上海青羽电脑科技有限公司

技术园地

TECHNOLOGY

技术园地

勒索软件恢复:从备份中成功恢复的 8 个步骤(上)

发布时间:2024-09-06  /  浏览次数:190次

根据Sophos 4月份发布的对5000名IT和网络安全领导者的调查,59%的组织在2023年遭受勒索软件攻击,其中56%的组织支付了赎金以取回其数据。

而且支付的金额也不是微不足道的。在63%的案例中,赎金要求为100万美元或更多,平均为430万美元。在分享了付款详情的1,097名受访者中,平均付款金额为400万美元,高于2023年的150万美元。

什么是勒索软件?
勒索软件是一种加密受害者文件的恶意软件。然后,攻击者向受害者索要赎金以恢复对加密数据的访问。

许多组织都在支付赎金
根据Semperis 7月发布的一份报告,基于对900名IT和安全领导者的调查,勒索软件攻击扰乱了87%的公司的业务运营。
但支付勒索软件费用是一场失败的游戏。在被击中的人中,74%的人被多次击中,有时在同一周内被击中。在那些付费的人中,72%的人不止一次付款。事实上,去年有32%的受害者支付了四次或更多次赎金。

而且,更糟糕的是,35%的付费组织没有收到解密密钥,或在恢复文件和资产方面遇到其他问题。

勒索软件已经存在了很长时间。为什么我们还要为此付费?部分原因是缺乏备份 — 具体来说,就是缺乏可用的备份。备份必须是安全的,不受恶意软件的攻击,能够快速轻松地恢复,并且不仅包括重要的文件和数据库,还包括关键的应用程序、配置以及支持整个业务流程所需的所有技术。最重要的是,备份应该经过充分测试。以下是确保在勒索软件攻击后成功从备份中恢复的 8 个步骤。

1. 保持备份隔离
根据Sophos的调查,在94%的情况下,勒索软件行为者试图破坏备份。其中57%的尝试成功了。当攻击者能够成功入侵备份时,平均赎金支付为230万美元,而备份未受损的公司则为100万美元。

此外,备份遭到泄露的公司支付赎金的可能性是其两倍,分别为67% 和36%。除了赎金之外,那些备份受损的公司的恢复成本也高出八倍——300万美元对375,000美元。

“我们确实看到一些客户拥有自己运行的本地备份,以及基于云的备份。”技术咨询服务公司MoxFive技术咨询服务前副总裁Jeff Palatt说。“但理想情况下,如果有人两者兼而有之,他们就不会级联。如果加密文件被写入本地备份解决方案,然后复制到云中,那对您没有任何好处。

一些基于云的平台将版本控制作为产品的一部分,无需额外费用。例如,Office 365、Google
Docs和iDrive等在线备份系统会保留所有以前版本的文件,而不会覆盖它们。即使勒索软件来袭并备份了加密文件,备份过程也只会添加一个新的、损坏的文件版本,它不会覆盖已经存在的旧备份。

保存文件连续增量备份的技术也意味着当勒索软件来袭时不会丢失数据。您只需返回到攻击前文件的最后一个良好版本即可。

2. 使用一次性写入存储技术
保护备份的另一种方法是使用无法覆盖的存储。使用物理一次写入多次读取(WORM)技术或允许写入数据但不更改数据的虚拟等效技术。这确实会增加备份成本,因为它需要更多的存储空间。一些备份技术只保存更改和更新的文件,或者使用其他重复数据删除技术来避免在存档中拥有同一内容的多个副本。

根据Veeam在6月份发布的一份报告,许多公司已经在使用不可变存储。根据调查,70% 的公司在本地使用强化磁盘,89%的公司使用不可变云。但是,在公司使用的整体备份存储中,只有54%是不可变的。这意味着其余部分都面临勒索软件的高风险。

3. 保留多种类型的备份
“在许多情况下,企业没有足够的存储空间或功能来长时间地保存备份,”Palatt说。“在一个案例中,我们的客户有三天的备份。其中2个被覆盖,但第3天仍然可行。如果勒索软件袭击了某个长假周末,那么所有三天的备份都可能已被销毁。突然间,你进来了,你所有的迭代都被覆盖了,因为我们只有三天、四天或五天的时间。”

Palatt建议公司保留不同类型的备份,例如按一个计划进行完整备份,并按更频繁的计划进行增量备份。

4. 保护备份目录
除了保护备份文件本身免受攻击者的攻击外,公司还应确保其数据目录是安全的。“大多数复杂的勒索软件攻击都以备份目录为目标,而不是像大多数人认为的那样以实际的备份介质、备份磁带或磁盘为目标。”美国基础设施和服务弹性负责人Amr Ahmed说。

此目录包含备份的所有元数据、索引、磁带的条形码、磁盘上数据内容的完整路径等。“如果没有目录,您的备份介质将无法使用,”Ahmed说。没有RESTORE将非常困难或不切实际。企业需要确保他们有一个备份解决方案,其中包括对备份目录的保护,例如气隙保护。

后续内容且听下回分解。以上仅供参考,如需要更多技术支持和帮助,欢迎和我司客户服务部沟通,靠谱邮件电话:021-51028603,也可发邮件至service@corp-email.com。

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603