从勒索软件攻击中成功恢复备份的8个步骤

企业的备份必须不受恶意软件的侵害，并且能够快速轻松地恢复而备份不仅包括重要的文件和数据库，还包括关键的应用程序和配置，以及支持业务流程所需的所有技术最重要的是，备份还应该经过良好的测试事实表明，从勒索软件攻击中恢复的最佳方法是拥有可靠且快速的备份过程

根据安全服务商Keeper Security公司在今年6月发布的一份勒索软件调查报告，49%的遭遇勒索软件攻击的企业向攻击者支付了赎金，另有22%的企业拒绝透露是否支付了赎金其部分原因是缺乏备份特别是缺乏可用的备份

企业的备份必须不受恶意软件的侵害，并且能够快速轻松地恢复而备份不仅包括重要的文件和数据库，还包括关键的应用程序和配置，以及支持业务流程所需的所有技术最重要的是，备份还应该经过良好的测试

以下是企业确保在受到勒索软件攻击后成功从备份中恢复的8个步骤保持备份隔离

根据全球企业级数据管理领域的行业领导者Veritas公司在去年发布的一份调查报告，只有36%的企业拥有三份或更多数据副本，其中至少包括一份异地存储数据副本在备份和生产环境之间保有空间对于使其免受勒索软件和其他灾难的侵害至关重要

技术咨询服务商MoxFive公司负责技术咨询服务的副总裁Jeff Palat说：我们确实看到一些客户有内部部署备份，也有基于云的备份但在理想情况下，如果企业同时拥有这两种备份，通常不会级联如果将加密文件写入内部部署备份解决方案，然后复制到云平台中，这对企业没有任何好处

一些基于云计算的平台将版本控制作为产品的一部分，无需额外成本例如，Office365Google Docs和iDrive等在线备份系统会保留所有以前版本的文件，而不会覆盖它们即使遭遇勒索软件攻击但备份了加密文件，备份过程也只是添加了一个新的损坏版本的文件，但不会覆盖已经存在的原有备份

保存文件连续增量备份的技术也意味着在勒索软件攻击时不会丢失数据只需返回到攻击前文件的最后一个良好版本即可使用一次写入存储技术

另一种保护备份的方法是使用无法覆盖的存储技术，例如使用物理一次写入多次读取(WORM)技术或允许写入但不更改数据的虚拟等效技术这确实增加了备份成本，因为它需要更多的存储空间某些备份技术只保存更改和更新的文件，或使用其他重复数据删除技术来防止存档中具有相同内容的多个副本保留多种类型的备份

Palatt说，在许多情况下，企业没有足够的存储空间或能力来长期保存备份例如在一个案例中，我们的客户有三天的数据备份，其中前两天被覆盖，但第三天仍然可行如果遭到勒索软件攻击，那么所有三天的备份数据都可能被破坏

Palatt建议企业保留不同类型的备份，例如将计划的完整备份与更频繁计划的增量备份相结合保护备份目录

除了保护备份文件本身免受网络攻击者的攻击外，企业还应确保其数据目录是安全的大多数复杂的勒索软件攻击都针对备份目录进行攻击，而不是大多数人认为的备份介质备份磁带或磁盘安永公司基础设施和服务弹性领导者Amr Ahmed说

该目录包含备份的所有元数据索引磁带的条形码磁盘上数据内容的完整路径等Ahmed说，如果没有目录，企业的备份媒体将无法使用，其恢复将非常困难或不切实际企业需要确保他们拥有完善的备份解决方案，其中包括对备份目录的保护，例如气隙备份所有需要备份的东西

阿拉斯加科迪亚克岛行政区在2016年被勒索软件攻击时，该市有大约36台服务器和45台员工使用的电脑受到攻击负责恢复工作的IT主管Paul VanDyke表示，虽然所有服务器均已备份，但有一台服务器的数据被勒索软件劫持

按照当今的标准，当时网络攻击者勒索的赎金金额并不大，只有半个比特币，当时价值259美元他支付了赎金，但只使用了那台服务器上的解密密钥，因为他不相信在网络攻击者的帮助下恢复系统的完整性他说，我认为服务器中的数据不会受到影响

大型企业也存在确保需要备份的所有内容都得到实际备份的问题根据Veritas公司的调查，IT专业人士估计，在数据完全丢失的情况下，他们无法恢复大概20%的数据这是因为很多企业都存在影子IT问题

Critical Start公司首席技术官Randy Watkins说，一些员工试图以最方便最有效的方式完成工作在通常情况下，这意味着一些员工采用影子IT开展工作

Watkins说，当关键数据存放在某个后台的服务器上时，尤其是当这些数据用于内部流程时，企业可以做的只有防止数据丢失当涉及到生产时，它通常会在某个地方引起企业IT部门的关注，例如采用新的应用程序或提供新的创收服务

他表示，并非所有系统都可以被IT部门轻松找到对其进行备份，在遭遇勒索软件攻击之后，突然间所有的数据可能丢失Watkins建议企业对其所有系统和数据资产进行彻底调查这通常会涉及每个职能部门的领导者，他们需要向员工索取需要保护的所有关键系统和数据的列表

