從勒索軟件攻擊中成功恢復(fù)備份的8個(gè)步驟

責(zé)任編輯:cres

作者:Maria Korolov

2021-08-20 10:01:24

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

企業(yè)的備份必須不受惡意軟件的侵害,并且能夠快速輕松地恢復(fù)。而備份不僅包括重要的文件和數(shù)據(jù)庫(kù),還包括關(guān)鍵的應(yīng)用程序和配置,以及支持業(yè)務(wù)流程所需的所有技術(shù)。最重要的是,備份還應(yīng)該經(jīng)過良好的測(cè)試。

事實(shí)表明,從勒索軟件攻擊中恢復(fù)的最佳方法是擁有可靠且快速的備份過程。
 
根據(jù)安全服務(wù)商Keeper Security公司在今年6月發(fā)布的一份勒索軟件調(diào)查報(bào)告,49%的遭遇勒索軟件攻擊的企業(yè)向攻擊者支付了贖金,另有22%的企業(yè)拒絕透露是否支付了贖金。其部分原因是缺乏備份——特別是缺乏可用的備份。
 
企業(yè)的備份必須不受惡意軟件的侵害,并且能夠快速輕松地恢復(fù)。而備份不僅包括重要的文件和數(shù)據(jù)庫(kù),還包括關(guān)鍵的應(yīng)用程序和配置,以及支持業(yè)務(wù)流程所需的所有技術(shù)。最重要的是,備份還應(yīng)該經(jīng)過良好的測(cè)試。
 
以下是企業(yè)確保在受到勒索軟件攻擊后成功從備份中恢復(fù)的8個(gè)步驟。
 
1.保持備份隔離
 
根據(jù)全球企業(yè)級(jí)數(shù)據(jù)管理領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者Veritas公司在去年發(fā)布的一份調(diào)查報(bào)告,只有36%的企業(yè)擁有三份或更多數(shù)據(jù)副本,其中至少包括一份異地存儲(chǔ)數(shù)據(jù)副本。在備份和生產(chǎn)環(huán)境之間保有“空間”對(duì)于使其免受勒索軟件和其他災(zāi)難的侵害至關(guān)重要。
 
技術(shù)咨詢服務(wù)商MoxFive公司負(fù)責(zé)技術(shù)咨詢服務(wù)的副總裁Jeff Palat說:“我們確實(shí)看到一些客戶有內(nèi)部部署備份,也有基于云的備份。但在理想情況下,如果企業(yè)同時(shí)擁有這兩種備份,通常不會(huì)級(jí)聯(lián)。如果將加密文件寫入內(nèi)部部署備份解決方案,然后復(fù)制到云平臺(tái)中,這對(duì)企業(yè)沒有任何好處。”
 
一些基于云計(jì)算的平臺(tái)將版本控制作為產(chǎn)品的一部分,無需額外成本。例如,Office365、Google Docs和iDrive等在線備份系統(tǒng)會(huì)保留所有以前版本的文件,而不會(huì)覆蓋它們。即使遭遇勒索軟件攻擊但備份了加密文件,備份過程也只是添加了一個(gè)新的損壞版本的文件,但不會(huì)覆蓋已經(jīng)存在的原有備份。
 
保存文件連續(xù)增量備份的技術(shù)也意味著在勒索軟件攻擊時(shí)不會(huì)丟失數(shù)據(jù)。只需返回到攻擊前文件的最后一個(gè)良好版本即可。
 
2.使用一次寫入存儲(chǔ)技術(shù)
 
另一種保護(hù)備份的方法是使用無法覆蓋的存儲(chǔ)技術(shù),例如使用物理一次寫入多次讀取(WORM)技術(shù)或允許寫入但不更改數(shù)據(jù)的虛擬等效技術(shù)。這確實(shí)增加了備份成本,因?yàn)樗枰嗟拇鎯?chǔ)空間。某些備份技術(shù)只保存更改和更新的文件,或使用其他重復(fù)數(shù)據(jù)刪除技術(shù)來防止存檔中具有相同內(nèi)容的多個(gè)副本。
 
