备份。还有一些备份服务可以将数据写入只能通过用户界面访问的存储。如果你不能直接看到备份,勒索软件也不能。这个想法是让您的备份(或至少备份副本)尽可能远离受感染的Windows系统。将它们放置在受防火墙规则保护的提供商的云中,使用其他操作系统作为备份服务器,并将备份写入其他类型的存储。删除文件系统对备份的访问如果您的备份系统正在将备份写入磁盘,请尽最大努力确保无法通过标准文件系统目录访问它们。例如,最不适合放置备份数据的地方是E:\backups。勒索软件产品专门针对具有此类名称的目录,并将加密备份。这意味着您需要找到一种方法将这些备份存储在磁盘上,以便操作系统不会将这些备份视为文件。例如,最常见的备份配置之一是备份服务器将其备份数据写入通过服务器消息块(SMB)或网络文件系统(NFS)上级挂载到备份服务器的目标重复数据删除阵列。如果勒索软件产品感染了该服务器,它将能够加密该目标重复数据删除系统上的备份,因为这些备份可通过目录访问。您需要研究允许备份产品在不使用SMB或NFS的情况下写入目标重复数据删除阵列的方法。所有流行的备份产品都有这样的选项。利用磁带进行备份当然我们也可以使用磁带进行备份,而磁带真正擅长的一件事就是将昨晚或上周的备份复制到另一种介质上并将其发送到异地以防止勒索软件攻击。即使是最好的勒索软件产品也完全无法感染您的备份。有时候,原来的方式往往是最好的方式。设置一些障碍以防止勒索软件轻易查看和加密您的备份。如果可能,不要将它们存储在Windows服务器上,并且至少将一份副本存储在数据中心无法以电子方式访问的某个位置。最后,配置备份系统,使备份不能被视为备份服务器上的文件。
