勒索軟件是惡意軟件的貨幣化，在過去幾年中一直是針對(duì)業(yè)務(wù)數(shù)據(jù)的最普遍威脅之一。現(xiàn)在是一個(gè)價(jià)值數(shù)十億美元的行業(yè)，勒索軟件變種通常通過電子郵件附件傳遞，攻擊者可以利用這些附件對(duì)公司數(shù)據(jù)進(jìn)行加密，并以高昂的價(jià)格持有解鎖數(shù)據(jù)的密鑰。

媒體報(bào)道了在勒索軟件攻擊后遭受巨額財(cái)務(wù)損失的企業(yè)的故事 。最近的一些受害者包括佐治亞州農(nóng)業(yè)部、北卡羅來納州梅克倫堡縣和新澤西州的哈肯薩克睡眠和肺病中心。

一旦組織成為勒索軟件攻擊的受害者，它有兩種選擇：支付贖金或恢復(fù)備份。根據(jù)網(wǎng)絡(luò)安全供應(yīng)商趨勢(shì)科技進(jìn)行的一項(xiàng)調(diào)查，四分之三的 IT 決策者的組織沒有受到勒索軟件的攻擊，他們表示他們不會(huì)支付贖金。然而，當(dāng)面對(duì)攻擊的現(xiàn)實(shí)時(shí)，近三分之二 (65%) 的受調(diào)查的先前受感染的公司支付了費(fèi)用。

FBI 建議不要支付贖金 ，因?yàn)檫@樣做并不能保證您的數(shù)據(jù)會(huì)被退回。有記錄在案的公司支付贖金并且從未收到解密密鑰或然后被告知他們需要支付更多費(fèi)用。最終，支付贖金會(huì)讓肇事者更加膽大妄為。

這使得 備份恢復(fù) 成為應(yīng)對(duì)勒索軟件攻擊的最佳選擇。但即使這個(gè)選項(xiàng)也不是萬無一失的。

修復(fù)不足

一方面，一些公司發(fā)現(xiàn)他們的備份不足。例如，他們可能無意中或?yàn)榱私档统杀径鴱膫浞葜羞z漏了某些系統(tǒng)或數(shù)據(jù)。同樣，一些組織無法測(cè)試他們的備份，只有在受到攻擊后才發(fā)現(xiàn)備份無法恢復(fù)。

如果您在災(zāi)難發(fā)生前花時(shí)間檢查和測(cè)試備份，這些類型的問題是可以預(yù)防的。更令人不安的是勒索軟件變得越來越普遍， 新的勒索軟件變體 越來越復(fù)雜。一些受害者發(fā)現(xiàn)勒索軟件不僅會(huì)加密數(shù)據(jù)，還會(huì)破壞備份。

新的勒索軟件變種以備份為目標(biāo)

勒索軟件損害備份的程度因多種因素而異，包括所涉及的勒索軟件變體和數(shù)據(jù)保護(hù)方式。大多數(shù)適用于 Windows 的現(xiàn)代備份產(chǎn)品都使用卷影副本和系統(tǒng)還原點(diǎn)。但是已知有幾種類型的勒索軟件，例如 Locky 和 ??Crypto，會(huì)破壞卷影副本并恢復(fù)點(diǎn)數(shù)據(jù)。

同樣，較小的組織通常將備份數(shù)據(jù)寫入物理機(jī)器內(nèi)的單獨(dú)硬盤或作為映射網(wǎng)絡(luò)驅(qū)動(dòng)器連接的外部卷。即使勒索軟件不是針對(duì)備份而設(shè)計(jì)的，它們?nèi)匀淮嬖陲L(fēng)險(xiǎn)，因?yàn)闄C(jī)器的文件系統(tǒng)可以訪問備份的位置。

如前所述，每種勒索軟件類型的工作方式都不同。許多變體旨在攻擊特定的文件類型，例如 PDF 或 Microsoft Office 文檔。存在執(zhí)行卷級(jí)加密或攻擊所有文件的勒索軟件變體，無論其類型如何。因此，任何可通過計(jì)算機(jī)文件系統(tǒng)直接訪問的備份都容易受到勒索軟件的攻擊。理想情況下，備份應(yīng)用程序應(yīng)該能夠 從受保護(hù)主機(jī)中提取數(shù)據(jù)， 而無需該主機(jī)直接映射到備份。

