如果您受到勒索軟件的攻擊，全自動(dòng)、高速災(zāi)難恢復(fù)是成功避免支付勒索的方法。恢復(fù)是兩步流程中的第二步，如本文所述，在清除惡意軟件之后。

勒索軟件攻擊后影響災(zāi)難恢復(fù)的方式有三種：傳統(tǒng)恢復(fù)、基于映像的恢復(fù)或基于云的恢復(fù)。但對(duì)于大多數(shù)環(huán)境來(lái)說(shuō)，實(shí)現(xiàn)大規(guī)模恢復(fù)自動(dòng)化的唯一方法是在云中進(jìn)行恢復(fù)。

[[416129]]

傳統(tǒng)災(zāi)難恢復(fù)

傳統(tǒng)的災(zāi)難恢復(fù)是指在您遭受損失(在本例中是指在收到贖金請(qǐng)求后)之后開始進(jìn)行傳統(tǒng)的恢復(fù)。如果要將虛擬機(jī)映像恢復(fù)到虛擬機(jī)監(jiān)控程序平臺(tái)(如VMware、Hyper-V或KVM)或hyperscaler(如AWS、Azure或GCP)，則它仍然是傳統(tǒng)的恢復(fù)。傳統(tǒng)的做法是等待事件發(fā)生后才開始恢復(fù)(正如您將在本文后面看到的，有幾種方法可以在需要之前恢復(fù)數(shù)據(jù)。)

這是一種被認(rèn)為是傳統(tǒng)的恢復(fù)方式，因?yàn)椴痪们懊總€(gè)人都是這樣做的。大多數(shù)公司沒(méi)有維護(hù)恢復(fù)數(shù)據(jù)中心的預(yù)算，因此他們支付了服務(wù)費(fèi)，以便在需要時(shí)為他們提供恢復(fù)數(shù)據(jù)中心。由于他們每次實(shí)際使用數(shù)據(jù)中心時(shí)都要付費(fèi)，因此他們從未想過(guò)提前恢復(fù)數(shù)據(jù)。他們一直等到災(zāi)難發(fā)生，然后聯(lián)系恢復(fù)數(shù)據(jù)中心并開始恢復(fù)。這種方法速度慢，而且很難自動(dòng)化，因?yàn)槟粨碛袑⒃谄渖蠄?zhí)行恢復(fù)的硬件。

請(qǐng)不要使用這種方法。在整個(gè)數(shù)據(jù)中心被災(zāi)難感染或破壞后，對(duì)其執(zhí)行傳統(tǒng)的災(zāi)難恢復(fù)需要很長(zhǎng)時(shí)間，而在勒索軟件的情況下，您將不可避免地面臨支付勒索的壓力。既然支付贖金是不好的，那么花費(fèi)太長(zhǎng)時(shí)間的災(zāi)難恢復(fù)計(jì)劃就是你應(yīng)該拒絕的災(zāi)難恢復(fù)計(jì)劃。是時(shí)候轉(zhuǎn)向更快、更自動(dòng)化的流程了。

基于圖像的恢復(fù)

這里的想法是將操作系統(tǒng)和應(yīng)用程序的恢復(fù)與數(shù)據(jù)本身的恢復(fù)分開。如果您能夠做到這一點(diǎn)，就可以通過(guò)使用映像解決方案大大簡(jiǎn)化操作系統(tǒng)和應(yīng)用程序的恢復(fù)。為每個(gè)操作系統(tǒng)/應(yīng)用程序?qū)?chuàng)建一個(gè)映像，以便可以快速輕松地重新映像所需的任意多個(gè)服務(wù)器。這也可以自動(dòng)化。

從備份中恢復(fù)50臺(tái)服務(wù)器可能需要很長(zhǎng)時(shí)間，但重新映像50臺(tái)服務(wù)器、VM或容器實(shí)際上可能要快得多。這是因?yàn)槟承┯诚窠鉀Q方案可以執(zhí)行精簡(jiǎn)配置還原，即允許VM在重新映像過(guò)程仍在進(jìn)行時(shí)開始引導(dǎo)。這在某些備份系統(tǒng)中也是可能的，但僅適用于數(shù)量有限的虛擬機(jī)。因此，與傳統(tǒng)的恢復(fù)相比，成像系統(tǒng)可能會(huì)更快地使您的系統(tǒng)恢復(fù)聯(lián)機(jī)。