Watkins说，在通常情况下，IT部门会发现员工将一些数据存储在不应该存储的地方，例如支付数据存储在员工自己的笔记本电脑上因此，备份项目通常会与数据丢失防护项目同时运行备份整个业务流程

勒索软件不仅仅影响数据文件网络攻击者知道他们可以关闭的业务功能越多，受害者支付赎金的可能性就越大自然灾害硬件故障和网络中断也促使企业备份整个业务流程

在遭受勒索软件攻击后，科迪亚克岛政府的IT主管VanDyke不得不重新设置所有服务器和个人电脑，有时包括下载和重新安装软件以及重新配置因此，恢复这些服务器花费了一周时间，而恢复员工个人电脑也花费了一周时间此外，VanDyke只有三台备用服务器来进行恢复，因此来回交换数据的次数很多，如果采用更多的服务器，这个过程可能会更快

安永公司网络安全负责人Dave Burg表示，业务流程就像管弦乐队一样运作他说，管弦乐队的不同部分发出不同的声音，如果它们彼此没有合理的顺序，人们听到的就是噪音

只备份数据而不备份所有软件组件依赖项配置网络设置监控和安全工具以及业务流程工作所需的所有其他内容，可能会使灾难恢复极具挑战性很多企业往往低估了这一挑战

Burg说，由于缺乏对技术基础设施和互连的了解，企业可能会对技术如何真正发挥作用以促进业务的了解不足

Burg表示，企业在遭遇勒索软件攻击之后，面临最大的基础设施恢复挑战通常涉及重建Active Directory和重建配置管理数据库功能在过去，如果企业想要对其系统进行完整备份，而不只是数据备份，则会构建其整个基础设施的工作副本，也就是灾难恢复站点当然，这样做会使基础设施成本成倍增加，这让许多企业望而却步

如今，云计算基础设施可用于创建虚拟备份数据中心如果一家企业已经将业务在云中运行，在不同的可用性区域或不同的云中设置备份是一个更简单的过程Burg说，这些基于云的热插拔架构是可用的具有成本效益的安全的，并且具有很大的发展前景使用热容灾备份站点和自动化来加速恢复速度

Veritas公司表示，只有33%的IT主管认为他们可以在五天内从勒索软件攻击中恢复Watkins说，我知道一些企业在磁带备份投入很多资金，然后把磁带运送到安全厂商进行恢复处理，他们没有时间等待一个小时来取回磁带，那更不会等待17天来恢复它们

采用热容灾备份站点，一键切换即可使用，可以解决恢复时间问题如今有了基于云的基础设施，可以更快地实施灾难恢复

Watkins说，这个过程很简单，企业可以有一个脚本来复制基础设施，并在另一个可用性区域提供支持然后采用自动化技术，以便进行灾难恢复如果没有恢复时间，只需10或15分钟即可打开它如果需要进行测试，这可能需要一天的时间

为什么没有更多的企业这样做?Watkins表示，主要的原因是初始设置的成本很高，还需要企业具有内部专业知识自动化专业知识和计算专业知识此外还需要提前设置安全控制之类的东西

还有一些遗留系统不会转移到云中Watkins以石油和天然气控制系统作为无法在云中复制为例

他表示，在大多数情况下，设置备份基础设施的初始成本应该是一个有争议的问题他说，企业建立基础设施的成本远低于支付勒索软件和处理声誉损失的成本

Omdia公司数据安全首席分析师Tanner Johnson建议，对于在这方面陷入困境的企业，一种方法可能是首先关注最关键的业务流程他说，就像不会采用一百万美元的锁来保护一千美元的资产一样，这样做得不偿失企业先要定义对其来说最重要的资产，为其安全团队建立一个层次结构和优先级

Johnson表示，积极投资网络安全存在文化障碍网络安全最终被视为一种投资，预防胜于治疗测试，测试，再测试

根据Veritas公司的调查，39%的企业最近一次测试他们的灾难恢复计划是在三个多月前，或者根本没有测试过凯捷公司云计算基础设施服务高级交付经理Mike Golden说：很多人从备份的角度而不是恢复的角度来处理备份企业可以全天候地进行备份，但如果不测试灾难恢复，将会面临一些问题

Golden表示，这就是很多企业出错的地方他说，他们通常在备份之后并没有测试例如，他们不知道下载备份需要多长时间，因为还没有对其进行测试在它发生之前，可能不知道可能出错

需要测试的不仅是技术，还有人员Golden说，一些员工不知道一些注意事项，或者没有对他们的流程进行定期审计，以确保员工遵守安全策略

Golden表示，当人们遵循所需的备份流程并知道他们在灾难恢复情况下需要做什么时，其做法应该是信任但要验证

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利

（来源：企业网D1Net）

如果您在企业IT网络通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1Net投稿

投稿邮箱：editor@d1net.com

点击蓝色字体
关注

企业网D1net旗下信众智是CIO（首席信息官）的智力资源分享平台，也是国内最大的CIO社交平台

信众智让CIO为CIO服务，提供产品点评咨询培训猎头需求对接等服务也是国内最早的toB共享经济平台

同时，企业网D1net和超过一半的央企信息部门主管联合成立了中国企业数字化联盟，主要面向各地大型企业，提供数字化转型方面的技术政策战略战术方面的帮助和支撑

阅读原文

    关注 企业网D1net