依据国外媒体 Keeper Security 在 6 月公布的勒索软件调查报告,49% 的勒索软件公司领取了赎金,另有 22% 的公司回绝走漏是否领取了赎金。局部起因在于短少备份。
在企业经营过程中备份必须平安,不受恶意软件的侵害,疾速且易于复原,不仅包含重要文件和数据库,还包含要害应用程序、配置以及反对整个业务流程所需的所有技术。最重要的是,备份应通过良好测试。
以下是八个步骤,以确保在勒索软件攻打后从备份中胜利复原。
- 将备份隔离
依据去年秋天颁布的一项考察,只有 36% 的公司领有三份或三份以上的数据,包含至多一份非现场数据。在备份和生产环境之间放弃 ” 空气间隙 ” 对于避免勒索软件和其余劫难至关重要。
咱们的确看到,咱们的一些客户领有本人经营的准备份,以及基于云的备份。但现实状况下,如果有人同时领有两者,它们就不会级联。如果加密文件被写入本地备份解决方案,而后被复制到云中,则对您没有任何益处。
一些基于云的平台将版本作为产品的一部分,无需额定付费。例如,Office、百度文档和在线备份零碎保留所有以前版本的文件,而不会笼罩它们。即便勒索软件罢工,加密文件被备份,备份过程只是减少了一个新的,损坏的文件版本,它不会笼罩曾经存在的旧备份。
保留文件间断增量备份的技术也意味着勒索软件命中时不会失落数据。你只有回到攻打前文件的最初一个好版本。
- 应用一次写入存储技术
爱护备份的另一种办法是应用无奈写入的存储。应用物理写一次读取多(WORM)技术或虚构等价物,容许编写数据但未更改。这的确减少了备份的老本,因为它须要大量的存储空间。某些备份技术仅保留已更改和更新的文件,或应用其余反复技术来避免存档中蕴含同一事物的多个正本。
- 保留多种类型的备份
在许多状况下,企业没有存储空间或能力长期保留备份,,在一个案例中,客户有三天的备份。两个被笼罩,但第三天依然是可行的。如果勒索软件曾经击中,比如说,一个长假周末,那么所有三天的备份都可能被销毁。
九河互联倡议公司保留不同类型的备份,例如一个时间表上的残缺备份,以及更频繁的时间表上的增量备份。
- 爱护备份目录
除了爱护备份文件自身免受攻击者的攻打外,公司还应确保其数据目录是平安的。大多数简单的勒索软件攻打都针对的是备份目录,而不是大多数人认为的理论备份媒体、备份磁带或磁盘。
此目录蕴含备份的所有元数据、索引、磁带的条形码、磁盘上数据内容的残缺门路等。没有目录,备份媒体将无奈应用。没有复原将是极其艰难的或不切实际的。企业须要确保他们已到位的备份解决方案,其中包含备份目录的爱护,如空隙。
- 备件所有须要备件的货色
2016 年,当阿拉斯加的科迪亚克岛 Borough 受到勒索软件攻打时,该市领有大概 30 台服务器和 45 台员工 PC。负责复原工作的 IT 主管保罗·范戴克说,所有人员都失去了反对。所有服务器都备备,即除一台服务器外。
以明天的规范来看,赎金需要很小,只有半个比特币,过后价值 259 美元。他领取了赎金,但只应用了该服务器上的解密密键,因为他不置信在攻击者的帮忙下复原的零碎的完整性。
较大的组织在确保须要备份的所有内容都失去理论备份时也存在问题。依据 Veritas 的考察,业余人员预计,如果呈现残缺的数据失落,他们均匀无奈复原 20% 的数据。这并没有帮忙,许多公司,如果不是所有的公司,有一个问题与影子 IT。
当要害数据位于某处后壁橱的服务器上时,公司只能做很多工作来避免损失,特地是如果数据用于外部流程。
并非所有的零碎都能够通过 IT 轻松找到,以便进行备退。勒索软件命中,而后忽然事件不再工作。九河互联倡议公司对其所有零碎和资产进行彻底考察。这通常波及每个职能的领导者,以便他们能够向员工询问须要爱护的所有要害零碎和数据的列表。
