[[418604]]

事實表明，從勒索軟件攻擊中恢復(fù)的最佳方法是擁有可靠且快速的備份過程。

根據(jù)安全服務(wù)商Keeper Security公司在今年6月發(fā)布的一份勒索軟件調(diào)查報告，49%的遭遇勒索軟件攻擊的企業(yè)向攻擊者支付了贖金，另有22%的企業(yè)拒絕透露是否支付了贖金。其部分原因是缺乏備份——特別是缺乏可用的備份。

企業(yè)的備份必須不受惡意軟件的侵害，并且能夠快速輕松地恢復(fù)。而備份不僅包括重要的文件和數(shù)據(jù)庫，還包括關(guān)鍵的應(yīng)用程序和配置，以及支持業(yè)務(wù)流程所需的所有技術(shù)。最重要的是，備份還應(yīng)該經(jīng)過良好的測試。

以下是企業(yè)確保在受到勒索軟件攻擊后成功從備份中恢復(fù)的8個步驟。

1.保持備份隔離

根據(jù)全球企業(yè)級數(shù)據(jù)管理領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者Veritas公司在去年發(fā)布的一份調(diào)查報告，只有36%的企業(yè)擁有三份或更多數(shù)據(jù)副本，其中至少包括一份異地存儲數(shù)據(jù)副本。在備份和生產(chǎn)環(huán)境之間保有“空間”對于使其免受勒索軟件和其他災(zāi)難的侵害至關(guān)重要。

技術(shù)咨詢服務(wù)商MoxFive公司負(fù)責(zé)技術(shù)咨詢服務(wù)的副總裁Jeff Palat說：“我們確實看到一些客戶有內(nèi)部部署備份，也有基于云的備份。但在理想情況下，如果企業(yè)同時擁有這兩種備份，通常不會級聯(lián)。如果將加密文件寫入內(nèi)部部署備份解決方案，然后復(fù)制到云平臺中，這對企業(yè)沒有任何好處。”

一些基于云計算的平臺將版本控制作為產(chǎn)品的一部分，無需額外成本。例如，Office365、Google Docs和iDrive等在線備份系統(tǒng)會保留所有以前版本的文件，而不會覆蓋它們。即使遭遇勒索軟件攻擊但備份了加密文件，備份過程也只是添加了一個新的損壞版本的文件，但不會覆蓋已經(jīng)存在的原有備份。

保存文件連續(xù)增量備份的技術(shù)也意味著在勒索軟件攻擊時不會丟失數(shù)據(jù)。只需返回到攻擊前文件的最后一個良好版本即可。

2.使用一次寫入存儲技術(shù)

另一種保護(hù)備份的方法是使用無法覆蓋的存儲技術(shù)，例如使用物理一次寫入多次讀取(WORM)技術(shù)或允許寫入但不更改數(shù)據(jù)的虛擬等效技術(shù)。這確實增加了備份成本，因為它需要更多的存儲空間。某些備份技術(shù)只保存更改和更新的文件，或使用其他重復(fù)數(shù)據(jù)刪除技術(shù)來防止存檔中具有相同內(nèi)容的多個副本。

3.保留多種類型的備份

Palatt說，“在許多情況下，企業(yè)沒有足夠的存儲空間或能力來長期保存?zhèn)浞?。例如在一個案例中，我們的客戶有三天的數(shù)據(jù)備份，其中前兩天被覆蓋，但第三天仍然可行。如果遭到勒索軟件攻擊，那么所有三天的備份數(shù)據(jù)都可能被破壞。”

Palatt建議企業(yè)保留不同類型的備份，例如將計劃的完整備份與更頻繁計劃的增量備份相結(jié)合。

4.保護(hù)備份目錄

除了保護(hù)備份文件本身免受網(wǎng)絡(luò)攻擊者的攻擊外，企業(yè)還應(yīng)確保其數(shù)據(jù)目錄是安全的。“大多數(shù)復(fù)雜的勒索軟件攻擊都針對備份目錄進(jìn)行攻擊，而不是大多數(shù)人認(rèn)為的備份介質(zhì)、備份磁帶或磁盤。”安永公司基礎(chǔ)設(shè)施和服務(wù)彈性領(lǐng)導(dǎo)者Amr Ahmed說。

該目錄包含備份的所有元數(shù)據(jù)、索引、磁帶的條形碼、磁盤上數(shù)據(jù)內(nèi)容的完整路徑等。Ahmed說，“如果沒有目錄，企業(yè)的備份媒體將無法使用，其恢復(fù)將非常困難或不切實際。企業(yè)需要確保他們擁有完善的備份解決方案，其中包括對備份目錄的保護(hù)，例如氣隙。”

