事实表明,从勒索软件攻击中恢复的最佳方法是拥有可靠且快速的备份过程。
根据安全服务商Keeper Security公司在今年6月发布的一份勒索软件调查报告,49%的遭遇勒索软件攻击的企业向攻击者支付了赎金,另有22%的企业拒绝透露是否支付了赎金。其部分原因是缺乏备份——特别是缺乏可用的备份。
企业的备份必须不受恶意软件的侵害,并且能够快速轻松地恢复。而备份不仅包括重要的文件和数据库,还包括关键的应用程序和配置,以及支持业务流程所需的所有技术。最重要的是,备份还应该经过良好的测试。
以下是企业确保在受到勒索软件攻击后成功从备份中恢复的8个步骤。
1.保持备份隔离
根据全球企业级数据管理领域的行业领导者Veritas公司在去年发布的一份调查报告,只有36%的企业拥有三份或更多数据副本,其中至少包括一份异地存储数据副本。在备份和生产环境之间保有“空间”对于使其免受勒索软件和其他灾难的侵害至关重要。
技术咨询服务商MoxFive公司负责技术咨询服务的副总裁Jeff Palat说:“我们确实看到一些客户有内部部署备份,也有基于云的备份。但在理想情况下,如果企业同时拥有这两种备份,通常不会级联。如果将加密文件写入内部部署备份解决方案,然后复制到云平台中,这对企业没有任何好处。”
一些基于云计算的平台将版本控制作为产品的一部分,无需额外成本。例如,Office365、Google Docs和iDrive等在线备份系统会保留所有以前版本的文件,而不会覆盖它们。即使遭遇勒索软件攻击但备份了加密文件,备份过程也只是添加了一个新的损坏版本的文件,但不会覆盖已经存在的原有备份。
保存文件连续增量备份的技术也意味着在勒索软件攻击时不会丢失数据。只需返回到攻击前文件的最后一个良好版本即可。
2.使用一次写入存储技术
另一种保护备份的方法是使用无法覆盖的存储技术,例如使用物理一次写入多次读取(WORM)技术或允许写入但不更改数据的虚拟等效技术。这确实增加了备份成本,因为它需要更多的存储空间。某些备份技术只保存更改和更新的文件,或使用其他重复数据删除技术来防止存档中具有相同内容的多个副本。
3.保留多种类型的备份
Palatt说,“在许多情况下,企业没有足够的存储空间或能力来长期保存备份。例如在一个案例中,我们的客户有三天的数据备份,其中前两天被覆盖,但第三天仍然可行。如果遭到勒索软件攻击,那么所有三天的备份数据都可能被破坏。”
Palatt建议企业保留不同类型的备份,例如将计划的完整备份与更频繁计划的增量备份相结合。
4.保护备份目录
除了保护备份文件本身免受网络攻击者的攻击外,企业还应确保其数据目录是安全的。“大多数复杂的勒索软件攻击都针对备份目录进行攻击,而不是大多数人认为的备份介质、备份磁带或磁盘。”安永公司基础设施和服务弹性领导者Amr Ahmed说。
该目录包含备份的所有元数据、索引、磁带的条形码、磁盘上数据内容的完整路径等。Ahmed说,“如果没有目录,企业的备份媒体将无法使用,其恢复将非常困难或不切实际。企业需要确保他们拥有完善的备份解决方案,其中包括对备份目录的保护,例如气隙。”
5.备份所有需要备份的东西
阿拉斯加科迪亚克岛行政区在2016年被勒索软件攻击时,该市有大约36台服务器和45台员工使用的电脑受到攻击。负责恢复工作的IT主管Paul VanDyke表示,虽然所有服务器均已备份,但有一台服务器的数据被勒索软件劫持。
按照当今的标准,当时网络攻击者勒索的赎金金额并不大,只有半个比特币,当时价值259美元。他支付了赎金,但只使用了那台服务器上的解密密钥,因为他不相信在网络攻击者的帮助下恢复系统的完整性。他说,“我认为服务器中的数据不会受到影响。”
大型企业也存在确保需要备份的所有内容都得到实际备份的问题。根据Veritas公司的调查,IT专业人士估计,在数据完全丢失的情况下,他们无法恢复大概20%的数据。这是因为很多企业都存在影子IT问题。
Critical Start公司首席技术官Randy Watkins说,“一些员工试图以最方便、最有效的方式完成工作。在通常情况下,这意味着一些员工采用影子IT开展工作。”
Watkins说,“当关键数据存放在某个后台的服务器上时,尤其是当这些数据用于内部流程时,企业可以做的只有防止数据丢失。当涉及到生产时,它通常会在某个地方引起企业IT部门的关注,例如采用新的应用程序或提供新的创收服务。”
他表示,并非所有系统都可以被IT部门轻松找到对其进行备份,在遭遇勒索软件攻击之后,突然间所有的数据可能丢失。Watkins建议企业对其所有系统和数据资产进行彻底调查。这通常会涉及每个职能部门的领导者,他们需要向员工索取需要保护的所有关键系统和数据的列表。
