從勒索軟件攻擊中成功恢復備份的八個步驟
事實表明,從勒索軟件攻擊中恢復的最佳方法是擁有可靠且快速的備份過程。
根據安全服務商Keeper Security公司在今年6月發布的一份勒索軟件調查報告,49%的遭遇勒索軟件攻擊的企業向攻擊者支付了贖金,另有22%的企業拒絕透露是否支付了贖金。其部分原因是缺乏備份——特別是缺乏可用的備份。
企業的備份必須不受惡意軟件的侵害,并且能夠快速輕松地恢復。而備份不僅包括重要的文件和數據庫,還包括關鍵的應用程序和配置,以及支持業務流程所需的所有技術。最重要的是,備份還應該經過良好的測試。
以下是企業確保在受到勒索軟件攻擊后成功從備份中恢復的8個步驟。
1.保持備份隔離
根據全球企業級數據管理領域的行業領導者Veritas公司在去年發布的一份調查報告,只有36%的企業擁有三份或更多數據副本,其中至少包括一份異地存儲數據副本。在備份和生產環境之間保有“空間”對于使其免受勒索軟件和其他災難的侵害至關重要。
技術咨詢服務商MoxFive公司負責技術咨詢服務的副總裁Jeff Palat說:“我們確實看到一些客戶有內部部署備份,也有基于云的備份。但在理想情況下,如果企業同時擁有這兩種備份,通常不會級聯。如果將加密文件寫入內部部署備份解決方案,然后復制到云平臺中,這對企業沒有任何好處。”
一些基于云計算的平臺將版本控制作為產品的一部分,無需額外成本。例如,Office365、Google Docs和iDrive等在線備份系統會保留所有以前版本的文件,而不會覆蓋它們。即使遭遇勒索軟件攻擊但備份了加密文件,備份過程也只是添加了一個新的損壞版本的文件,但不會覆蓋已經存在的原有備份。
保存文件連續增量備份的技術也意味著在勒索軟件攻擊時不會丟失數據。只需返回到攻擊前文件的最后一個良好版本即可。
2.使用一次寫入存儲技術
另一種保護備份的方法是使用無法覆蓋的存儲技術,例如使用物理一次寫入多次讀取(WORM)技術或允許寫入但不更改數據的虛擬等效技術。這確實增加了備份成本,因為它需要更多的存儲空間。某些備份技術只保存更改和更新的文件,或使用其他重復數據刪除技術來防止存檔中具有相同內容的多個副本。
3.保留多種類型的備份
Palatt說,“在許多情況下,企業沒有足夠的存儲空間或能力來長期保存備份。例如在一個案例中,我們的客戶有三天的數據備份,其中前兩天被覆蓋,但第三天仍然可行。如果遭到勒索軟件攻擊,那么所有三天的備份數據都可能被破壞。”
Palatt建議企業保留不同類型的備份,例如將計劃的完整備份與更頻繁計劃的增量備份相結合。
4.保護備份目錄
除了保護備份文件本身免受網絡攻擊者的攻擊外,企業還應確保其數據目錄是安全的。“大多數復雜的勒索軟件攻擊都針對備份目錄進行攻擊,而不是大多數人認為的備份介質、備份磁帶或磁盤。”安永公司基礎設施和服務彈性領導者Amr Ahmed說。
該目錄包含備份的所有元數據、索引、磁帶的條形碼、磁盤上數據內容的完整路徑等。Ahmed說,“如果沒有目錄,企業的備份媒體將無法使用,其恢復將非常困難或不切實際。企業需要確保他們擁有完善的備份解決方案,其中包括對備份目錄的保護,例如氣隙。”
5.備份所有需要備份的東西
阿拉斯加科迪亞克島行政區在2016年被勒索軟件攻擊時,該市有大約36臺服務器和45臺員工使用的電腦受到攻擊。負責恢復工作的IT主管Paul VanDyke表示,雖然所有服務器均已備份,但有一臺服務器的數據被勒索軟件劫持。
按照當今的標準,當時網絡攻擊者勒索的贖金金額并不大,只有半個比特幣,當時價值259美元。他支付了贖金,但只使用了那臺服務器上的解密密鑰,因為他不相信在網絡攻擊者的幫助下恢復系統的完整性。他說,“我認為服務器中的數據不會受到影響。”
大型企業也存在確保需要備份的所有內容都得到實際備份的問題。根據Veritas公司的調查,IT專業人士估計,在數據完全丟失的情況下,他們無法恢復大概20%的數據。這是因為很多企業都存在影子IT問題。
Critical Start公司首席技術官Randy Watkins說,“一些員工試圖以最方便、最有效的方式完成工作。在通常情況下,這意味著一些員工采用影子IT開展工作。”
Watkins說,“當關鍵數據存放在某個后臺的服務器上時,尤其是當這些數據用于內部流程時,企業可以做的只有防止數據丟失。當涉及到生產時,它通常會在某個地方引起企業IT部門的關注,例如采用新的應用程序或提供新的創收服務。”
他表示,并非所有系統都可以被IT部門輕松找到對其進行備份,在遭遇勒索軟件攻擊之后,突然間所有的數據可能丟失。Watkins建議企業對其所有系統和數據資產進行徹底調查。這通常會涉及每個職能部門的領導者,他們需要向員工索取需要保護的所有關鍵系統和數據的列表。