復(fù)制的隱患

小型企業(yè)或大型組織的分支機(jī)構(gòu)有時(shí)會(huì)使用 復(fù)制來保護(hù)數(shù)據(jù)。例如，VMware 和 Microsoft 等 Hypervisor 供應(yīng)商提供允許備用主機(jī)復(fù)制的本機(jī)復(fù)制功能。如果虛擬機(jī) (VM) 的主副本出現(xiàn)問題，則可以激活副本并使其聯(lián)機(jī)。當(dāng)然，有時(shí)還會(huì)使用其他類型的復(fù)制來保護(hù)數(shù)據(jù)。許多存儲(chǔ)供應(yīng)商提供存儲(chǔ)陣列級(jí)復(fù)制功能作為防止數(shù)據(jù)丟失的工具。

復(fù)制作為硬件故障的應(yīng)急措施，并且就其本身而言，幾乎沒有任何作用來防止勒索軟件。復(fù)制引擎無法區(qū)分惡意文件加密和合法文件修改。因此，當(dāng)勒索軟件加密文件時(shí)，惡意操作會(huì)在副本上重復(fù)，這意味著副本的數(shù)據(jù)也將被加密。

如果您的組織使用復(fù)制作為數(shù)據(jù)保護(hù)機(jī)制，請(qǐng)檢查復(fù)制引擎是否允許創(chuàng)建多個(gè)恢復(fù)點(diǎn)。您可以配置一些復(fù)制產(chǎn)品以保留多個(gè)恢復(fù)點(diǎn)，因此如果必須激活副本，可以將其恢復(fù)到以前的狀態(tài)。例如，Microsoft 的 Hyper-V 允許創(chuàng)建每小時(shí)恢復(fù)點(diǎn)。因此，如果勒索軟件感染傳播到副本虛擬機(jī)，則可以使用在勒索軟件攻擊之前創(chuàng)建的副本恢復(fù)點(diǎn)執(zhí)行故障轉(zhuǎn)移，如“恢復(fù)點(diǎn)選擇”所示。

氣隙的重要性

在保護(hù)備份免受新的勒索軟件變體的影響時(shí)，基本規(guī)則是勒索軟件不能影響它無法觸及的東西。因此，在保護(hù)備份免受勒索軟件攻擊時(shí)，您可以采取的最重要的措施是實(shí)施氣隙。氣隙可以以多??種形式存在。它指的是在潛在的勒索軟件攻擊和您的備份之間設(shè)置一個(gè)不可逾越的障礙。備份氣隙的常見示例是 磁盤到磁盤到磁帶的備份. 磁盤到磁盤到磁帶的備份架構(gòu)類似于任何其他基于磁盤的備份。不同之處在于基于磁盤的備份目標(biāo)的內(nèi)容會(huì)定期寫入磁帶。磁盤到磁盤到磁帶的體系結(jié)構(gòu)最初是為了將備份磁帶運(yùn)送到異地以保護(hù)數(shù)據(jù)免受火災(zāi)或其他災(zāi)難的損失而開發(fā)的。它也非常適合保護(hù)數(shù)據(jù)免受勒索軟件的侵害。

想象一下，您遭受了大規(guī)模的勒索軟件攻擊并丟失了大量數(shù)據(jù)。我們還假設(shè)勒索軟件破壞了您基于磁盤的備份。在這種情況下，磁帶備份不會(huì)受到影響，因?yàn)榧词故亲钕冗M(jìn)的勒索軟件也無法覆蓋未安裝在磁帶驅(qū)動(dòng)器中的磁帶。

重新審視您的權(quán)限模型

勒索軟件感染通常通過粗心或不幸的用戶的行為起源于網(wǎng)絡(luò)端點(diǎn)。您可以做的最好的事情之一就是確保用戶只擁有完成工作所需的權(quán)限，僅此而已。

