事实证明,从勒索软件攻击中恢复的最佳方法是拥有可靠且快速的备份过程。据安全服务提供商KeeperSecurity今年6月发布的勒索软件调查报告显示,在遭遇勒索软件攻击的企业中,有49%向攻击者支付了赎金,另有22%的企业拒绝透露是否支付了赎金。造成这种情况的部分原因是缺少备份——特别是缺少可用备份。企业备份必须没有恶意软件,并且能够快速轻松地恢复。备份不仅包括重要文件和数据库,还包括关键应用程序和配置,以及支持业务流程所需的所有技术。最重要的是,备份也应该经过良好测试。以下是企业可以采取的8个步骤,以确保在勒索软件攻击后从备份中成功恢复。1、保持备份隔离根据全球企业数据管理领域的行业领导者Veritas去年发布的一份调查报告,只有36%的企业拥有三份或三份以上的数据,其中至少一份异地存储数据。在备份和生产环境之间保持“空间”对于保护它们免受勒索软件和其他灾难的侵害至关重要。技术咨询服务提供商MoxFive的技术咨询服务副总裁JeffPalat说:“我们确实看到一些客户既有本地备份也有基于云的备份。通常没有级联。将加密文件写入本地备份解决方案,然后将它们复制到云端对业务没有任何好处。”一些基于云的平台将版本控制作为产品的一部分,无需额外费用。例如,Office365、GoogleDocs和iDrive等在线备份系统会保留文件的所有先前版本,而不会覆盖它们。即使您在勒索软件攻击后备份加密文件,备份过程也只会添加文件的新损坏版本,而不会覆盖现有备份。保持文件连续增量备份的技术也意味着在勒索软件攻击的情况下不会丢失数据。只需返回到攻击前文件的最后一个良好版本即可。2.使用一次写入存储技术另一种保护备份的方法是使用不可覆盖的存储技术,例如使用物理一次写入多次读取(WORM)技术或允许写入数据的虚拟等效技术但没有改变。这确实会增加备份成本,因为它需要更多的存储空间。一些备份技术只保存更改和更新的文件,或使用其他重复数据删除技术来防止存档中相同内容的多个副本。3.保留多种类型的备份“在许多情况下,企业没有足够的存储空间或容量来长期保留备份,”Palatt说。不过,第三天还是可以的。如果有勒索软件攻击,三天的备份数据都可能被破坏。”Palatt建议企业保留不同类型的备份,例如将计划的完整备份与计划更频繁的增量备份相结合。卷备份。4.安全备份目录在除了保护备份文件本身免受网络攻击者的侵害外,企业还应确保其数据目录的安全。“最复杂的勒索软件攻击针对的是备份目录,而不是大多数人认为的备份介质、备份磁带或磁盘,”Amr说EY的基础设施和服务弹性负责人Ahmed。该目录包含备份的所有元数据、索引、磁带的条形码、磁盘上数据内容的完整路径等。“没有目录,组织的备份介质将无法使用,恢复将非常困难或不切实际,”艾哈迈德说。“企业需要确保他们拥有一个全面的备份解决方案,其中包括s保护备份目录,例如气隙。”5.备份所有需要备份的东西当阿拉斯加的科迪亚克岛自治市镇在2016年遭到勒索软件袭击时,该地区员工使用的大约36台服务器和45台计算机城市被击中。负责恢复工作的IT主管PaulVanDyke表示,虽然所有服务器都已备份,但其中一台服务器的数据已被勒索软件劫持。按照今天的标准,网络攻击者要求的赎金在当时并不高——半个比特币,当时价值259美元。他支付了赎金,但只使用了该服务器上的解密密钥,因为他不相信系统的完整性会在网络攻击者的帮助下恢复。“我认为服务器中的数据不会受到影响,”他说。大型企业还存在确保需要备份的所有内容都得到实际备份的问题。根据Veritas的一项调查,IT专业人员估计,在数据完全丢失的情况下,他们无法恢复大约20%的数据。那是因为许多企业都存在影子IT问题。CriticalStart的首席技术官RandyWatkins说,“一些员工试图以最方便和高效的方式完成工作。通常,这意味着一些员工使用影子IT来开展他们的工作。”Watkins说,“当关键数据存储在后台某处的服务器上时,特别是如果数据用于内部流程,企业只能做一件事来防止数据丢失。当涉及到生产时,它通常会在某个地方引起公司IT的注意,例如采用新的应用程序或提供新的创收服务。他说,并不是所有的系统都能被IT部门轻易找到备份。勒索软件攻击后,所有数据可能会突然丢失。