今年有數(shù)起重大的勒索軟件爆發(fā)，未來還會(huì)有更多。一旦感染勒索軟件，從備份中恢復(fù)是重啟業(yè)務(wù)運(yùn)營的最佳方案。

備份廠商極力宣傳他們的產(chǎn)品是如何幫助客戶從勒索軟件中恢復(fù)過來的。而實(shí)際情況卻是，大多數(shù)客戶只是簡單地舍棄被勒索軟件感染的數(shù)據(jù)：然后從原本的備份中恢復(fù)。一些年輕的備份企業(yè)對(duì)此有不同想法，特別當(dāng)他們能夠深入了解存儲(chǔ)在備份中的數(shù)據(jù)時(shí)。

預(yù)防勒索軟件感染的第一道防線絕非備份軟件，我們使用病毒防護(hù)與網(wǎng)絡(luò)安全產(chǎn)品，目的是隔離具有威脅性的網(wǎng)絡(luò)。當(dāng)感染進(jìn)入你的網(wǎng)絡(luò)后，備份才開始真正發(fā)揮作用。沒有任何備份軟件可以預(yù)防感染。方案中所包含的檢測(cè)工具是用以識(shí)別和阻斷感染的，這也是從勒索軟件開始恢復(fù)，加載備份之前的必要步驟。

[[214193]]

我們所面臨的挑戰(zhàn)在于，知道勒索軟件通過我們未知或沒有修復(fù)的漏洞，已經(jīng)突破了外圍防線；更嚴(yán)重的問題是勒索軟件可能已經(jīng)感染了備份數(shù)據(jù)，刪除或加密都不起作用，使恢復(fù)操作難以實(shí)現(xiàn)。

備份軟件可以提供哪些幫助

備份軟件是數(shù)據(jù)的管理者，同時(shí)它會(huì)檢測(cè)數(shù)據(jù)中發(fā)生的異常變化。當(dāng)有大量數(shù)據(jù)被感染或刪除時(shí)，系統(tǒng)會(huì)識(shí)別到這種不尋常的變化，因?yàn)檫@會(huì)在備份運(yùn)行時(shí)轉(zhuǎn)化為大量的更改信息或元數(shù)據(jù)。

檢測(cè)到數(shù)據(jù)發(fā)生異常變化的備份軟件可以向操作員或管理團(tuán)隊(duì)發(fā)出報(bào)警。Unitrends便是如此，并且當(dāng)備份的配置文件與平時(shí)相去甚遠(yuǎn)時(shí)，它會(huì)通知特定人員。

還有其它一些備份產(chǎn)品也在得到分析能力，有些可能可以深入認(rèn)識(shí)勒索軟件。 Zerto 5.5版本中便擁有分析功能，Cohesity則具有一個(gè)可以跨備份池運(yùn)行的數(shù)據(jù)分析平臺(tái)。

希望我們很快會(huì)看到這些預(yù)先設(shè)置，用于分析檢測(cè)勒索軟件的平臺(tái)。報(bào)警機(jī)制很好，如果能配合些許自動(dòng)響應(yīng)機(jī)制將會(huì)有更佳的效果。在發(fā)現(xiàn)感染時(shí)，提升備份頻率，減少潛在的數(shù)據(jù)丟失可以有助于從勒索軟件中恢復(fù)。當(dāng)檢測(cè)到恢復(fù)到正常的數(shù)據(jù)變更頻率時(shí)，代表著感染已經(jīng)被清除，這時(shí)的通知同樣有用，代表著此刻之后的備份便是安全可用的了。

恢復(fù)過程中的建議

即便備份軟件在檢測(cè)感染方面沒有起到作用，但從勒索軟件恢復(fù)的過程中其仍扮演著至關(guān)重要的角色。我們已經(jīng)知道備份是需要受到保護(hù)的，無論是通過脫機(jī)還是嚴(yán)格的安全措施，從而杜絕其被勒索軟件感染加密。使用非Windows域的專用存儲(chǔ)設(shè)備，甚至云端服務(wù)可以有所幫助。

Veeam便推薦使用Hewlett Packard Enterprise或Dell等私有化的備份設(shè)備技術(shù)，而非Windows文件共享的方式。

Rubrik擁有自己的備份設(shè)備，與其它設(shè)備一樣，在定制化的存儲(chǔ)群集上使用重復(fù)數(shù)據(jù)刪除存儲(chǔ)。重復(fù)數(shù)據(jù)刪除的存儲(chǔ)可以支持備份更長時(shí)間的數(shù)據(jù)，并防止對(duì)這些備份的篡改。每個(gè)備份都是指向唯一數(shù)據(jù)塊的指針集合，而非整個(gè)數(shù)據(jù)集合。定制化存儲(chǔ)意味著它不是Windows架構(gòu)，或與Windows系統(tǒng)共享，因而不會(huì)受到針對(duì)Windows的感染。

主存儲(chǔ)在此之中亦發(fā)揮著作用，特別是當(dāng)存儲(chǔ)系統(tǒng)可以感知上面運(yùn)行的虛擬機(jī)，支持對(duì)虛擬機(jī)進(jìn)行基于陣列的快照。主存儲(chǔ)通常位于單獨(dú)的網(wǎng)絡(luò)上，很少使用Windows共享。

在發(fā)生勒索軟件攻擊后，許多備份產(chǎn)品只是單純幫助你從上次的備份中恢復(fù)數(shù)據(jù)。勒索軟件是一種非典型的信息受損，受感染的組織會(huì)需要使用一些更為復(fù)雜的工具。

少數(shù)備份產(chǎn)品具有不同程度應(yīng)對(duì)勒索軟件的功能特性。這些產(chǎn)品可以幫助客戶從勒索軟件中進(jìn)行快速恢復(fù)。隨著不斷有新的勒索軟件感染事件的出現(xiàn)，我們應(yīng)該會(huì)看到更多備份廠商帶來更加豐富的功能。