勒索软件调查报告备份中恢复的8个步骤(图)

事实证明，从勒索软件攻击中恢复的最佳方法是拥有可靠且快速的备份过程。

据安全服务公司今年6月发布的勒索软件调查报告显示，49%的被勒索软件攻击的企业向攻击者支付了赎金，另有22%的企业拒绝透露是否支付了赎金。部分原因是缺乏备份——尤其是缺乏可用的备份。

企业备份必须没有恶意软件，并且可以快速轻松地恢复。备份不仅包括重要的文件和数据库，还包括关键的应用程序和配置，以及支持业务流程所需的所有技术。最重要的是，备份也应该经过良好的测试。

以下是企业可以采取的 8 个步骤，以确保在勒索软件攻击后从备份中成功恢复。

1.保持备份隔离

根据全球企业数据管理行业领导者去年发布的一项调查，只有 36% 的企业拥有三份或更多份数据，其中至少有一份异地存储数据。在备份和生产环境之间有一个“空间”对于保护它们免受勒索软件和其他灾难的影响至关重要。

“我们确实看到一些客户拥有本地备份以及基于云的备份，” 技术咨询服务副总裁 Jeff Palat 说。“但理想情况下，如果企业两者兼有，通常不会级联。如果将加密文件写入本地备份解决方案，然后复制到云平台，则对企业没有任何好处。”

一些基于云的平台包括版本控制作为产品的一部分，无需额外费用。例如，在线备份系统（例如 Docs 等）会保留所有以前版本的文件而不会覆盖它们。即使在勒索软件攻击下备份了加密文件，备份过程也只会添加文件的新损坏版本，但不会覆盖现有备份。

保存文件连续增量备份的技术还意味着在发生勒索软件攻击时不会丢失任何数据。只需回到攻击前文件的最后一个好版本。

2.使用一次写入存储技术

保护备份的另一种方法是使用无法覆盖的存储技术，例如使用物理一次写入多次读取 (WORM) 技术或允许写入但不更改数据的虚拟等效技术。这确实增加了备份成本，因为它需要更多的存储空间。一些备份技术仅保存更改和更新的文件，或使用其他重复数据删除技术来防止存档中存在相同内容的多个副本。

3.保留多种类型的备份

说：“在许多情况下，企业没有足够的存储空间或容量来长期保存备份。例如，在一个案例中，我们的客户进行了三天的数据备份，前两天被覆盖，但第三天仍然可行。如果发生勒索软件攻击，所有三天的备份数据都可能受到损害。”

建议企业保留不同类型的备份，例如将计划的完整备份与更频繁的计划增量备份相结合。

4.保护备份目录

除了保护备份文件本身免受网络攻击外，企业还应确保其数据目录的安全。“大多数复杂的勒索软件攻击针对的是备份目录，而不是大多数人认为的备份媒体、备份磁带或磁盘，”安永基础设施和服务弹性负责人 Amr Ahmed 说。

该目录包含备份的所有元数据、索引、磁带条形码、磁盘上数据内容的完整路径等。艾哈迈德说。“企业需要确保他们拥有完善的备份解决方案，其中包括对备份目录的保护服务器坏了数据恢复，例如气隙。”

5.备份所有需要备份的东西

2016 年阿拉斯加科迪亚克岛自治市遭到勒索软件攻击时，该市 45 名员工使用的大约 36 台服务器和计算机遭到入侵。负责恢复的 IT 主管保罗说，虽然所有服务器都已备份，但其中一台服务器的数据被勒索软件劫持。

按照今天的标准，当时网络攻击者索要的赎金数额并不大，只有半个比特币，当时价值 259 美元。他支付了赎金，但只使用了该服务器上的解密密钥，因为他不相信在网络攻击者的帮助下恢复系统的完整性。“我认为服务器中的数据不会受到影响，”他说。

大型企业还存在确保需要备份的所有内容都得到实际备份的问题。根据该公司的调查，IT 专业人员估计，如果数据完全丢失，他们将无法恢复大约 20% 的数据。这是因为许多企业都存在影子 IT 问题。

“一些员工正试图以最方便、最有效的方式完成工作，”Start 的首席技术官 Randy 说。“通常，这意味着一些员工正在使用影子 IT 来完成他们的工作。”

说，“当关键数据在某个后端服务器上时，特别是当这些数据用于内部流程时，企业所能做的就是防止数据丢失。当涉及到生产时，它通常是由某个地方引起的。企业 IT 问题，例如采用新的应用程序或提供新的创收服务。”

他说，并非所有系统都可以很容易地被 IT 部门找到并备份，在勒索软件攻击后突然间所有数据都可能丢失。建议企业对其所有系统和数据资产进行彻底调查。这通常涉及每个职能部门的领导，他们需要向员工索取需要保护的所有关键系统和数据的列表。

