在2004年国信办发布的《关于做好重要信息系统灾难备份工作的通知》,强调了重要信息系统灾难备份建设工作要坚持“统筹规划、资源共享、平战结合”的原则,充分调动和发挥各方面的积极性,提高抵御灾难破坏能力和灾难恢复能力。
灾难备份建设要统筹规划、合理布局,突出重点,避免重复建设。要从实际需求出发,组织有关机构和专家针对信息系统的安全威胁、脆弱性、防护措施有效性等进行分析评估,根据信息系统的重要性、面临的风险大小、业务中断所带来的损失等因素,综合平衡安全成本和风险,确定灾难备份建设等级,选择合适的灾难备份方案,严防不顾实际需求,一哄而上。
图片
我们很多关于信息安全的工作,一定程度上以《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称《意见》)作为我们的遵循,所以信息(网络)安全的灾备工作其实国家层面是一早就做好了顶层设计了,而随着信息化发展,网络安全不断复杂化,灾备在今天显得尤为重要,当网络安全威胁到今天,我们不得不面对可能得勒索软件攻击,而备份作为网络安全最后一道防线,能否扛得住勒索软件攻击,是我们关心的重要议题之一。
备份是任何可靠的反勒索软件策略的重要组成部分。事实上,研究表明,使用备份的勒索软件受害者的恢复成本中位数是支付赎金的受害者的一半。但并非所有数据备份方法都是一样的。
另一份报告发现,在 93% 的勒索软件事件中,威胁行为者会主动瞄准备份存储库。这导致 75% 的受害者在攻击期间至少丢失部分备份,并且超过三分之一 (39%) 的备份存储库完全丢失。
是什么让一种备份策略比另一种更好?它从不变性开始,但故事还有更多内容。
勒索软件继续造成严重破坏
根据最近的国外Veeam 勒索软件趋势报告,85% 的组织在过去 12 个月内至少遭受过一次网络攻击。该报告调查了 1,200 名 IT 领导者,他们的组织在 2022 年至少遭受过一次勒索软件攻击。参与者包括来自亚太及日本地区、欧洲、中东和非洲以及美洲 14 个不同国家的各种规模的公司。
该研究中最值得注意的发现之一是团队领导者敏锐地意识到 IT 备份团队和安全团队之间的脱节。事实上,70% 的备份管理员和 59% 的安全专业人员认为团队一致性需要“重大改进”或“彻底改革”。
为什么这些团队会感觉到巨大的一致性差距?原因之一可能是只有 16% 的调查受访者表示他们取回了数据并避免支付赎金。此外,21% 的人支付了赎金,但从未恢复过数据。与此同时,59% 的人支付了赎金以取回数据。
受影响的备份存储库
根据该报告,到 2022 年,恶意行为者至少有 93% 的攻击以备份为目标。75% 的攻击中,对手成功渗透了备份存储库。根据研究数据,Veeam 得出了以下令人震惊的结论:
- 备份存储库有 75% 的可能性会受到网络攻击的影响
- 受影响时,39% 的存储库将变得无法使用
- 近三分之一 (29%) 的数据恢复尝试不可行。
图片
与此同时,调查受访者估计,他们平均需要 3.3 周的时间才能认为康复工作已完成。现实情况是,一些恢复工作可能会持续数月。
使数据可恢复
不到 25% 的勒索软件受害者表示攻击并未影响他们的备份存储库。根据 Veeam 的说法,这些组织实现这种级别的备份保护的方式始于不变性或网闸。
对于不变性,82% 的受访者使用不可变云,64% 使用不可变磁盘。不可变云备份是指在指定时间内备份数据无法修改、更改或删除的备份策略。它确保备份数据保持完整且防篡改,防止意外或恶意更改。严格的访问控制和写保护机制可以帮助防止对备份文件的修改。
网闸可以将计算机或网络与不安全或可能受到威胁的网络隔离。涉及从物理上断开系统或网络与任何外部连接(例如互联网或其他网络)的连接。隔离系统或网络会形成一道屏障,使攻击者难以渗透或泄露数据。这意味着将备份数据存储在独立的离线存储介质上,例如外部硬盘驱动器、磁带或光盘。
即使数据备份没有丢失,但如果被污染怎么办?Veeam 报告还指出,即使使用了不变性工具,56% 的组织在恢复过程中也面临着再次感染的风险。
数据备份不变性加扫描
不可变数据备份支持创建具有网络弹性的时间点数据副本,副本无法因用户错误、恶意操作或勒索软件攻击而更改或删除。不变性可以将备份副本与生产数据隔离,因此如果发生网络攻击,可以快速从副本中恢复数据。
真正全面的数据不变性还会自动扫描数据副本,以查找恶意软件或勒索软件引起的损坏迹象。扫描可以帮助在勒索软件攻击发起后立即识别它。数据扫描还可以识别未受攻击影响的数据副本。有了这些信息,备份团队就可以快速识别正在进行的攻击并恢复干净的数据副本。
数据不变性和扫描还可以帮助 IT 人员执行事件评估所需的取证分析。在此基础上,团队可以制定最佳恢复计划并确定文件、数据库或整个系统的恢复范围。
减少违规时间和影响
Veeam 报告强调了这样一个事实:数据备份只是可靠的网络弹性计划的一部分。事实上,强大的备份框架有四个关键要素:
- 数据复制不变性:这会创建无法更改或删除(不可变)的活动生产数据的安全、时间点副本或快照。数据副本通常是在与生产环境不同的存储环境中创建的。
- 主动监控:利用多种数据源以及分析工具和技术检测恶意模式。这包括访问日志、启发式、与其他系统的日志(例如网络日志或服务器日志)的关联、网络流和数据包数据。
- 数据副本的测试/验证:主动检测数据损坏或确保在执行任何进一步操作之前副本已验证干净。
- 快速恢复:包括对问题进行取证调查,以确定识别攻击原因和范围所需的恢复操作、工具和程序。恢复工具从备份副本中提取数据并逻辑地将其恢复到生产环境。如果出现有意或无意的数据丢失,此操作对于将数据、文件或系统恢复到生产用途至关重要。
真正有效的数据备份
如果组织要投资备份策略,应该是完全不可变的,并且能够从攻击中快速恢复。数据扫描和监控是这个方程的关键部分。任何数据污染都应该是可检测的,这使得违规解决更快、更容易。这样,就可以更快地启动和运行运营,有时甚至在几小时内而不是几周内。
有效的备份,自是安全可靠的保障,无效的备份,只是一堆设备的空耗,浪费人力与金钱的同时,增加了风险。