3.保留多種類型的備份
 
Palatt說,“在許多情況下,企業(yè)沒有足夠的存儲(chǔ)空間或能力來長(zhǎng)期保存?zhèn)浞?。例如在一個(gè)案例中,我們的客戶有三天的數(shù)據(jù)備份,其中前兩天被覆蓋,但第三天仍然可行。如果遭到勒索軟件攻擊,那么所有三天的備份數(shù)據(jù)都可能被破壞。”
 
Palatt建議企業(yè)保留不同類型的備份,例如將計(jì)劃的完整備份與更頻繁計(jì)劃的增量備份相結(jié)合。
 
4.保護(hù)備份目錄
 
除了保護(hù)備份文件本身免受網(wǎng)絡(luò)攻擊者的攻擊外,企業(yè)還應(yīng)確保其數(shù)據(jù)目錄是安全的。“大多數(shù)復(fù)雜的勒索軟件攻擊都針對(duì)備份目錄進(jìn)行攻擊,而不是大多數(shù)人認(rèn)為的備份介質(zhì)、備份磁帶或磁盤。”安永公司基礎(chǔ)設(shè)施和服務(wù)彈性領(lǐng)導(dǎo)者Amr Ahmed說。
 
該目錄包含備份的所有元數(shù)據(jù)、索引、磁帶的條形碼、磁盤上數(shù)據(jù)內(nèi)容的完整路徑等。Ahmed說,“如果沒有目錄,企業(yè)的備份媒體將無法使用,其恢復(fù)將非常困難或不切實(shí)際。企業(yè)需要確保他們擁有完善的備份解決方案,其中包括對(duì)備份目錄的保護(hù),例如氣隙。”
 
5.備份所有需要備份的東西
 
阿拉斯加科迪亞克島行政區(qū)在2016年被勒索軟件攻擊時(shí),該市有大約36臺(tái)服務(wù)器和45臺(tái)員工使用的電腦受到攻擊。負(fù)責(zé)恢復(fù)工作的IT主管Paul VanDyke表示,雖然所有服務(wù)器均已備份,但有一臺(tái)服務(wù)器的數(shù)據(jù)被勒索軟件劫持。
 
按照當(dāng)今的標(biāo)準(zhǔn),當(dāng)時(shí)網(wǎng)絡(luò)攻擊者勒索的贖金金額并不大,只有半個(gè)比特幣,當(dāng)時(shí)價(jià)值259美元。他支付了贖金,但只使用了那臺(tái)服務(wù)器上的解密密鑰,因?yàn)樗幌嘈旁诰W(wǎng)絡(luò)攻擊者的幫助下恢復(fù)系統(tǒng)的完整性。他說,“我認(rèn)為服務(wù)器中的數(shù)據(jù)不會(huì)受到影響。”
 
大型企業(yè)也存在確保需要備份的所有內(nèi)容都得到實(shí)際備份的問題。根據(jù)Veritas公司的調(diào)查,IT專業(yè)人士估計(jì),在數(shù)據(jù)完全丟失的情況下,他們無法恢復(fù)大概20%的數(shù)據(jù)。這是因?yàn)楹芏嗥髽I(yè)都存在影子IT問題。
 
Critical Start公司首席技術(shù)官Randy Watkins說,“一些員工試圖以最方便、最有效的方式完成工作。在通常情況下,這意味著一些員工采用影子IT開展工作。”
 
Watkins說,“當(dāng)關(guān)鍵數(shù)據(jù)存放在某個(gè)后臺(tái)的服務(wù)器上時(shí),尤其是當(dāng)這些數(shù)據(jù)用于內(nèi)部流程時(shí),企業(yè)可以做的只有防止數(shù)據(jù)丟失。當(dāng)涉及到生產(chǎn)時(shí),它通常會(huì)在某個(gè)地方引起企業(yè)IT部門的關(guān)注,例如采用新的應(yīng)用程序或提供新的創(chuàng)收服務(wù)。”
 
他表示,并非所有系統(tǒng)都可以被IT部門輕松找到對(duì)其進(jìn)行備份,在遭遇勒索軟件攻擊之后,突然間所有的數(shù)據(jù)可能丟失。Watkins建議企業(yè)對(duì)其所有系統(tǒng)和數(shù)據(jù)資產(chǎn)進(jìn)行徹底調(diào)查。這通常會(huì)涉及每個(gè)職能部門的領(lǐng)導(dǎo)者,他們需要向員工索取需要保護(hù)的所有關(guān)鍵系統(tǒng)和數(shù)據(jù)的列表。
 
