勒索软件正成为对数据的头号威胁,这使得确保不良分子在执行勒索软件攻击时不会将您的备份数据和您的主要数据一起加密至关重要。如果他们成功了,你将别无选择,只能支付赎金,这将鼓励他们再次尝试。
不必支付赎金的关键是拥有备份以还原勒索软件已加密的系统。保护这些备份免受勒索软件攻击的关键是在生产系统和备份系统之间设置尽可能多的障碍。无论做什么,请确保备份的唯一副本不是简单地位于要保护的同一数据中心的Windows服务器上的目录中。
保护Windows
大多数勒索软件攻击是针对Windows主机的,一旦单个主机被感染,它们就会传播到计算环境中的其他Windows主机上。一旦勒索软件扩散到足够多的主机,攻击者就会激活加密程序。因此,最明智的做法是使用Windows以外的其他工具作为备份服务器。
不幸的是,许多流行的备份产品主要在Windows上运行。好消息是,其中许多还提供了Linux替代方案。即使主备份软件必须在Windows上运行,它也可能具有Linux介质服务器选项。介质服务器是关键,因为这就是您要保护的数据所在的位置。如果只能通过基于Linux的媒体服务器访问您的备份,则针对Windows服务器的勒索软件攻击将无法对其进行攻击。
除了将常规备份存储在基于Linux的媒体服务器后面之外,请确保主备份服务器的备份也存储在其中。如果访问那些备份所需的数据库已被勒索软件加密,那么对备份进行未加密将无济于事。
您还应该尽可能加强基于Windows的备份服务器。了解勒索软件用于攻击服务器(例如RDP)的服务并尽可能多的关闭它们。一定要记住,该服务器是您的最后一道防线,因此请着重考虑安全性,而不是便利性。
从数据中心获取备份
无论选择哪种备份解决方案,都应将备份副本存储在其他位置。这意味着不仅仅是将备份服务器放置在云中的虚拟机中。如果从电子角度来看虚拟机具有与在数据中心内一样的可访问性,则攻击同样容易。您需要以一种方式进行配置,以使对数据中心系统的攻击无法传播到云中的备份系统。这可以通过多种方式来完成,包括防火墙规则,更改操作系统和存储协议。
例如,大多数云供应商提供对象存储,并且大多数备份软件产品和服务都可以写入对象存储。勒索软件攻击者可能很老练,但是到目前为止,还没有弄清楚如何攻击基于对象的存储中存储的备份。此外,此类提供程序通常提供一次写入,多次读取选项,这意味着您可以指定一个期限,在该期限内,即使授权人员也无法修改或删除备份。
还有一些备份服务可以将数据写入只能通过用户界面访问的数据到其存储中。如果您无法直接看到备份,则勒索软件也不会。
这样做的目的是使您的备份(或至少备份的一个副本)尽可能的远离受感染的Windows系统。将它们放置在受防火墙规则保护的提供商的云中,为备份服务器使用其他操作系统,并将备份写入其他类型的存储。
删除文件系统对备份的访问
如果您的备份系统正在将备份写入磁盘,请尽最大努力确保无法通过标准文件系统目录访问它们。例如,放置备份数据的最坏可能的位置是E:\ backups。勒索软件产品专门针对具有此类名称的目录,并将对备份进行加密。
这意味着您需要找出一种将那些备份存储在磁盘上的方式,以使操作系统不会将那些备份视为文件。例如,最常见的备份配置之一是备份服务器将其备份数据写入到目标重复数据删除阵列中,该目标重复数据删除阵列通过服务器消息块(SMB)或网络文件系统(NFS)安装到备份服务器上。如果勒索软件产品感染了该服务器,它将能够对该目标重复数据删除系统上的备份进行加密,因为可以通过目录访问这些备份。您需要研究允许备份产品在不使用SMB或NFS的情况下写入目标重复数据删除阵列的方法。所有流行的备份产品均具有此类选项。
利用磁带进行备份
当然我们还可以使用磁带进行备份,磁带真正擅长的一件事是将昨晚或上周的备份复制到另一种介质,然后发送到异地以防范勒索软件攻击。即使是最好的勒索软件产品也完全无法感染你的备份。有时,原始的方法往往是最好的方法。
设置一些障碍
不要让勒索软件轻易看到和加密你的备份。如果可能,不要将它们存储在Windows服务器上,至少要将一份拷贝存储在数据中心无法通过电子方式访问的地方。最后,以这样一种方式配置备份系统,使备份不能被视为备份服务器上的文件。