今年有数起重大的勒索软件爆发,未来还会有更多。一旦感染勒索软件,从备份中恢复是重启业务运营的最佳方案。
备份厂商极力宣传他们的产品是如何帮助客户从勒索软件中恢复过来的。而实际情况却是,大多数客户只是简单地舍弃被勒索软件感染的数据:然后从原本的备份中恢复。一些年轻的备份企业对此有不同想法,特别当他们能够深入了解存储在备份中的数据时。
预防勒索软件感染的第一道防线绝非备份软件,我们使用病毒防护与网络安全产品,目的是隔离具有威胁性的网络。当感染进入你的网络后,备份才开始真正发挥作用。没有任何备份软件可以预防感染。方案中所包含的检测工具是用以识别和阻断感染的,这也是从勒索软件开始恢复,加载备份之前的必要步骤。
我们所面临的挑战在于,知道勒索软件通过我们未知或没有修复的漏洞,已经突破了外围防线;更严重的问题是勒索软件可能已经感染了备份数据,删除或加密都不起作用,使恢复操作难以实现。
备份软件可以提供哪些帮助
备份软件是数据的管理者,同时它会检测数据中发生的异常变化。当有大量数据被感染或删除时,系统会识别到这种不寻常的变化,因为这会在备份运行时转化为大量的更改信息或元数据。
检测到数据发生异常变化的备份软件可以向操作员或管理团队发出报警。Unitrends便是如此,并且当备份的配置文件与平时相去甚远时,它会通知特定人员。
还有其它一些备份产品也在得到分析能力,有些可能可以深入认识勒索软件。 Zerto 5.5版本中便拥有分析功能,Cohesity则具有一个可以跨备份池运行的数据分析平台。
希望我们很快会看到这些预先设置,用于分析检测勒索软件的平台。报警机制很好,如果能配合些许自动响应机制将会有更佳的效果。在发现感染时,提升备份频率,减少潜在的数据丢失可以有助于从勒索软件中恢复。当检测到恢复到正常的数据变更频率时,代表着感染已经被清除,这时的通知同样有用,代表着此刻之后的备份便是安全可用的了。
恢复过程中的建议
即便备份软件在检测感染方面没有起到作用,但从勒索软件恢复的过程中其仍扮演着至关重要的角色。我们已经知道备份是需要受到保护的,无论是通过脱机还是严格的安全措施,从而杜绝其被勒索软件感染加密。使用非Windows域的专用存储设备,甚至云端服务可以有所帮助。
Veeam便推荐使用Hewlett Packard Enterprise或Dell等私有化的备份设备技术,而非Windows文件共享的方式。
Rubrik拥有自己的备份设备,与其它设备一样,在定制化的存储群集上使用重复数据删除存储。重复数据删除的存储可以支持备份更长时间的数据,并防止对这些备份的篡改。每个备份都是指向唯一数据块的指针集合,而非整个数据集合。定制化存储意味着它不是Windows架构,或与Windows系统共享,因而不会受到针对Windows的感染。
主存储在此之中亦发挥着作用,特别是当存储系统可以感知上面运行的虚拟机,支持对虚拟机进行基于阵列的快照。主存储通常位于单独的网络上,很少使用Windows共享。
在发生勒索软件攻击后,许多备份产品只是单纯帮助你从上次的备份中恢复数据。勒索软件是一种非典型的信息受损,受感染的组织会需要使用一些更为复杂的工具。
少数备份产品具有不同程度应对勒索软件的功能特性。这些产品可以帮助客户从勒索软件中进行快速恢复。随着不断有新的勒索软件感染事件的出现,我们应该会看到更多备份厂商带来更加丰富的功能。
