勒索軟件是惡意軟件的貨幣化，在過去幾年中一直是針對業務數據的最普遍威脅之一。現在是一個價值數十億美元的行業，勒索軟件變種通常通過電子郵件附件傳遞，攻擊者可以利用這些附件對公司數據進行加密，并以高昂的價格持有解鎖數據的密鑰。

媒體報道了在勒索軟件攻擊后遭受巨額財務損失的企業的故事 。最近的一些受害者包括佐治亞州農業部、北卡羅來納州梅克倫堡縣和新澤西州的哈肯薩克睡眠和肺病中心。

一旦組織成為勒索軟件攻擊的受害者，它有兩種選擇：支付贖金或恢復備份。根據網絡安全供應商趨勢科技進行的一項調查，四分之三的 IT 決策者的組織沒有受到勒索軟件的攻擊，他們表示他們不會支付贖金。然而，當面對攻擊的現實時，近三分之二 (65%) 的受調查的先前受感染的公司支付了費用。

FBI 建議不要支付贖金 ，因為這樣做并不能保證您的數據會被退回。有記錄在案的公司支付贖金并且從未收到解密密鑰或然后被告知他們需要支付更多費用。最終，支付贖金會讓肇事者更加膽大妄為。

這使得 備份恢復 成為應對勒索軟件攻擊的最佳選擇。但即使這個選項也不是萬無一失的。

修復不足

一方面，一些公司發現他們的備份不足。例如，他們可能無意中或為了降低成本而從備份中遺漏了某些系統或數據。同樣，一些組織無法測試他們的備份，只有在受到攻擊后才發現備份無法恢復。

如果您在災難發生前花時間檢查和測試備份，這些類型的問題是可以預防的。更令人不安的是勒索軟件變得越來越普遍， 新的勒索軟件變體 越來越復雜。一些受害者發現勒索軟件不僅會加密數據，還會破壞備份。

新的勒索軟件變種以備份為目標

勒索軟件損害備份的程度因多種因素而異，包括所涉及的勒索軟件變體和數據保護方式。大多數適用于 Windows 的現代備份產品都使用卷影副本和系統還原點。但是已知有幾種類型的勒索軟件，例如 Locky 和 ??Crypto，會破壞卷影副本并恢復點數據。

同樣，較小的組織通常將備份數據寫入物理機器內的單獨硬盤或作為映射網絡驅動器連接的外部卷。即使勒索軟件不是針對備份而設計的，它們仍然存在風險，因為機器的文件系統可以訪問備份的位置。

如前所述，每種勒索軟件類型的工作方式都不同。許多變體旨在攻擊特定的文件類型，例如 PDF 或 Microsoft Office 文檔。存在執行卷級加密或攻擊所有文件的勒索軟件變體，無論其類型如何。因此，任何可通過計算機文件系統直接訪問的備份都容易受到勒索軟件的攻擊。理想情況下，備份應用程序應該能夠 從受保護主機中提取數據， 而無需該主機直接映射到備份。

復制的隱患

小型企業或大型組織的分支機構有時會使用 復制來保護數據。例如，VMware 和 Microsoft 等 Hypervisor 供應商提供允許備用主機復制的本機復制功能。如果虛擬機 (VM) 的主副本出現問題，則可以激活副本并使其聯機。當然，有時還會使用其他類型的復制來保護數據。許多存儲供應商提供存儲陣列級復制功能作為防止數據丟失的工具。

復制作為硬件故障的應急措施，并且就其本身而言，幾乎沒有任何作用來防止勒索軟件。復制引擎無法區分惡意文件加密和合法文件修改。因此，當勒索軟件加密文件時，惡意操作會在副本上重復，這意味著副本的數據也將被加密。

如果您的組織使用復制作為數據保護機制，請檢查復制引擎是否允許創建多個恢復點。您可以配置一些復制產品以保留多個恢復點，因此如果必須激活副本，可以將其恢復到以前的狀態。例如，Microsoft 的 Hyper-V 允許創建每小時恢復點。因此，如果勒索軟件感染傳播到副本虛擬機，則可以使用在勒索軟件攻擊之前創建的副本恢復點執行故障轉移，如“恢復點選擇”所示。