5.備份所有需要備份的東西

阿拉斯加科迪亞克島行政區(qū)在2016年被勒索軟件攻擊時，該市有大約36臺服務(wù)器和45臺員工使用的電腦受到攻擊。負(fù)責(zé)恢復(fù)工作的IT主管Paul VanDyke表示，雖然所有服務(wù)器均已備份，但有一臺服務(wù)器的數(shù)據(jù)被勒索軟件劫持。

按照當(dāng)今的標(biāo)準(zhǔn)，當(dāng)時網(wǎng)絡(luò)攻擊者勒索的贖金金額并不大，只有半個比特幣，當(dāng)時價值259美元。他支付了贖金，但只使用了那臺服務(wù)器上的解密密鑰，因為他不相信在網(wǎng)絡(luò)攻擊者的幫助下恢復(fù)系統(tǒng)的完整性。他說，“我認(rèn)為服務(wù)器中的數(shù)據(jù)不會受到影響。”

大型企業(yè)也存在確保需要備份的所有內(nèi)容都得到實際備份的問題。根據(jù)Veritas公司的調(diào)查，IT專業(yè)人士估計，在數(shù)據(jù)完全丟失的情況下，他們無法恢復(fù)大概20%的數(shù)據(jù)。這是因為很多企業(yè)都存在影子IT問題。

Critical Start公司首席技術(shù)官Randy Watkins說，“一些員工試圖以最方便、最有效的方式完成工作。在通常情況下，這意味著一些員工采用影子IT開展工作。”

Watkins說，“當(dāng)關(guān)鍵數(shù)據(jù)存放在某個后臺的服務(wù)器上時，尤其是當(dāng)這些數(shù)據(jù)用于內(nèi)部流程時，企業(yè)可以做的只有防止數(shù)據(jù)丟失。當(dāng)涉及到生產(chǎn)時，它通常會在某個地方引起企業(yè)IT部門的關(guān)注，例如采用新的應(yīng)用程序或提供新的創(chuàng)收服務(wù)。”

他表示，并非所有系統(tǒng)都可以被IT部門輕松找到對其進(jìn)行備份，在遭遇勒索軟件攻擊之后，突然間所有的數(shù)據(jù)可能丟失。Watkins建議企業(yè)對其所有系統(tǒng)和數(shù)據(jù)資產(chǎn)進(jìn)行徹底調(diào)查。這通常會涉及每個職能部門的領(lǐng)導(dǎo)者，他們需要向員工索取需要保護(hù)的所有關(guān)鍵系統(tǒng)和數(shù)據(jù)的列表。

Watkins說，在通常情況下，IT部門會發(fā)現(xiàn)員工將一些數(shù)據(jù)存儲在不應(yīng)該存儲的地方，例如支付數(shù)據(jù)存儲在員工自己的筆記本電腦上。因此，備份項目通常會與數(shù)據(jù)丟失防護(hù)項目同時運(yùn)行。

6.備份整個業(yè)務(wù)流程

勒索軟件不僅僅影響數(shù)據(jù)文件。網(wǎng)絡(luò)攻擊者知道他們可以關(guān)閉的業(yè)務(wù)功能越多，受害者支付贖金的可能性就越大。自然災(zāi)害、硬件故障和網(wǎng)絡(luò)中斷也促使企業(yè)備份整個業(yè)務(wù)流程。

在遭受勒索軟件攻擊后，科迪亞克島政府的IT主管VanDyke不得不重新設(shè)置所有服務(wù)器和個人電腦，有時包括下載和重新安裝軟件以及重新配置。因此，恢復(fù)這些服務(wù)器花費(fèi)了一周時間，而恢復(fù)員工個人電腦也花費(fèi)了一周時間。此外，VanDyke只有三臺備用服務(wù)器來進(jìn)行恢復(fù)，因此來回交換數(shù)據(jù)的次數(shù)很多，如果采用更多的服務(wù)器，這個過程可能會更快。

安永公司網(wǎng)絡(luò)安全負(fù)責(zé)人Dave Burg表示，業(yè)務(wù)流程就像管弦樂隊一樣運(yùn)作。他說，“管弦樂隊的不同部分發(fā)出不同的聲音，如果它們彼此沒有合理的順序，人們聽到的就是噪音。”

只備份數(shù)據(jù)而不備份所有軟件、組件、依賴項、配置、網(wǎng)絡(luò)設(shè)置、監(jiān)控和安全工具以及業(yè)務(wù)流程工作所需的所有其他內(nèi)容，可能會使災(zāi)難恢復(fù)極具挑戰(zhàn)性。很多企業(yè)往往低估了這一挑戰(zhàn)。

Burg說，“由于缺乏對技術(shù)基礎(chǔ)設(shè)施和互連的了解，企業(yè)可能會對技術(shù)如何真正發(fā)揮作用以促進(jìn)業(yè)務(wù)的了解不足。”