Watkins說,在通常情況下,IT部門會(huì)發(fā)現(xiàn)員工將一些數(shù)據(jù)存儲(chǔ)在不應(yīng)該存儲(chǔ)的地方,例如支付數(shù)據(jù)存儲(chǔ)在員工自己的筆記本電腦上。因此,備份項(xiàng)目通常會(huì)與數(shù)據(jù)丟失防護(hù)項(xiàng)目同時(shí)運(yùn)行。
 
6.備份整個(gè)業(yè)務(wù)流程
 
勒索軟件不僅僅影響數(shù)據(jù)文件。網(wǎng)絡(luò)攻擊者知道他們可以關(guān)閉的業(yè)務(wù)功能越多,受害者支付贖金的可能性就越大。自然災(zāi)害、硬件故障和網(wǎng)絡(luò)中斷也促使企業(yè)備份整個(gè)業(yè)務(wù)流程。
 
在遭受勒索軟件攻擊后,科迪亞克島政府的IT主管VanDyke不得不重新設(shè)置所有服務(wù)器和個(gè)人電腦,有時(shí)包括下載和重新安裝軟件以及重新配置。因此,恢復(fù)這些服務(wù)器花費(fèi)了一周時(shí)間,而恢復(fù)員工個(gè)人電腦也花費(fèi)了一周時(shí)間。此外,VanDyke只有三臺(tái)備用服務(wù)器來進(jìn)行恢復(fù),因此來回交換數(shù)據(jù)的次數(shù)很多,如果采用更多的服務(wù)器,這個(gè)過程可能會(huì)更快。
 
安永公司網(wǎng)絡(luò)安全負(fù)責(zé)人Dave Burg表示,業(yè)務(wù)流程就像管弦樂隊(duì)一樣運(yùn)作。他說,“管弦樂隊(duì)的不同部分發(fā)出不同的聲音,如果它們彼此沒有合理的順序,人們聽到的就是噪音。”
 
只備份數(shù)據(jù)而不備份所有軟件、組件、依賴項(xiàng)、配置、網(wǎng)絡(luò)設(shè)置、監(jiān)控和安全工具以及業(yè)務(wù)流程工作所需的所有其他內(nèi)容,可能會(huì)使災(zāi)難恢復(fù)極具挑戰(zhàn)性。很多企業(yè)往往低估了這一挑戰(zhàn)。
 
Burg說,“由于缺乏對(duì)技術(shù)基礎(chǔ)設(shè)施和互連的了解,企業(yè)可能會(huì)對(duì)技術(shù)如何真正發(fā)揮作用以促進(jìn)業(yè)務(wù)的了解不足。”
 
Burg表示,企業(yè)在遭遇勒索軟件攻擊之后,面臨最大的基礎(chǔ)設(shè)施恢復(fù)挑戰(zhàn)通常涉及重建Active Directory和重建配置管理數(shù)據(jù)庫(kù)功能。在過去,如果企業(yè)想要對(duì)其系統(tǒng)進(jìn)行完整備份,而不只是數(shù)據(jù)備份,則會(huì)構(gòu)建其整個(gè)基礎(chǔ)設(shè)施的工作副本,也就是災(zāi)難恢復(fù)站點(diǎn)。當(dāng)然,這樣做會(huì)使基礎(chǔ)設(shè)施成本成倍增加,這讓許多企業(yè)望而卻步。
 
如今,云計(jì)算基礎(chǔ)設(shè)施可用于創(chuàng)建虛擬備份數(shù)據(jù)中心。如果一家企業(yè)已經(jīng)將業(yè)務(wù)在云中運(yùn)行,在不同的可用性區(qū)域或不同的云中設(shè)置備份是一個(gè)更簡(jiǎn)單的過程。Burg說,“這些基于云的熱插拔架構(gòu)是可用的、具有成本效益的、安全的,并且具有很大的發(fā)展前景。”
 
7.使用熱容災(zāi)備份站點(diǎn)和自動(dòng)化來加速恢復(fù)速度
 
Veritas公司表示,只有33%的IT主管認(rèn)為他們可以在五天內(nèi)從勒索軟件攻擊中恢復(fù)。Watkins說,“我知道一些企業(yè)在磁帶備份投入很多資金,然后把磁帶運(yùn)送到安全廠商進(jìn)行恢復(fù)處理,他們沒有時(shí)間等待一個(gè)小時(shí)來取回磁帶,那更不會(huì)等待17天來恢復(fù)它們。”
 