氣隙的重要性

在保護備份免受新的勒索軟件變體的影響時，基本規則是勒索軟件不能影響它無法觸及的東西。因此，在保護備份免受勒索軟件攻擊時，您可以采取的最重要的措施是實施氣隙。氣隙可以以多??種形式存在。它指的是在潛在的勒索軟件攻擊和您的備份之間設置一個不可逾越的障礙。備份氣隙的常見示例是 磁盤到磁盤到磁帶的備份. 磁盤到磁盤到磁帶的備份架構類似于任何其他基于磁盤的備份。不同之處在于基于磁盤的備份目標的內容會定期寫入磁帶。磁盤到磁盤到磁帶的體系結構最初是為了將備份磁帶運送到異地以保護數據免受火災或其他災難的損失而開發的。它也非常適合保護數據免受勒索軟件的侵害。

想象一下，您遭受了大規模的勒索軟件攻擊并丟失了大量數據。我們還假設勒索軟件破壞了您基于磁盤的備份。在這種情況下，磁帶備份不會受到影響，因為即使是最先進的勒索軟件也無法覆蓋未安裝在磁帶驅動器中的磁帶。

重新審視您的權限模型

勒索軟件感染通常通過粗心或不幸的用戶的行為起源于網絡端點。您可以做的最好的事情之一就是確保用戶只擁有完成工作所需的權限，僅此而已。

如果備份代理直接在用戶的 PC 上運行，那么最好將備份代理配置為使用專用服務帳戶，而不是簡單地捎帶最終用戶的帳戶。這種方法可以在不授予用戶備份權限的情況下備份系統。如果用戶遭受勒索軟件攻擊，那么勒索軟件很可能會使用最終用戶的安全上下文，這意味著其訪問權限將僅限于用戶可以訪問的內容。 通過使用服務帳戶隔離備份 可能有助于屏蔽備份過程。

勒索軟件預防的最佳實踐

勒索軟件統計數據令人震驚。簡而言之，任何組織都極有可能受到攻擊。也許關于勒索軟件最可怕的事實是攻擊可以反復發生。想象一下支付贖金以取回數據的挫敗感，但一個小時后又遭到另一次攻擊。這已經發生了，攻擊者對他們的受害者沒有任何同情或憐憫。

鑒于這些攻擊的嚴重性，組織必須認真對待威脅并采取措施防止攻擊。備份應該是 抵御勒索軟件的最后一道防線，而不是第一道防線。

過去，組織嚴重依賴用戶教育來預防惡意軟件：如果可以教會用戶識別網絡釣魚電子郵件，那么他們點擊此類郵件中的惡意鏈接的機會就很小。不幸的是，經驗表明，即使是最好的用戶教育也無法完全降低用戶點擊惡意鏈接或打開惡意附件的風險。

更好的方法是假設用戶教育是無效的。更好的策略是在郵件服務器級別篩選郵件，這樣網絡釣魚郵件就不會進入用戶的郵箱。同樣，以在發生勒索軟件攻擊時將損害降至最低的方式限制用戶權限。

有很多方法可以做到這一點。一種特別有效的方法是使用應用程序白名單，這樣用戶就無法運行未經授權的進程。更常見的方法是執行權限審核并確保用戶僅在絕對必要時才具有寫入權限。這不會阻止勒索軟件感染的發生，但由于勒索軟件搭載用戶的權限，它無法觸及用戶無權訪問的任何內容。因此，這種方法限制了損害。另一種選擇是要求 IT 人員使用非管理帳戶，除非他們正在執行特別需要管理權限的操作。

請務必記住，網絡釣魚電子郵件只是勒索軟件的一種來源。攻擊者使用虛假技術支持詐騙作為將勒索軟件引入受害者計算機的手段也很常見。培訓最終用戶識別來自 IT 的真實電話和詐騙之間的區別。然而，說起來容易做起來難。

勒索軟件保護底線

在防范勒索軟件時，最好將問題視為業務連續性。即使組織能夠通過恢復備份從勒索軟件攻擊中恢復，恢復過程也需要時間才能完成。因此，組織不應只專注于保護備份免受勒索軟件的侵害；他們還應該考慮如何最大限度地減少勒索軟件攻擊造成的破壞。

在防范勒索軟件時，最好將問題視為業務連續性。即使組織能夠通過恢復備份從勒索軟件攻擊中恢復，恢復過程也需要時間才能完成。因此，組織不應只專注于保護備份免受勒索軟件的侵害；他們還應該考慮如何最大限度地減少勒索軟件攻擊造成的破壞。