如果您習(xí)慣于使用這種系統(tǒng)，基于圖像的恢復(fù)也可以在可預(yù)測(cè)的時(shí)間內(nèi)完成。如果每次升級(jí)操作系統(tǒng)時(shí)都是通過(guò)從已升級(jí)的映像重新對(duì)其進(jìn)行映像來(lái)完成的，那么您將確切知道這種恢復(fù)需要多長(zhǎng)時(shí)間(這與修補(bǔ)現(xiàn)有操作系統(tǒng)相反。)市場(chǎng)上有各種各樣的映像解決方案，可同時(shí)處理Linux和Windows服務(wù)器以及虛擬機(jī)。Kubernetes和Docker也采用這種恢復(fù)方法。

基于映像的恢復(fù)用于防御通過(guò)加密關(guān)鍵系統(tǒng)文件來(lái)攻擊服務(wù)器操作系統(tǒng)或應(yīng)用程序的勒索軟件。它對(duì)實(shí)際加密文檔或數(shù)據(jù)庫(kù)文件的勒索軟件不是很有用，因?yàn)檫@些文件仍然需要以傳統(tǒng)方式恢復(fù)。因此，這種方法實(shí)際上只比傳統(tǒng)的災(zāi)難恢復(fù)稍微好一點(diǎn)，但仍然更好。

基于云的恢復(fù)

云中的恢復(fù)可以在您需要它之前進(jìn)行。它首先自動(dòng)并定期向IaaS供應(yīng)商執(zhí)行計(jì)算環(huán)境的增量恢復(fù)。這意味著您的整個(gè)環(huán)境(包括結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的備份)已在需要之前恢復(fù)。是的，根據(jù)上一次還原和勒索軟件攻擊之間的時(shí)間間隔，您將丟失一些數(shù)據(jù)，因此您需要預(yù)先確定執(zhí)行預(yù)還原過(guò)程的頻率，以將丟失降至最低。您還需要就可接受的數(shù)據(jù)丟失量達(dá)成一致，這正式稱為恢復(fù)點(diǎn)目標(biāo)(RPO)。

從技術(shù)上講，這種類型的恢復(fù)不需要云，但使用云使大多數(shù)環(huán)境在財(cái)務(wù)上可行。使用物理數(shù)據(jù)中心進(jìn)行此操作需要在需要數(shù)據(jù)中心之前先為其付費(fèi)。使用云計(jì)算，您只需為與預(yù)恢復(fù)圖像相關(guān)聯(lián)的存儲(chǔ)付費(fèi)。

云友好型備份和災(zāi)難恢復(fù)產(chǎn)品和服務(wù)可以主動(dòng)將您的整個(gè)環(huán)境恢復(fù)到您選擇的云上，每天一次、每小時(shí)一次或連續(xù)一次。顯然，更新的頻率越高，成本就越高。

預(yù)恢復(fù)的美妙之處在于，您可以在幾分鐘內(nèi)啟動(dòng)整個(gè)計(jì)算環(huán)境，并且有一些產(chǎn)品和服務(wù)可以在幾秒鐘到幾小時(shí)內(nèi)滿足任何地方的RTO要求。想象一下，你收到勒索軟件的消息，只是笑了笑，因?yàn)槟阒恍璋聪乱粋€(gè)按鈕，你的整個(gè)環(huán)境就可以在幾分鐘內(nèi)從云端運(yùn)行。這個(gè)過(guò)程是完全自動(dòng)化的。

注意：即使您在幾分鐘內(nèi)恢復(fù)了您的環(huán)境，您仍然需要識(shí)別勒索軟件并將其清除。一些恢復(fù)解決方案可以幫助實(shí)現(xiàn)此過(guò)程的自動(dòng)化。

考慮到它能夠在需要之前預(yù)先恢復(fù)數(shù)據(jù)而無(wú)需計(jì)算費(fèi)用，以及它執(zhí)行實(shí)際恢復(fù)的速度，基于云的恢復(fù)值得考慮。