采用熱容災(zāi)備份站點(diǎn),一鍵切換即可使用,可以解決恢復(fù)時(shí)間問題。如今有了基于云的基礎(chǔ)設(shè)施,可以更快地實(shí)施災(zāi)難恢復(fù)。
 
Watkins說,“這個(gè)過程很簡(jiǎn)單,企業(yè)可以有一個(gè)腳本來復(fù)制基礎(chǔ)設(shè)施,并在另一個(gè)可用性區(qū)域提供支持。然后采用自動(dòng)化技術(shù),以便進(jìn)行災(zāi)難恢復(fù)。如果沒有恢復(fù)時(shí)間,只需10或15分鐘即可打開它。如果需要進(jìn)行測(cè)試,這可能需要一天的時(shí)間。”
 
為什么沒有更多的企業(yè)這樣做?Watkins表示,主要的原因是初始設(shè)置的成本很高,還需要企業(yè)具有內(nèi)部專業(yè)知識(shí)、自動(dòng)化專業(yè)知識(shí)和計(jì)算專業(yè)知識(shí)。此外還需要提前設(shè)置安全控制之類的東西。”
 
還有一些遺留系統(tǒng)不會(huì)轉(zhuǎn)移到云中。Watkins以石油和天然氣控制系統(tǒng)作為無法在云中復(fù)制為例。
 
他表示,在大多數(shù)情況下,設(shè)置備份基礎(chǔ)設(shè)施的初始成本應(yīng)該是一個(gè)有爭(zhēng)議的問題。他說,“企業(yè)建立基礎(chǔ)設(shè)施的成本遠(yuǎn)低于支付勒索軟件和處理聲譽(yù)損失的成本。”
 
Omdia公司數(shù)據(jù)安全首席分析師Tanner Johnson建議,對(duì)于在這方面陷入困境的企業(yè),一種方法可能是首先關(guān)注最關(guān)鍵的業(yè)務(wù)流程。他說,“就像不會(huì)采用一百萬美元的鎖來保護(hù)一千美元的資產(chǎn)一樣,這樣做得不償失。企業(yè)先要定義對(duì)其來說最重要的資產(chǎn),為其安全團(tuán)隊(duì)建立一個(gè)層次結(jié)構(gòu)和優(yōu)先級(jí)。”
 
Johnson表示,積極投資網(wǎng)絡(luò)安全存在文化障礙。網(wǎng)絡(luò)安全最終被視為一種投資,預(yù)防勝于治療。
 
8.測(cè)試,測(cè)試,再測(cè)試
 
根據(jù)Veritas公司的調(diào)查,39%的企業(yè)最近一次測(cè)試他們的災(zāi)難恢復(fù)計(jì)劃是在三個(gè)多月前,或者根本沒有測(cè)試過。凱捷公司云計(jì)算基礎(chǔ)設(shè)施服務(wù)高級(jí)交付經(jīng)理Mike Golden說:“很多人從備份的角度而不是恢復(fù)的角度來處理備份。企業(yè)可以全天候地進(jìn)行備份,但如果不測(cè)試災(zāi)難恢復(fù),將會(huì)面臨一些問題。”
 
Golden表示,這就是很多企業(yè)出錯(cuò)的地方。他說,“他們通常在備份之后并沒有測(cè)試。例如,他們不知道下載備份需要多長(zhǎng)時(shí)間,因?yàn)檫€沒有對(duì)其進(jìn)行測(cè)試。在它發(fā)生之前,可能不知道可能出錯(cuò)。”
 
需要測(cè)試的不僅是技術(shù),還有人員。Golden說,“一些員工不知道一些注意事項(xiàng),或者沒有對(duì)他們的流程進(jìn)行定期審計(jì),以確保員工遵守安全策略。”
 
Golden表示,當(dāng)人們遵循所需的備份流程并知道他們?cè)跒?zāi)難恢復(fù)情況下需要做什么時(shí),其做法應(yīng)該是“信任但要驗(yàn)證。”
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)