沃特金斯建议企业对其所有系统和数据资产进行彻底调查。这通常涉及到每个职能部门的领导,他们需要向员工索要一份清单,列出所有需要保护的关键系统和数据。沃特金斯说,在常见的情况下,IT部门会发现员工将一些数据存储在不应该存储的地方。例如,支付数据存储在员工自己的笔记本电脑上。因此,备份程序通常与数据丢失防护程序同时运行。6.备份整个业务流程勒索软件不仅仅影响数据文件。网络攻击者知道他们可以关闭的业务功能越多,受害者支付赎金的可能性就越大。自然灾害、硬件故障和网络中断也促使公司备份整个业务流程。在遭受勒索软件攻击后,科迪亚克岛政府的IT主管VanDyke不得不重新设置所有的服务器和PC,有时包括下载和重新安装软件以及重新配置。因此,恢复这些服务器需要一周时间,恢复员工PC需要一周时间。此外,VanDyke只有三台备份服务器要恢复,因此有大量数据来回交换,如果服务器更多,速度可能会更快。Ernst&Young的网络安全负责人DaveBurg表示,业务流程就像管弦乐队一样运作。零件发出不同的声音,如果它们之间的顺序不合理,人们听到的就是噪音。“在不备份所有软件、组件、依赖项、配置、网络设置、监控和安全工具以及业务流程正常运行所需的一切的情况下备份数据,会使灾难恢复极具挑战性。许多企业往往低估了挑战,”Burg,“是由于缺乏对技术基础设施和互连的了解,企业可能对技术如何真正发挥作用以促进业务了解不足。根据Burg的说法,勒索软件攻击后企业面临的最大基础设施恢复挑战通常是涉及重建ActiveDirectory和重建配置管理数据库功能,会构建其整个基础设施的工作副本,也就是灾难恢复站点。当然,这样做会成倍增加基础设施成本,这让很多企业望而却步。今天,云计算基础设施可用于创建虚拟备份数据中心。如果一个组织已经在云中运行操作,那么在不同的可用性区域或不同的云中设置备份是一个更简单的过程。“这些基于云的热插拔架构可用、具有成本效益、安全且前景广阔,”Burg说。7.Veritas表示,使用耐热灾难备份站点和自动化来加快恢复速度,只有33%的IT高管认为他们可以在五天内从勒索软件攻击中恢复过来。“我知道企业在磁带备份上投入了大量资金,然后将磁带运送给安全供应商进行恢复处理,”Watkins说。“他们没有时间等待一个小时来取回磁带,更不用说17天来恢复它们了。”热容灾备份站点一键切换,解决恢复时间问题。现在有了基于云的基础架构,可以更快地实施灾难恢复。“这个过程非常简单,你可以用一个脚本来复制基础设施并在另一个可用区支持它,”沃特金斯说。它可以被打开。如果需要测试,可能需要一天时间。”为什么没有更多的企业这样做?Watkins说,主要原因是初始设置很昂贵,并且需要内部专业知识、自动化专业知识等。知识和计算专长。还需要提前设置诸如安全控制之类的东西。“还有一些遗留系统不会迁移到云端。沃特金斯以无法在云端复制的石油和天然气控制系统为例。他说,建立备份基础设施的初始成本应该是一个有争议的问题在大多数情况下。”问题。他说:“企业建立基础设施的成本远低于支付勒索软件和处理声誉损失的成本。Omdia数据安全首席分析师TannerJohnson建议,对于在这一领域苦苦挣扎的企业,一种方法可能是首先关注最关键的业务流程。就像保护一千美元的资产一样,不值得为此付出努力。组织首先定义对他们最重要的资产,为他们的安全团队建立层次结构和优先级。约翰逊认为,积极投资网络安全存在文化障碍。网络安全最终被视为一种投资,预??防胜于治疗。8.测试、测试、再测试据Veritas称,39%的企业对其最近的灾难恢复计划进行了三个月以上的测试,或者根本没有进行过测试。“很多人从备份的角度而不是恢复的角度来处理备份,”凯捷云基础设施服务高级交付经理MikeGolden说。“你可以有24/7全天候备份,但如果你不测试灾难恢复,你就会遇到问题。”Golden说,这就是很多企业出错的地方。“他们通常不会在备份后进行测试。例如,他们不知道下载备份需要多长时间,因为他们没有测试过。直到它发生,他们可能不知道会出问题,”他说。不仅仅是技术,还有人。“有些员工不知道该做什么和不该做什么,或者没有定期审核他们的流程以确保他们遵守安全政策,”Golden说。当涉及到做什么时,方法应该是“信任但验证”。