Burg表示，企業(yè)在遭遇勒索軟件攻擊之后，面臨最大的基礎(chǔ)設(shè)施恢復(fù)挑戰(zhàn)通常涉及重建Active Directory和重建配置管理數(shù)據(jù)庫功能。在過去，如果企業(yè)想要對其系統(tǒng)進(jìn)行完整備份，而不只是數(shù)據(jù)備份，則會構(gòu)建其整個基礎(chǔ)設(shè)施的工作副本，也就是災(zāi)難恢復(fù)站點(diǎn)。當(dāng)然，這樣做會使基礎(chǔ)設(shè)施成本成倍增加，這讓許多企業(yè)望而卻步。

如今，云計算基礎(chǔ)設(shè)施可用于創(chuàng)建虛擬備份數(shù)據(jù)中心。如果一家企業(yè)已經(jīng)將業(yè)務(wù)在云中運(yùn)行，在不同的可用性區(qū)域或不同的云中設(shè)置備份是一個更簡單的過程。Burg說，“這些基于云的熱插拔架構(gòu)是可用的、具有成本效益的、安全的，并且具有很大的發(fā)展前景。”

7.使用熱容災(zāi)備份站點(diǎn)和自動化來加速恢復(fù)速度

Veritas公司表示，只有33%的IT主管認(rèn)為他們可以在五天內(nèi)從勒索軟件攻擊中恢復(fù)。Watkins說，“我知道一些企業(yè)在磁帶備份投入很多資金，然后把磁帶運(yùn)送到安全廠商進(jìn)行恢復(fù)處理，他們沒有時間等待一個小時來取回磁帶，那更不會等待17天來恢復(fù)它們。”

采用熱容災(zāi)備份站點(diǎn)，一鍵切換即可使用，可以解決恢復(fù)時間問題。如今有了基于云的基礎(chǔ)設(shè)施，可以更快地實施災(zāi)難恢復(fù)。

Watkins說，“這個過程很簡單，企業(yè)可以有一個腳本來復(fù)制基礎(chǔ)設(shè)施，并在另一個可用性區(qū)域提供支持。然后采用自動化技術(shù)，以便進(jìn)行災(zāi)難恢復(fù)。如果沒有恢復(fù)時間，只需10或15分鐘即可打開它。如果需要進(jìn)行測試，這可能需要一天的時間。”

為什么沒有更多的企業(yè)這樣做?Watkins表示，主要的原因是初始設(shè)置的成本很高，還需要企業(yè)具有內(nèi)部專業(yè)知識、自動化專業(yè)知識和計算專業(yè)知識。此外還需要提前設(shè)置安全控制之類的東西。”

還有一些遺留系統(tǒng)不會轉(zhuǎn)移到云中。Watkins以石油和天然氣控制系統(tǒng)作為無法在云中復(fù)制為例。

他表示，在大多數(shù)情況下，設(shè)置備份基礎(chǔ)設(shè)施的初始成本應(yīng)該是一個有爭議的問題。他說，“企業(yè)建立基礎(chǔ)設(shè)施的成本遠(yuǎn)低于支付勒索軟件和處理聲譽(yù)損失的成本。”

Omdia公司數(shù)據(jù)安全首席分析師Tanner Johnson建議，對于在這方面陷入困境的企業(yè)，一種方法可能是首先關(guān)注最關(guān)鍵的業(yè)務(wù)流程。他說，“就像不會采用一百萬美元的鎖來保護(hù)一千美元的資產(chǎn)一樣，這樣做得不償失。企業(yè)先要定義對其來說最重要的資產(chǎn)，為其安全團(tuán)隊建立一個層次結(jié)構(gòu)和優(yōu)先級。”

Johnson表示，積極投資網(wǎng)絡(luò)安全存在文化障礙。網(wǎng)絡(luò)安全最終被視為一種投資，預(yù)防勝于治療。

8.測試，測試，再測試

根據(jù)Veritas公司的調(diào)查，39%的企業(yè)最近一次測試他們的災(zāi)難恢復(fù)計劃是在三個多月前，或者根本沒有測試過。凱捷公司云計算基礎(chǔ)設(shè)施服務(wù)高級交付經(jīng)理Mike Golden說：“很多人從備份的角度而不是恢復(fù)的角度來處理備份。企業(yè)可以全天候地進(jìn)行備份，但如果不測試災(zāi)難恢復(fù)，將會面臨一些問題。”

Golden表示，這就是很多企業(yè)出錯的地方。他說，“他們通常在備份之后并沒有測試。例如，他們不知道下載備份需要多長時間，因為還沒有對其進(jìn)行測試。在它發(fā)生之前，可能不知道可能出錯。”

需要測試的不僅是技術(shù)，還有人員。Golden說，“一些員工不知道一些注意事項，或者沒有對他們的流程進(jìn)行定期審計，以確保員工遵守安全策略。” 

Golden表示，當(dāng)人們遵循所需的備份流程并知道他們在災(zāi)難恢復(fù)情況下需要做什么時，其做法應(yīng)該是“信任但要驗證。”