如果您受到勒索軟件的攻擊，完全自動(dòng)化的高速災(zāi)難恢復(fù)是一種避免支付贖金的很好的方法。災(zāi)難恢復(fù)是在清楚惡意軟件之后要做的兩件事中的第二件。

遭受勒索軟件攻擊后進(jìn)行災(zāi)難恢復(fù)的方式有三種：傳統(tǒng)恢復(fù)、鏡像恢復(fù)和云恢復(fù)。但對(duì)于大多數(shù)環(huán)境而言，能夠?qū)崿F(xiàn)大規(guī)模恢復(fù)自動(dòng)化的唯一方法是在云中恢復(fù)。

[[421760]]

傳統(tǒng)災(zāi)難恢復(fù)

傳統(tǒng)災(zāi)難恢復(fù)是在您遭受損失之后(在本文的案例中指的是收到贖金請(qǐng)求之后)開始進(jìn)行傳統(tǒng)恢復(fù)的一種方式。如果要將虛擬機(jī)鏡像恢復(fù)到虛擬機(jī)管理程序平臺(tái)(例如VMware、Hyper-V或KVM)或超大規(guī)模器(例如AWS、Azure或GCP)，這就仍然屬于傳統(tǒng)的還原。傳統(tǒng)的定義是等到事件發(fā)生時(shí)才開始恢復(fù)(正如您將在本文后面看到的，有一些方法可以在需要之前恢復(fù)數(shù)據(jù))。

這種類型的恢復(fù)被認(rèn)為是傳統(tǒng)的，因?yàn)樽畛醮蠹叶际侨绱?。大多?shù)公司沒(méi)有預(yù)算來(lái)維護(hù)恢復(fù)數(shù)據(jù)中心，因此他們支付了一項(xiàng)服務(wù)，以便在需要時(shí)為他們提供恢復(fù)數(shù)據(jù)中心。由于他們每次實(shí)際使用該數(shù)據(jù)中心時(shí)都必須付費(fèi)，因此他們從未想過(guò)提前恢復(fù)數(shù)據(jù)。他們等到災(zāi)難發(fā)生，然后聯(lián)系恢復(fù)數(shù)據(jù)中心并開始恢復(fù)。這種方法很慢，而且很難自動(dòng)化，因?yàn)槟鷽](méi)有執(zhí)行還原的硬件。

我們不建議您采取這種方法。在整個(gè)數(shù)據(jù)中心被災(zāi)難感染或破壞后執(zhí)行傳統(tǒng)的災(zāi)難恢復(fù)需要太長(zhǎng)時(shí)間，而且在受勒索軟件攻擊的情況下，您將不可避免地被迫支付贖金。為了避免支付贖金，您應(yīng)當(dāng)拒絕這種需要耗費(fèi)太長(zhǎng)時(shí)間的DR計(jì)劃?，F(xiàn)在是時(shí)候選擇轉(zhuǎn)向更快、自動(dòng)化程度更高的流程了。

基于鏡像的恢復(fù)

這里的想法是將操作系統(tǒng)和應(yīng)用程序的恢復(fù)與數(shù)據(jù)本身的恢復(fù)分開。如果您能做到這一點(diǎn)，您就可以通過(guò)使用映像解決方案顯著簡(jiǎn)化操作系統(tǒng)和應(yīng)用程序的恢復(fù)。為每個(gè)操作系統(tǒng)/應(yīng)用程序?qū)?chuàng)建一個(gè)鏡像，以便您可以快速輕松地對(duì)任意數(shù)量的服務(wù)器進(jìn)行重鏡像。這也可以進(jìn)行自動(dòng)化。

從備份中恢復(fù)50臺(tái)服務(wù)器可能需要很長(zhǎng)時(shí)間，但重鏡像50臺(tái)服務(wù)器、虛擬機(jī)或是容器實(shí)際上可能會(huì)更快。這是因?yàn)槟承┯诚窠鉀Q方案可以執(zhí)行精簡(jiǎn)配置還原，允許VM在重新鏡像過(guò)程仍在進(jìn)行時(shí)開始啟動(dòng)。這在某些備份系統(tǒng)中也是可能的，但僅適用于有限數(shù)量的VM。因此，成像系統(tǒng)可能會(huì)比傳統(tǒng)恢復(fù)更快地使您的系統(tǒng)重新聯(lián)機(jī)。