也就是说，IT 部门通常会发现员工将一些数据存储在不应存储的地方，例如存储在员工自己笔记本电脑上的支付数据。因此，备份项目通常与数据丢失防护项目同时运行。

6.备份整个业务流程

勒索软件不仅仅影响数据文件。网络攻击者知道他们可以关闭的业务功能越多，受害者支付赎金的可能性就越大。自然灾害、硬件故障和网络中断也促使公司备份其整个业务流程。

在遭受勒索软件攻击后，科迪亚克政府的 IT 主管不得不重置所有服务器和 PC，有时包括下载和重新安装软件以及重新配置。因此，恢复这些服务器需要一周时间，恢复员工 PC 需要一周时间。另外，只有三台备用服务器用于恢复，所以来回的数据交换很多，多台服务器可能会更快。

Ernst & Young 网络安全主管 Dave Burg 表示，业务流程就像管弦乐队一样运作。“管弦乐队的不同部分发出不同的声音，如果它们之间的顺序不合理，人们听到的就是噪音，”他说。

备份数据而不备份所有软件、组件、依赖项、配置、网络设置、监控和安全工具以及您的业务流程需要工作的所有其他内容可能会使灾难恢复极具挑战性。许多企业往往低估了这一挑战。

“由于对技术基础设施和互连缺乏了解，企业可能对技术如何真正促进业务发展的理解不足，”伯格说。

Burg 表示，企业在遭受勒索软件攻击后面临的最大基础设施恢复挑战通常涉及重建和重建配置管理数据库功能。过去，如果企业想要对其系统进行完整备份，而不仅仅是数据，它会构建其整个基础架构的工作副本，称为灾难恢复站点。当然，这样做会成倍增加基础设施成本，这对许多企业来说是令人望而却步的。

今天，云计算基础设施可用于创建虚拟备份数据中心。如果企业已经在云中运行其业务，那么在不同的可用区或不同的云中设置备份是一个更容易的过程。“这些基于云的、可热插拔的架构是可用的、具有成本效益的、安全的，并且有很大的前景服务器坏了数据恢复，”Burg 说。

7.使用热灾难恢复备份站点和自动化来加速恢复

该公司表示，只有 33% 的 IT 高管认为他们可以在五天内从勒索软件攻击中恢复。“我知道一些公司在磁带备份上投入了大量资金，然后将磁带运送给安全供应商进行恢复处理，他们没有时间等待一个小时来取回磁带，更不用说 17 天来恢复它们了， “先生说。

采用热容灾备备份站点，可一键切换使用，可解决恢复时间问题。如今，借助基于云的基础架构，可以更快地实施灾难恢复。

说：“这个过程很简单，企业可以有一个脚本来复制基础设施并在另一个可用区支持它。然后将其自动化，以便它可以进行灾难恢复。如果没有恢复时间，也就10或15分钟。打开它。如果需要进行测试，可能需要一天的时间。”

为什么没有更多的企业这样做？例如，主要原因是初始设置成本高，以及企业需要拥有内部专业知识、自动化专业知识和计算专业知识。还有一些事情，比如提前设置安全控制。”

还有一些遗留系统不会迁移到云端。以无法在云端复制的油气控制系统为例。

他说，在大多数情况下，建立备份基础设施的初始成本应该是一个有争议的问题。“建立基础设施的成本远远低于支付勒索软件和处理声誉损害的成本，”他说。

Omdia 的数据安全首席分析师建议，对于在这一领域苦苦挣扎的企业，一种方法可能是首先关注最关键的业务流程。他说：“就像没有用一百万美元的锁来保护一千美元的资产一样，不值得付出努力。组织需要首先定义对他们最重要的资产，建立层次结构和优先级。”

表示积极投资网络安全存在文化障碍。网络安全最终被视为一种投资，预​​防胜于治疗。

8.测试，测试，测试

根据该公司的调查，39% 的企业上次测试他们的灾难恢复计划是在三个多月前，或者根本没有测试过。“很多人从备份的角度而不是从恢复的角度来处理备份，”凯捷云计算基础设施服务高级交付经理 Mike 说。“公司可以 24/7 进行备份，但如果你不测试灾难恢复，你就会遇到一些问题。”

这就是很多企业出错的地方。“他们通常不会在备份后进行测试，”他说。“例如，他们不知道下载备份需要多长时间，因为它没有经过测试。在它发生之前，他们可能不知道可能出了什么问题。”

需要测试的不仅仅是技术，还有人。“一些员工不知道一些注意事项，或者没有对其流程进行定期审计，以确保员工遵守安全政策。”

文章来源:http://www.sohu.com/a/517428170_100220998

感谢您的来访，获取更多精彩文章请收藏本站。