Watkins说,在通常情况下,IT部门会发现员工将一些数据存储在不应该存储的地方,例如支付数据存储在员工自己的笔记本电脑上。因此,备份项目通常会与数据丢失防护项目同时运行。
6.备份整个业务流程
勒索软件不仅仅影响数据文件。网络攻击者知道他们可以关闭的业务功能越多,受害者支付赎金的可能性就越大。自然灾害、硬件故障和网络中断也促使企业备份整个业务流程。
在遭受勒索软件攻击后,科迪亚克岛政府的IT主管VanDyke不得不重新设置所有服务器和个人电脑,有时包括下载和重新安装软件以及重新配置。因此,恢复这些服务器花费了一周时间,而恢复员工个人电脑也花费了一周时间。此外,VanDyke只有三台备用服务器来进行恢复,因此来回交换数据的次数很多,如果采用更多的服务器,这个过程可能会更快。
安永公司网络安全负责人Dave Burg表示,业务流程就像管弦乐队一样运作。他说,“管弦乐队的不同部分发出不同的声音,如果它们彼此没有合理的顺序,人们听到的就是噪音。”
只备份数据而不备份所有软件、组件、依赖项、配置、网络设置、监控和安全工具以及业务流程工作所需的所有其他内容,可能会使灾难恢复极具挑战性。很多企业往往低估了这一挑战。
Burg说,“由于缺乏对技术基础设施和互连的了解,企业可能会对技术如何真正发挥作用以促进业务的了解不足。”
Burg表示,企业在遭遇勒索软件攻击之后,面临最大的基础设施恢复挑战通常涉及重建Active Directory和重建配置管理数据库功能。在过去,如果企业想要对其系统进行完整备份,而不只是数据备份,则会构建其整个基础设施的工作副本,也就是灾难恢复站点。当然,这样做会使基础设施成本成倍增加,这让许多企业望而却步。
如今,云计算基础设施可用于创建虚拟备份数据中心。如果一家企业已经将业务在云中运行,在不同的可用性区域或不同的云中设置备份是一个更简单的过程。Burg说,“这些基于云的热插拔架构是可用的、具有成本效益的、安全的,并且具有很大的发展前景。”
7.使用热容灾备份站点和自动化来加速恢复速度
Veritas公司表示,只有33%的IT主管认为他们可以在五天内从勒索软件攻击中恢复。Watkins说,“我知道一些企业在磁带备份投入很多资金,然后把磁带运送到安全厂商进行恢复处理,他们没有时间等待一个小时来取回磁带,那更不会等待17天来恢复它们。”
采用热容灾备份站点,一键切换即可使用,可以解决恢复时间问题。如今有了基于云的基础设施,可以更快地实施灾难恢复。
Watkins说,“这个过程很简单,企业可以有一个脚本来复制基础设施,并在另一个可用性区域提供支持。然后采用自动化技术,以便进行灾难恢复。如果没有恢复时间,只需10或15分钟即可打开它。如果需要进行测试,这可能需要一天的时间。”
为什么没有更多的企业这样做?Watkins表示,主要的原因是初始设置的成本很高,还需要企业具有内部专业知识、自动化专业知识和计算专业知识。此外还需要提前设置安全控制之类的东西。”
还有一些遗留系统不会转移到云中。Watkins以石油和天然气控制系统作为无法在云中复制为例。
他表示,在大多数情况下,设置备份基础设施的初始成本应该是一个有争议的问题。他说,“企业建立基础设施的成本远低于支付勒索软件和处理声誉损失的成本。”
Omdia公司数据安全首席分析师Tanner Johnson建议,对于在这方面陷入困境的企业,一种方法可能是首先关注最关键的业务流程。他说,“就像不会采用一百万美元的锁来保护一千美元的资产一样,这样做得不偿失。企业先要定义对其来说最重要的资产,为其安全团队建立一个层次结构和优先级。”
Johnson表示,积极投资网络安全存在文化障碍。网络安全最终被视为一种投资,预防胜于治疗。
8.测试,测试,再测试
根据Veritas公司的调查,39%的企业最近一次测试他们的灾难恢复计划是在三个多月前,或者根本没有测试过。凯捷公司云计算基础设施服务高级交付经理Mike Golden说:“很多人从备份的角度而不是恢复的角度来处理备份。企业可以全天候地进行备份,但如果不测试灾难恢复,将会面临一些问题。”
Golden表示,这就是很多企业出错的地方。他说,“他们通常在备份之后并没有测试。例如,他们不知道下载备份需要多长时间,因为还没有对其进行测试。在它发生之前,可能不知道可能出错。”
需要测试的不仅是技术,还有人员。Golden说,“一些员工不知道一些注意事项,或者没有对他们的流程进行定期审计,以确保员工遵守安全策略。”
Golden表示,当人们遵循所需的备份流程并知道他们在灾难恢复情况下需要做什么时,其做法应该是“信任但要验证。”