今年有數起重大的勒索軟件爆發，未來還會有更多。一旦感染勒索軟件，從備份中恢復是重啟業務運營的最佳方案。

備份廠商極力宣傳他們的產品是如何幫助客戶從勒索軟件中恢復過來的。而實際情況卻是，大多數客戶只是簡單地舍棄被勒索軟件感染的數據：然后從原本的備份中恢復。一些年輕的備份企業對此有不同想法，特別當他們能夠深入了解存儲在備份中的數據時。

預防勒索軟件感染的第一道防線絕非備份軟件，我們使用病毒防護與網絡安全產品，目的是隔離具有威脅性的網絡。當感染進入你的網絡后，備份才開始真正發揮作用。沒有任何備份軟件可以預防感染。方案中所包含的檢測工具是用以識別和阻斷感染的，這也是從勒索軟件開始恢復，加載備份之前的必要步驟。

[[214193]]

我們所面臨的挑戰在于，知道勒索軟件通過我們未知或沒有修復的漏洞，已經突破了外圍防線；更嚴重的問題是勒索軟件可能已經感染了備份數據，刪除或加密都不起作用，使恢復操作難以實現。

備份軟件可以提供哪些幫助

備份軟件是數據的管理者，同時它會檢測數據中發生的異常變化。當有大量數據被感染或刪除時，系統會識別到這種不尋常的變化，因為這會在備份運行時轉化為大量的更改信息或元數據。

檢測到數據發生異常變化的備份軟件可以向操作員或管理團隊發出報警。Unitrends便是如此，并且當備份的配置文件與平時相去甚遠時，它會通知特定人員。

還有其它一些備份產品也在得到分析能力，有些可能可以深入認識勒索軟件。 Zerto 5.5版本中便擁有分析功能，Cohesity則具有一個可以跨備份池運行的數據分析平臺。

希望我們很快會看到這些預先設置，用于分析檢測勒索軟件的平臺。報警機制很好，如果能配合些許自動響應機制將會有更佳的效果。在發現感染時，提升備份頻率，減少潛在的數據丟失可以有助于從勒索軟件中恢復。當檢測到恢復到正常的數據變更頻率時，代表著感染已經被清除，這時的通知同樣有用，代表著此刻之后的備份便是安全可用的了。

恢復過程中的建議

即便備份軟件在檢測感染方面沒有起到作用，但從勒索軟件恢復的過程中其仍扮演著至關重要的角色。我們已經知道備份是需要受到保護的，無論是通過脫機還是嚴格的安全措施，從而杜絕其被勒索軟件感染加密。使用非Windows域的專用存儲設備，甚至云端服務可以有所幫助。

Veeam便推薦使用Hewlett Packard Enterprise或Dell等私有化的備份設備技術，而非Windows文件共享的方式。

Rubrik擁有自己的備份設備，與其它設備一樣，在定制化的存儲群集上使用重復數據刪除存儲。重復數據刪除的存儲可以支持備份更長時間的數據，并防止對這些備份的篡改。每個備份都是指向唯一數據塊的指針集合，而非整個數據集合。定制化存儲意味著它不是Windows架構，或與Windows系統共享，因而不會受到針對Windows的感染。

主存儲在此之中亦發揮著作用，特別是當存儲系統可以感知上面運行的虛擬機，支持對虛擬機進行基于陣列的快照。主存儲通常位于單獨的網絡上，很少使用Windows共享。

在發生勒索軟件攻擊后，許多備份產品只是單純幫助你從上次的備份中恢復數據。勒索軟件是一種非典型的信息受損，受感染的組織會需要使用一些更為復雜的工具。

少數備份產品具有不同程度應對勒索軟件的功能特性。這些產品可以幫助客戶從勒索軟件中進行快速恢復。隨著不斷有新的勒索軟件感染事件的出現，我們應該會看到更多備份廠商帶來更加豐富的功能。