如果您習(xí)慣使用這樣的系統(tǒng)，鏡像恢復(fù)也可以在可預(yù)測(cè)的時(shí)間內(nèi)完成。如果每次升級(jí)操作系統(tǒng)時(shí)您都從已經(jīng)升級(jí)的鏡像重新鏡像操作系統(tǒng)，那么您將知道這種類型的恢復(fù)需要的確切時(shí)間(這與修補(bǔ)現(xiàn)有操作系統(tǒng)相反)。市場(chǎng)上有多種鏡像解決方案可以處理Linux和Windows服務(wù)器和VM。Kubernetes和Docker也適用于這種恢復(fù)方法。

基于映像的恢復(fù)用于防御通過(guò)加密關(guān)鍵系統(tǒng)文件來(lái)攻擊服務(wù)器操作系統(tǒng)或應(yīng)用程序的勒索軟件，但它對(duì)實(shí)際加密文檔或數(shù)據(jù)庫(kù)文件的勒索軟件不是很有用，因?yàn)檫@些文件仍然需要以傳統(tǒng)方式恢復(fù)。因此，這種方法確實(shí)只比傳統(tǒng)的容災(zāi)略好一些，但這也不失為一種好的選擇。

云恢復(fù)

云恢復(fù)可以在您需要之前進(jìn)行。它首先自動(dòng)并定期向laaS供應(yīng)商執(zhí)行計(jì)算環(huán)境的增強(qiáng)恢復(fù)。這意味著您的整個(gè)環(huán)境(包括結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的備份)已經(jīng)在需要之前恢復(fù)。是的，您將丟失一些數(shù)據(jù)，這取決于上次恢復(fù)和勒索軟件攻擊之間的時(shí)間間隔，因此您需要預(yù)先決定執(zhí)行預(yù)恢復(fù)過(guò)程的頻率以最大程度地減少損失。您還需要確定自己可接受的數(shù)據(jù)丟失量，這被稱為您的恢復(fù)點(diǎn)目標(biāo)(RPO)。

從技術(shù)上講，這種類型的恢復(fù)不需要云，但在大多數(shù)環(huán)境中使用云在財(cái)務(wù)上是可行的。使用物理數(shù)據(jù)中心進(jìn)行此操作需要先向其支付費(fèi)用。使用云，您只需為與預(yù)恢復(fù)鏡像相關(guān)的存儲(chǔ)付費(fèi)。

云友好的備份和災(zāi)難恢復(fù)產(chǎn)品及服務(wù)可以主動(dòng)將您的整個(gè)環(huán)境恢復(fù)到您選擇的云中——每天一次、每小時(shí)一次或連續(xù)恢復(fù)。顯然，更新頻率越高，成本就越高。

預(yù)恢復(fù)的美妙之處在于您可以在幾分鐘內(nèi)啟動(dòng)整個(gè)計(jì)算環(huán)境，并且有些產(chǎn)品和服務(wù)可以滿足從幾秒鐘到幾小時(shí)不等的RTO。想象一下，收到勒索軟件消息后你可以完全不用在意，因?yàn)橹恍璋匆粋€(gè)按鈕幾分鐘內(nèi)您的整個(gè)環(huán)境就會(huì)從云端恢復(fù)。該過(guò)程是完全自動(dòng)化的。

注意：即使您在幾分鐘內(nèi)恢復(fù)您的環(huán)境，您仍然需要識(shí)別勒索軟件并清除它。一些恢復(fù)解決方案可以幫助實(shí)現(xiàn)此過(guò)程的自動(dòng)化。

鑒于它能夠預(yù)先恢復(fù)數(shù)據(jù)，但卻只有在需要的時(shí)候才收取計(jì)算費(fèi)用，并且它執(zhí)行實(shí)際恢復(fù)的速度如此之快，建議您考慮云恢復(fù)這種辦法。

本文翻譯自：https://www.networkworld.com/article/3627405/ransomware-recovery-cloud-is-the-way-to-go.html