Watkins說,在通常情況下,IT部門會發現員工將一些數據存儲在不應該存儲的地方,例如支付數據存儲在員工自己的筆記本電腦上。因此,備份項目通常會與數據丟失防護項目同時運行。
6.備份整個業務流程
勒索軟件不僅僅影響數據文件。網絡攻擊者知道他們可以關閉的業務功能越多,受害者支付贖金的可能性就越大。自然災害、硬件故障和網絡中斷也促使企業備份整個業務流程。
在遭受勒索軟件攻擊后,科迪亞克島政府的IT主管VanDyke不得不重新設置所有服務器和個人電腦,有時包括下載和重新安裝軟件以及重新配置。因此,恢復這些服務器花費了一周時間,而恢復員工個人電腦也花費了一周時間。此外,VanDyke只有三臺備用服務器來進行恢復,因此來回交換數據的次數很多,如果采用更多的服務器,這個過程可能會更快。
安永公司網絡安全負責人Dave Burg表示,業務流程就像管弦樂隊一樣運作。他說,“管弦樂隊的不同部分發出不同的聲音,如果它們彼此沒有合理的順序,人們聽到的就是噪音。”
只備份數據而不備份所有軟件、組件、依賴項、配置、網絡設置、監控和安全工具以及業務流程工作所需的所有其他內容,可能會使災難恢復極具挑戰性。很多企業往往低估了這一挑戰。
Burg說,“由于缺乏對技術基礎設施和互連的了解,企業可能會對技術如何真正發揮作用以促進業務的了解不足。”
Burg表示,企業在遭遇勒索軟件攻擊之后,面臨最大的基礎設施恢復挑戰通常涉及重建Active Directory和重建配置管理數據庫功能。在過去,如果企業想要對其系統進行完整備份,而不只是數據備份,則會構建其整個基礎設施的工作副本,也就是災難恢復站點。當然,這樣做會使基礎設施成本成倍增加,這讓許多企業望而卻步。
如今,云計算基礎設施可用于創建虛擬備份數據中心。如果一家企業已經將業務在云中運行,在不同的可用性區域或不同的云中設置備份是一個更簡單的過程。Burg說,“這些基于云的熱插拔架構是可用的、具有成本效益的、安全的,并且具有很大的發展前景。”
7.使用熱容災備份站點和自動化來加速恢復速度
Veritas公司表示,只有33%的IT主管認為他們可以在五天內從勒索軟件攻擊中恢復。Watkins說,“我知道一些企業在磁帶備份投入很多資金,然后把磁帶運送到安全廠商進行恢復處理,他們沒有時間等待一個小時來取回磁帶,那更不會等待17天來恢復它們。”
采用熱容災備份站點,一鍵切換即可使用,可以解決恢復時間問題。如今有了基于云的基礎設施,可以更快地實施災難恢復。
Watkins說,“這個過程很簡單,企業可以有一個腳本來復制基礎設施,并在另一個可用性區域提供支持。然后采用自動化技術,以便進行災難恢復。如果沒有恢復時間,只需10或15分鐘即可打開它。如果需要進行測試,這可能需要一天的時間。”
為什么沒有更多的企業這樣做?Watkins表示,主要的原因是初始設置的成本很高,還需要企業具有內部專業知識、自動化專業知識和計算專業知識。此外還需要提前設置安全控制之類的東西。”
還有一些遺留系統不會轉移到云中。Watkins以石油和天然氣控制系統作為無法在云中復制為例。
他表示,在大多數情況下,設置備份基礎設施的初始成本應該是一個有爭議的問題。他說,“企業建立基礎設施的成本遠低于支付勒索軟件和處理聲譽損失的成本。”
Omdia公司數據安全首席分析師Tanner Johnson建議,對于在這方面陷入困境的企業,一種方法可能是首先關注最關鍵的業務流程。他說,“就像不會采用一百萬美元的鎖來保護一千美元的資產一樣,這樣做得不償失。企業先要定義對其來說最重要的資產,為其安全團隊建立一個層次結構和優先級。”
Johnson表示,積極投資網絡安全存在文化障礙。網絡安全最終被視為一種投資,預防勝于治療。
8.測試,測試,再測試
根據Veritas公司的調查,39%的企業最近一次測試他們的災難恢復計劃是在三個多月前,或者根本沒有測試過。凱捷公司云計算基礎設施服務高級交付經理Mike Golden說:“很多人從備份的角度而不是恢復的角度來處理備份。企業可以全天候地進行備份,但如果不測試災難恢復,將會面臨一些問題。”
Golden表示,這就是很多企業出錯的地方。他說,“他們通常在備份之后并沒有測試。例如,他們不知道下載備份需要多長時間,因為還沒有對其進行測試。在它發生之前,可能不知道可能出錯。”
需要測試的不僅是技術,還有人員。Golden說,“一些員工不知道一些注意事項,或者沒有對他們的流程進行定期審計,以確保員工遵守安全策略。”
Golden表示,當人們遵循所需的備份流程并知道他們在災難恢復情況下需要做什么時,其做法應該是“信任但要驗證。”
