備份是當(dāng)遭遇數(shù)據(jù)加密勒索時(shí)最后的防線(xiàn)和控制方式,但是它們也需要保護(hù)。今年,勒索軟件在各行各業(yè)猖狂肆虐。主要的兩種攻擊WannaCry和NotPetya已造成數(shù)億美元的損失。自然,攻擊者也感受到其顯著的成效,還在快速增加通過(guò)勒索軟件實(shí)施攻擊。
良好備份和有效恢復(fù)
企業(yè)在面對(duì)勒索軟件時(shí)是除了是有選擇的,也應(yīng)當(dāng)主動(dòng)而非被動(dòng)。最可靠的防御方式就是堅(jiān)持良好備份和經(jīng)過(guò)可靠測(cè)試的恢復(fù)過(guò)程。定期備份數(shù)據(jù)的企業(yè),當(dāng)檢測(cè)到勒索軟件攻擊時(shí),就有機(jī)會(huì)能夠快速恢復(fù)數(shù)據(jù)并將破壞降至最低。
在某些特殊情況下,比如NotPetya等大規(guī)模勒索軟件模仿Petya勒索軟件提出相似的勒索要求。在這種情況下,受害者哪怕支付贖金也無(wú)法恢復(fù)數(shù)據(jù),因此良好的備份/恢復(fù)能力顯得更加重要。
狡猾的攻擊者把目標(biāo)對(duì)準(zhǔn)備份
正因?yàn)榱己玫膫浞萑绱擞行В岳账鬈浖墓粽攥F(xiàn)在把矛頭對(duì)準(zhǔn)了備份流程和工具。數(shù)種勒索軟件,包括WannaCry和新變種的CryptoLocker都會(huì)刪除微軟Windows操作系統(tǒng)創(chuàng)建的卷影備份。卷影備份是微軟Windows為方便恢復(fù)提供的簡(jiǎn)單方式。在 Mac上,攻擊者從一開(kāi)始就把備份作為目標(biāo)。研究人員發(fā)現(xiàn),2015年功能還不全面的首個(gè)Mac勒索軟件就已經(jīng)針對(duì)了使用名為時(shí)間機(jī)器的Mac OS X自動(dòng)備份流程的磁盤(pán)。
其機(jī)制很直接:加密備份數(shù)據(jù)以切斷企業(yè)對(duì)勒索軟件的控制,迫使他們支付贖金。攻擊者越來(lái)越傾向于破壞備份。以下是幫助企業(yè)保護(hù)數(shù)據(jù)備份免受勒索軟件侵害的四條建議。
一:提高備份流程的透明度
企業(yè)越快發(fā)現(xiàn)勒索軟件攻擊,就越有可能避免重大數(shù)據(jù)損失。備份流程數(shù)據(jù)可作為勒索軟件入侵的早期警報(bào)。備份日志能快速顯示數(shù)據(jù)加密程序的痕跡。每有效修改一個(gè)文件,增量備份就會(huì)突然“爆炸”,使加密文件無(wú)法被壓縮或復(fù)制。
每天監(jiān)控備份使用容量等基本指標(biāo)有助于在勒索軟件侵入內(nèi)部系統(tǒng)時(shí)有所察覺(jué)并盡可能減少損失。
二:謹(jǐn)慎使用網(wǎng)絡(luò)文件服務(wù)器和在線(xiàn)共享服務(wù)
網(wǎng)絡(luò)文件服務(wù)器使用方便且始終可用,這兩個(gè)特性使人們常常使用網(wǎng)絡(luò)訪(fǎng)問(wèn)的“主”目錄集中數(shù)據(jù)并簡(jiǎn)化備份。但是,一旦遭遇勒索軟件,這種數(shù)據(jù)結(jié)構(gòu)就具有若干嚴(yán)重的安全漏洞。很多勒索軟件程序會(huì)加密連接設(shè)備,由此目標(biāo)主目錄也會(huì)被加密。在Windows這種常被選為目標(biāo)且容易攻擊的操作系統(tǒng)上運(yùn)行的所有服務(wù)器都會(huì)受到感染,導(dǎo)致所有用戶(hù)的數(shù)據(jù)被加密。
