上海青羽电脑科技有限公司

技术园地

TECHNOLOGY

技术园地

勒索软件恢复:从备份中成功恢复的 8 个步骤(下)

发布时间:2024-09-13  /  浏览次数:178次
以下是确保在勒索软件攻击后成功从备份中恢复的8个步骤。(接上期
5. 备份所有需要备份的内容

2016年,当阿拉斯加的科迪亚克岛自治市镇遭到勒索软件攻击时,该市拥有大约30台服务器和45名员工PC。负责恢复工作的公司前IT主管Paul VanDyke说,所有这些都得到了备份。所有服务器都已备份,即,除了一台服务器。以今天的标准来看,赎金要求很小,只有半个比特币,当时价值259美元。他支付了赎金,但只使用了那台服务器上的解密密钥,因为他不相信在攻击者的帮助下恢复的系统的完整性。如今,备份技术覆盖了一切。

大型组织也存在确保需要备份的所有内容都实际备份的问题。根据Veritas的调查,IT专业人员估计,如果数据完全丢失,他们平均无法恢复20%的数据。许多公司(如果不是所有公司)都存在影子 IT 问题,这无济于事。

当关键数据位于某个位置的服务器上时,公司能做的只有这么多来防止丢失,尤其是当数据用于内部流程时。“当涉及到生产时,它通常会在某个地方引起公司的注意,”Watkins 说。“有新的应用程序或新的创收服务。”

并非所有系统都可以被 IT 轻松找到以便备份。勒索软件来袭,然后突然间事情不再有效。Watkins 建议公司对其所有系统和资产进行彻底调查。这通常涉及每个职能部门的领导,以便他们可以向他们的员工索取需要保护的所有关键系统和数据的清单。

通常,公司会发现东西被存储在不应该存储的地方,例如支付数据存储在员工笔记本电脑上。因此,备份项目通常会与数据丢失预防项目同时运行。

 

6. 备份整个业务流程

勒索软件不仅影响数据文件。攻击者知道,他们可以关闭的业务功能越多,公司支付赎金的可能性就越大。自然灾害、硬件故障和网络中断也没有区别。

在遭到勒索软件攻击后,Kodiak Island的VanDyke不得不重建所有服务器和PC,有时包括下载和重新安装软件以及重做所有配置。因此,恢复服务器需要一周时间,恢复PC需要一周时间。此外,他只有3台备用服务器可用于进行恢复,因此需要来回切换很多次,他说。使用更多服务器,该过程可能会进行得更快。

业务流程就像一个管弦乐队,EY Americas网络安全负责人Dave Burg 说。“管弦乐队的不同部分发出不同的声音,如果它们彼此不按顺序排列,你听到的就是噪音。”

仅备份数据而不备份所有软件、组件、依赖项、配置、网络设置、监控和安全工具以及业务流程运行所需的所有其他内容,可能会使恢复变得极具挑战性。公司往往低估了这一挑战。

“对技术基础设施和互连缺乏了解,”Burg 说。“对技术如何真正支持业务的理解不足。”Burg 说,勒索软件攻击后最大的基础设施恢复挑战通常涉及重建Active Directory 和重建配置管理数据库功能。过去,如果一家公司想要对其系统(而不仅仅是数据)进行完整备份,那么它就会构建其整个基础设施的工作副本,即灾难恢复站点。当然,这样做会使基础设施成本翻倍,这使得许多企业的成本高得令人望而却步。

如今,云基础设施可用于创建虚拟备份数据中心,该数据中心在使用时只需花钱。如果公司已经在云中,那么在不同可用区或不同的云中设置备份的过程会更加简单。“这些基于云的热插拔架构可用,具有成本效益,并且安全,并且前景广阔,”Burg 说。

 

7. 使用热灾难恢复站点和自动化来加快恢复速度

根据Sophos的数据,只有35%的勒索软件受害者在一周内完全康复,低于2023年的 47% 和2022年的52%。三分之一需要一个月或更长时间才能恢复。

热站点(在切换密钥时可用)将解决恢复时间问题。凭借当今基于云的基础设施,没有理由不拥有一个。你可以有一个脚本来复制你的基础设施,并在另一个可用区或另一个提供商中完全建立它。然后准备好自动化,以便点击播放。没有恢复时间,只需10或15分钟即可打开它。如果你接受测试,也许一整天。

为什么没有更多的公司这样做呢?首先,初始设置的成本很高,Watkins说。“然后,您需要内部的专业知识、自动化专业知识和一般的云专业知识,”他说。“然后,您需要提前设置安全控制等内容。”还有一些遗留系统不会转移到云中。Watkins 指出,石油和天然气控制器就是一个例子,它不能在云中复制。Watkins 说,在大多数情况下,设置备份基础设施的初始成本应该是一个有争议的问题。“您设置基础设施的成本远低于支付勒索软件和处理声誉损害的费用。”

 

8. 测试、测试、再测试

“很多人都是从备份的角度而不是从恢复的角度来处理备份,”Capgemini云基础设施服务高级交付经理Mike Golden说。“您可以整天备份,但如果不测试还原,不测试灾难恢复,只会让自己面临问题。”Golden说,这是许多公司出错的地方。“他们支持它然后走开了,没有测试它。”例如,他们不知道下载备份需要多长时间,因为他们还没有对其进行测试。“在它发生之前,你不知道所有可能出错的小事,”他说。

需要测试的不仅仅是技术,还有人为因素。“人们不知道他们不知道的东西,”Golden说。“或者没有对他们的流程进行定期审计,以确保人们遵守政策。”他说,当人们遵循所需的备份流程并了解他们在灾难恢复情况下需要做什么时,口头禅应该是“信任但验证”。

 
 
如果公司遇到勒索软件攻击,他们应该采取什么措施

美国网络安全和基础设施安全局(CISA)有一个供公司遵循的框架,其中涵盖了勒索软件攻击后需要采取的主要步骤,如下:

评估损坏范围、隔离系统、对受影响的系统进行分类以进行恢复、执行您的通知计划、遏制和根除。

 
勒索软件预防最佳实践

CISA有一份防止勒索软件的最佳实践详细列表。

备份:建议维护关键数据的离线加密备份,并定期测试这些备份和恢复程序。企业还应拥有关键系统的黄金映像,以及操作系统和关键应用程序的配置文件,这些应用程序可以快速部署以重建系统。公司还可以考虑投资备份硬件或备份云基础设施,以确保业务连续性。

事件响应计划:企业应创建、维护并定期执行网络事件响应计划和相关通信计划。该计划应包括所有法律要求的通知、组织通信程序,并确保所有关键参与者都拥有该计划的硬拷贝或脱机版本。

预防:建议公司转向零信任架构,以防止未经授权的访问。其他关键的预防措施包括最大限度地减少向公众公开的服务数量,尤其是远程桌面协议等经常被针对的服务。您应该定期进行漏洞扫描,定期修补和更新软件,实施防网络钓鱼的多因素身份验证,实施身份和访问管理系统,更改所有默认管理员用户名和密码,使用基于角色的访问而不是root访问帐户,并检查所有公司设备和云服务的安全配置,包括用于工作的个人设备。

 

以上仅供参考,如需要更多技术支持和帮助,欢迎和我司客户服务部沟通,电话:021-51028603,也可发邮件至service@corp-email.com。

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603