从勒索软件攻击中成功恢复备份的八个步骤

从勒索软件攻击中成功恢复备份的八个步骤

事实表明,从勒索软件攻击中恢复的最佳方法是拥有可靠且快速的备份过程。

根据安全服务商Keeper Security公司在今年6月发布的一份勒索软件调查报告,49%的遭遇勒索软件攻击的企业向攻击者支付了赎金,另有22%的企业拒绝透露是否支付了赎金。其部分原因是缺乏备份——特别是缺乏可用的备份。

企业的备份必须不受恶意软件的侵害,并且能够快速轻松地恢复。而备份不仅包括重要的文件和数据库,还包括关键的应用程序和配置,以及支持业务流程所需的所有技术。最重要的是,备份还应该经过良好的测试。

以下是企业确保在受到勒索软件攻击后成功从备份中恢复的8个步骤。

1.保持备份隔离

根据全球企业级数据管理领域的行业领导者Veritas公司在去年发布的一份调查报告,只有36%的企业拥有三份或更多数据副本,其中至少包括一份异地存储数据副本。在备份和生产环境之间保有“空间”对于使其免受勒索软件和其他灾难的侵害至关重要。

技术咨询服务商MoxFive公司负责技术咨询服务的副总裁Jeff Palat说:“我们确实看到一些客户有内部部署备份,也有基于云的备份。但在理想情况下,如果企业同时拥有这两种备份,通常不会级联。如果将加密文件写入内部部署备份解决方案,然后复制到云平台中,这对企业没有任何好处。”

一些基于云计算的平台将版本控制作为产品的一部分,无需额外成本。例如,Office365、Google Docs和iDrive等在线备份系统会保留所有以前版本的文件,而不会覆盖它们。即使遭遇勒索软件攻击但备份了加密文件,备份过程也只是添加了一个新的损坏版本的文件,但不会覆盖已经存在的原有备份。

保存文件连续增量备份的技术也意味着在勒索软件攻击时不会丢失数据。只需返回到攻击前文件的最后一个良好版本即可。

2.使用一次写入存储技术

另一种保护备份的方法是使用无法覆盖的存储技术,例如使用物理一次写入多次读取(WORM)技术或允许写入但不更改数据的虚拟等效技术。这确实增加了备份成本,因为它需要更多的存储空间。某些备份技术只保存更改和更新的文件,或使用其他重复数据删除技术来防止存档中具有相同内容的多个副本。

3.保留多种类型的备份

Palatt说,“在许多情况下,企业没有足够的存储空间或能力来长期保存备份。例如在一个案例中,我们的客户有三天的数据备份,其中前两天被覆盖,但第三天仍然可行。如果遭到勒索软件攻击,那么所有三天的备份数据都可能被破坏。”

Palatt建议企业保留不同类型的备份,例如将计划的完整备份与更频繁计划的增量备份相结合。

4.保护备份目录

除了保护备份文件本身免受网络攻击者的攻击外,企业还应确保其数据目录是安全的。“大多数复杂的勒索软件攻击都针对备份目录进行攻击,而不是大多数人认为的备份介质、备份磁带或磁盘。”安永公司基础设施和服务弹性领导者Amr Ahmed说。

该目录包含备份的所有元数据、索引、磁带的条形码、磁盘上数据内容的完整路径等。Ahmed说,“如果没有目录,企业的备份媒体将无法使用,其恢复将非常困难或不切实际。企业需要确保他们拥有完善的备份解决方案,其中包括对备份目录的保护,例如气隙。”

5.备份所有需要备份的东西

阿拉斯加科迪亚克岛行政区在2016年被勒索软件攻击时,该市有大约36台服务器和45台员工使用的电脑受到攻击。负责恢复工作的IT主管Paul VanDyke表示,虽然所有服务器均已备份,但有一台服务器的数据被勒索软件劫持。

按照当今的标准,当时网络攻击者勒索的赎金金额并不大,只有半个比特币,当时价值259美元。他支付了赎金,但只使用了那台服务器上的解密密钥,因为他不相信在网络攻击者的帮助下恢复系统的完整性。他说,“我认为服务器中的数据不会受到影响。”

大型企业也存在确保需要备份的所有内容都得到实际备份的问题。根据Veritas公司的调查,IT专业人士估计,在数据完全丢失的情况下,他们无法恢复大概20%的数据。这是因为很多企业都存在影子IT问题。

Critical Start公司首席技术官Randy Watkins说,“一些员工试图以最方便、最有效的方式完成工作。在通常情况下,这意味着一些员工采用影子IT开展工作。”

Watkins说,“当关键数据存放在某个后台的服务器上时,尤其是当这些数据用于内部流程时,企业可以做的只有防止数据丢失。当涉及到生产时,它通常会在某个地方引起企业IT部门的关注,例如采用新的应用程序或提供新的创收服务。”

他表示,并非所有系统都可以被IT部门轻松找到对其进行备份,在遭遇勒索软件攻击之后,突然间所有的数据可能丢失。Watkins建议企业对其所有系统和数据资产进行彻底调查。这通常会涉及每个职能部门的领导者,他们需要向员工索取需要保护的所有关键系统和数据的列表。

Watkins说,在通常情况下,IT部门会发现员工将一些数据存储在不应该存储的地方,例如支付数据存储在员工自己的笔记本电脑上。因此,备份项目通常会与数据丢失防护项目同时运行。

6.备份整个业务流程

勒索软件不仅仅影响数据文件。网络攻击者知道他们可以关闭的业务功能越多,受害者支付赎金的可能性就越大。自然灾害、硬件故障和网络中断也促使企业备份整个业务流程。

在遭受勒索软件攻击后,科迪亚克岛政府的IT主管VanDyke不得不重新设置所有服务器和个人电脑,有时包括下载和重新安装软件以及重新配置。因此,恢复这些服务器花费了一周时间,而恢复员工个人电脑也花费了一周时间。此外,VanDyke只有三台备用服务器来进行恢复,因此来回交换数据的次数很多,如果采用更多的服务器,这个过程可能会更快。

安永公司网络安全存在文化障碍。网络安全最终被视为一种投资,预防胜于治疗。

8.测试,测试,再测试

根据Veritas公司的调查,39%的企业最近一次测试他们的灾难恢复计划是在三个多月前,或者根本没有测试过。凯捷公司云计算基础设施服务高级交付经理Mike Golden说:“很多人从备份的角度而不是恢复的角度来处理备份。企业可以全天候地进行备份,但如果不测试灾难恢复,将会面临一些问题。”

Golden表示,这就是很多企业出错的地方。他说,“他们通常在备份之后并没有测试。例如,他们不知道下载备份需要多长时间,因为还没有对其进行测试。在它发生之前,可能不知道可能出错。”

需要测试的不仅是技术,还有人员。Golden说,“一些员工不知道一些注意事项,或者没有对他们的流程进行定期审计,以确保员工遵守安全策略。”

Golden表示,当人们遵循所需的备份流程并知道他们在灾难恢复情况下需要做什么时,其做法应该是“信任但要验证。”

【编辑推荐】

版权声明:玥玥 发表于 2021-08-24 11:29:57。
转载请注明:从勒索软件攻击中成功恢复备份的八个步骤 | 女黑客导航