通常,公司会发现,货色存储在不该存储的中央,例如存储在员工笔记本电脑上的付款数据。因而,备份我的项目通常会与数据失落预防我的项目同时运行。
- 备件整个业务流程
勒索软件不仅影响数据文件。攻击者晓得,他们可能敞开的业务性能越多,公司领取赎金的可能性就越大。自然灾害、硬件故障和网络中断也没有区别。
在它们受到勒索软件的打击后,不得不重建所有服务器和个人电脑,有时包含下载和重新安装软件以及重做所有配置。因而,复原服务器须要一周工夫,而复原 PC 须要一周工夫。此外,他只有三台备用服务器能够进行复原,所以有很多来回切换,他说。有了更多的服务器,这个过程可能会走得更快。
商业流程就像一个管弦乐队。你有不同的管弦乐队成员收回不同的声音,如果他们不按程序彼此,你听到的是乐音。
只需备份数据而不备份所有软件、组件、依赖项、配置、网络设置、监控和平安工具,以及业务流程所需的所有工作,即可使复原变得极具挑战性。公司往往低估了这一挑战。
对技术基础设施和互连不足理解,对技术如何真正发挥作用以使业务实现理解有余。
勒索软件攻打后最大的基础设施复原挑战通常波及重建流动目录和重建配置管理数据库性能。过来,如果一家公司想要全面备份其零碎,而不仅仅是数据,它将构建其整个基础设施(劫难复原站点)的工作正本。当然,这样做会使基础设施老本翻倍,使许多企业的老本高得令人望而生畏。
现在,云基础设施可用于创立虚构备份数据中心,而应用这些数据中心只需破费大量资金。如果公司曾经在云中,则在不同的可用性区域或不同的云中设置备份是一个更简略的过程。这些基于云的热交换架构是可用的、经济高效的、平安的,并且有很大的心愿。
- 应用热灾复原站点和自动化来放慢复原速度
依据 Veritas 的数据,只有 33% 的 IT 主管认为他们能够在五天内从勒索软件攻打中恢复过来。咱们晓得一些公司花了很多钱在磁带上,并把它们送到铁山。他们没有工夫等一个小时能力找回磁带,也没有工夫花 17 天工夫复原磁带。
一个热点站点,一个在钥匙开关时可用的网站,能够解决复原工夫问题。对于当今基于云的基础设施,没有理由没有。
能够有一个脚本来复制您的基础设施,并在其余可用性区或其余提供商中齐全站立。而后让自动化筹备好去,让你打施展。没有复原工夫,只需 10 或 15 分钟关上它。如果你通过测试,兴许一整天。
为什么没有更多的公司这样做?
首先,最后的设置须要付出微小的代价。那么,须要外部专业知识、自动化专业知识和云专业知识,而后,您须要提前设置安全控制。
还有一些旧零碎不会传输到云中。石油和天然气控制器是云中无奈复制的一个例子。
在大多数状况下,建设备用基础设施的初始老本应该是一个有争议的问题。建设基础设施的老本远远低于领取勒索软件和解决名誉侵害。
对于正为此苦苦挣扎的公司来说,一种办法可能是首先关注最要害的业务流程。你不想买一把百万美元的锁来爱护一千美元的资产,定义你的皇冠上的宝石是什么。为您的平安团队建设层次结构和优先级。
被动投资网络安全存在文化阻碍。咱们是一个革命的社会,但网络安全终于被看到,它是什么:投资。一盎司的预防是值得一磅的医治。
- 再次测试、测试和测试
依据 Veritas 的数据,39% 的公司最初一次测试他们的灾后复原打算是在 3 个多月前,或者基本没有测试过。很多人正在从备份的角度,而不是从复原的角度来解决备份。你能够终日备队,但如果你不测试你的复原,你不测试你的劫难复原,你只是让本人面临问题。
这是很多公司出错的中央。他们反对它,而后走开,没有测试它。例如,他们不晓得备份下载须要多长时间,因为他们尚未测试过备份。在事件产生之前,你不晓得所有可能出错的小事,
须要测试的不仅仅是技术,还有人为因素。人们不晓得他们不晓得什么,或者,没有定期审核他们的流程,以确保人们恪守政策。
当波及到人们遵循所需的备份流程,并晓得他们在劫难复原状况下须要做什么时,口头禅应该是 ” 信赖但验证 ”。