如果備份代理直接在用戶的 PC 上運(yùn)行，那么最好將備份代理配置為使用專用服務(wù)帳戶，而不是簡(jiǎn)單地捎帶最終用戶的帳戶。這種方法可以在不授予用戶備份權(quán)限的情況下備份系統(tǒng)。如果用戶遭受勒索軟件攻擊，那么勒索軟件很可能會(huì)使用最終用戶的安全上下文，這意味著其訪問權(quán)限將僅限于用戶可以訪問的內(nèi)容。 通過使用服務(wù)帳戶隔離備份 可能有助于屏蔽備份過程。

勒索軟件預(yù)防的最佳實(shí)踐

勒索軟件統(tǒng)計(jì)數(shù)據(jù)令人震驚。簡(jiǎn)而言之，任何組織都極有可能受到攻擊。也許關(guān)于勒索軟件最可怕的事實(shí)是攻擊可以反復(fù)發(fā)生。想象一下支付贖金以取回?cái)?shù)據(jù)的挫敗感，但一個(gè)小時(shí)后又遭到另一次攻擊。這已經(jīng)發(fā)生了，攻擊者對(duì)他們的受害者沒有任何同情或憐憫。

鑒于這些攻擊的嚴(yán)重性，組織必須認(rèn)真對(duì)待威脅并采取措施防止攻擊。備份應(yīng)該是 抵御勒索軟件的最后一道防線，而不是第一道防線。

過去，組織嚴(yán)重依賴用戶教育來預(yù)防惡意軟件：如果可以教會(huì)用戶識(shí)別網(wǎng)絡(luò)釣魚電子郵件，那么他們點(diǎn)擊此類郵件中的惡意鏈接的機(jī)會(huì)就很小。不幸的是，經(jīng)驗(yàn)表明，即使是最好的用戶教育也無法完全降低用戶點(diǎn)擊惡意鏈接或打開惡意附件的風(fēng)險(xiǎn)。

更好的方法是假設(shè)用戶教育是無效的。更好的策略是在郵件服務(wù)器級(jí)別篩選郵件，這樣網(wǎng)絡(luò)釣魚郵件就不會(huì)進(jìn)入用戶的郵箱。同樣，以在發(fā)生勒索軟件攻擊時(shí)將損害降至最低的方式限制用戶權(quán)限。

有很多方法可以做到這一點(diǎn)。一種特別有效的方法是使用應(yīng)用程序白名單，這樣用戶就無法運(yùn)行未經(jīng)授權(quán)的進(jìn)程。更常見的方法是執(zhí)行權(quán)限審核并確保用戶僅在絕對(duì)必要時(shí)才具有寫入權(quán)限。這不會(huì)阻止勒索軟件感染的發(fā)生，但由于勒索軟件搭載用戶的權(quán)限，它無法觸及用戶無權(quán)訪問的任何內(nèi)容。因此，這種方法限制了損害。另一種選擇是要求 IT 人員使用非管理帳戶，除非他們正在執(zhí)行特別需要管理權(quán)限的操作。

請(qǐng)務(wù)必記住，網(wǎng)絡(luò)釣魚電子郵件只是勒索軟件的一種來源。攻擊者使用虛假技術(shù)支持詐騙作為將勒索軟件引入受害者計(jì)算機(jī)的手段也很常見。培訓(xùn)最終用戶識(shí)別來自 IT 的真實(shí)電話和詐騙之間的區(qū)別。然而，說起來容易做起來難。

勒索軟件保護(hù)底線

在防范勒索軟件時(shí)，最好將問題視為業(yè)務(wù)連續(xù)性。即使組織能夠通過恢復(fù)備份從勒索軟件攻擊中恢復(fù)，恢復(fù)過程也需要時(shí)間才能完成。因此，組織不應(yīng)只專注于保護(hù)備份免受勒索軟件的侵害；他們還應(yīng)該考慮如何最大限度地減少勒索軟件攻擊造成的破壞。

在防范勒索軟件時(shí)，最好將問題視為業(yè)務(wù)連續(xù)性。即使組織能夠通過恢復(fù)備份從勒索軟件攻擊中恢復(fù)，恢復(fù)過程也需要時(shí)間才能完成。因此，組織不應(yīng)只專注于保護(hù)備份免受勒索軟件的侵害；他們還應(yīng)該考慮如何最大限度地減少勒索軟件攻擊造成的破壞。