使用網(wǎng)絡(luò)文件服務(wù)器的所有機(jī)構(gòu)都必須堅(jiān)持將數(shù)據(jù)備份到獨(dú)立的系統(tǒng)或服務(wù),并專(zhuān)門(mén)測(cè)試系統(tǒng)被勒索軟件入侵的恢復(fù)能力。
云文件服務(wù)也容易受到勒索軟件攻擊。一個(gè)典型事例就是2015 年的Children in Film勒索軟件攻擊。Children in Film是一家為兒童演員及其父母提供信息的企業(yè),使用了包括普通云盤(pán)在內(nèi)的大量云服務(wù)。KrebsOnSecurity的信息顯示,在員工點(diǎn)擊了一個(gè)惡意郵件鏈接的30分鐘內(nèi),云端的四千多份文件就被加密了。幸運(yùn)的是,該公司的備份供應(yīng)商恢復(fù)了所有文件,但也花了超過(guò)一周的時(shí)間。
但云端數(shù)據(jù)恢復(fù)受限于云服務(wù)是否提供增量備份或方便管理文件的版本歷史,因此比內(nèi)部部署服務(wù)器更加困難。
三:經(jīng)常測(cè)試恢復(fù)過(guò)程
除非能夠可靠快速地恢復(fù),否則備份沒(méi)有任何價(jià)值。如果備份程序無(wú)法以足夠的細(xì)粒度執(zhí)行備份或沒(méi)有備份目標(biāo)數(shù)據(jù),有備份的企業(yè)也可能被迫支付贖金。例如,阿拉巴馬州的蒙哥馬利縣就因?yàn)閿?shù)據(jù)備份無(wú)法恢復(fù)被勒索軟件加密的文件的問(wèn)題,而被迫支付了500萬(wàn)美元贖金來(lái)最終恢復(fù)數(shù)據(jù)。
測(cè)試恢復(fù)過(guò)程包括確定數(shù)據(jù)丟失窗口。如果企業(yè)每周進(jìn)行一次完整備份,就可能損失一周的數(shù)據(jù),因?yàn)樾枰獜纳弦粋(gè)備份恢復(fù)。每天或每小時(shí)備份一次能大幅提高防護(hù)水平。更有細(xì)粒度的備份和盡早檢測(cè)勒索軟件都是防止損失的關(guān)鍵。
四:了解您的解決方案選項(xiàng)
如果勒索軟件可以直接訪(fǎng)問(wèn)備份鏡像,幾乎就無(wú)法防止其加密企業(yè)備份數(shù)據(jù)了。因此,能提取備份數(shù)據(jù)的備份系統(tǒng)可防止勒索軟件加密歷史數(shù)據(jù)。
將備份與標(biāo)準(zhǔn)操作環(huán)境隔開(kāi)并確保不在多用途服務(wù)器和操作系統(tǒng)上運(yùn)行可加強(qiáng)備份防護(hù)。在首要攻擊目標(biāo)微軟Windows操作系統(tǒng)上運(yùn)行的備份系統(tǒng)更易受到攻擊,防護(hù)也更加困難。
最后,企業(yè)必須努力通過(guò)監(jiān)控或反惡意軟件措施盡早檢測(cè)出勒索軟件攻擊,使用專(zhuān)用系統(tǒng)隔離備份數(shù)據(jù)和可能受到侵害的系統(tǒng),持續(xù)測(cè)試備份和恢復(fù)過(guò)程以確保有效保護(hù)數(shù)據(jù)。這種方法能保護(hù)備份數(shù)據(jù)免受勒索軟件侵害,減小受到攻擊時(shí)丟失數(shù)據(jù)的風(fēng)險(xiǎn)。
來(lái)源:機(jī)房360
石家莊服務(wù)器托管 石家莊服務(wù)器租用 石家莊機(jī)柜租用 石家莊機(jī)房
|