如何克服勒索軟件削弱備份恢復(fù)的方法
      
                                    
                                
      
                                
      
                                    
      勒索軟件是惡意軟件的貨幣化,在過(guò)去幾年中一直是針對(duì)業(yè)務(wù)數(shù)據(jù)的最普遍威脅之一。現(xiàn)在是一個(gè)價(jià)值數(shù)十億美元的行業(yè),勒索軟件變種通常通過(guò)電子郵件附件傳遞,攻擊者可以利用這些附件對(duì)公司數(shù)據(jù)進(jìn)行加密,并以高昂的價(jià)格持有解鎖數(shù)據(jù)的密鑰。
      

      媒體報(bào)道了在勒索軟件攻擊后遭受巨額財(cái)務(wù)損失的企業(yè)的故事 。最近的一些受害者包括佐治亞州農(nóng)業(yè)部、北卡羅來(lái)納州梅克倫堡縣和新澤西州的哈肯薩克睡眠和肺病中心。
      

      如何克服勒索軟件削弱備份恢復(fù)的方法-南華中天
      

      一旦組織成為勒索軟件攻擊的受害者,它有兩種選擇:支付贖金或恢復(fù)備份。根據(jù)網(wǎng)絡(luò)安全供應(yīng)商趨勢(shì)科技進(jìn)行的一項(xiàng)調(diào)查,四分之三的 IT 決策者的組織沒(méi)有受到勒索軟件的攻擊,他們表示他們不會(huì)支付贖金。然而,當(dāng)面對(duì)攻擊的現(xiàn)實(shí)時(shí),近三分之二 (65%) 的受調(diào)查的先前受感染的公司支付了費(fèi)用。
      

      FBI 建議不要支付贖金 ,因?yàn)檫@樣做并不能保證您的數(shù)據(jù)會(huì)被退回。有記錄在案的公司支付贖金并且從未收到解密密鑰或然后被告知他們需要支付更多費(fèi)用。最終,支付贖金會(huì)讓肇事者更加膽大妄為。
      

      這使得 備份恢復(fù) 成為應(yīng)對(duì)勒索軟件攻擊的最佳選擇。但即使這個(gè)選項(xiàng)也不是萬(wàn)無(wú)一失的。
      

      修復(fù)不足
      

      一方面,一些公司發(fā)現(xiàn)他們的備份不足。例如,他們可能無(wú)意中或?yàn)榱私档统杀径鴱膫浞葜羞z漏了某些系統(tǒng)或數(shù)據(jù)。同樣,一些組織無(wú)法測(cè)試他們的備份,只有在受到攻擊后才發(fā)現(xiàn)備份無(wú)法恢復(fù)。
      

      如果您在災(zāi)難發(fā)生前花時(shí)間檢查和測(cè)試備份,這些類型的問(wèn)題是可以預(yù)防的。更令人不安的是勒索軟件變得越來(lái)越普遍, 新的勒索軟件變體 越來(lái)越復(fù)雜。一些受害者發(fā)現(xiàn)勒索軟件不僅會(huì)加密數(shù)據(jù),還會(huì)破壞備份。
      

      新的勒索軟件變種以備份為目標(biāo)
      

      勒索軟件損害備份的程度因多種因素而異,包括所涉及的勒索軟件變體和數(shù)據(jù)保護(hù)方式。大多數(shù)適用于 Windows 的現(xiàn)代備份產(chǎn)品都使用卷影副本和系統(tǒng)還原點(diǎn)。但是已知有幾種類型的勒索軟件,例如 Locky 和 ??Crypto,會(huì)破壞卷影副本并恢復(fù)點(diǎn)數(shù)據(jù)。
      

      同樣,較小的組織通常將備份數(shù)據(jù)寫(xiě)入物理機(jī)器內(nèi)的單獨(dú)硬盤(pán)或作為映射網(wǎng)絡(luò)驅(qū)動(dòng)器連接的外部卷。即使勒索軟件不是針對(duì)備份而設(shè)計(jì)的,它們?nèi)匀淮嬖陲L(fēng)險(xiǎn),因?yàn)闄C(jī)器的文件系統(tǒng)可以訪問(wèn)備份的位置。
      

      如何克服勒索軟件削弱備份恢復(fù)的方法-南華中天
      

      如前所述,每種勒索軟件類型的工作方式都不同。許多變體旨在攻擊特定的文件類型,例如 PDF 或 Microsoft Office 文檔。存在執(zhí)行卷級(jí)加密或攻擊所有文件的勒索軟件變體,無(wú)論其類型如何。因此,任何可通過(guò)計(jì)算機(jī)文件系統(tǒng)直接訪問(wèn)的備份都容易受到勒索軟件的攻擊。理想情況下,備份應(yīng)用程序應(yīng)該能夠 從受保護(hù)主機(jī)中提取數(shù)據(jù), 而無(wú)需該主機(jī)直接映射到備份。
      

      復(fù)制的隱患
      

      小型企業(yè)或大型組織的分支機(jī)構(gòu)有時(shí)會(huì)使用 復(fù)制來(lái)保護(hù)數(shù)據(jù)。例如,VMware 和 Microsoft 等 Hypervisor 供應(yīng)商提供允許備用主機(jī)復(fù)制的本機(jī)復(fù)制功能。如果虛擬機(jī) (VM) 的主副本出現(xiàn)問(wèn)題,則可以激活副本并使其聯(lián)機(jī)。當(dāng)然,有時(shí)還會(huì)使用其他類型的復(fù)制來(lái)保護(hù)數(shù)據(jù)。許多存儲(chǔ)供應(yīng)商提供存儲(chǔ)陣列級(jí)復(fù)制功能作為防止數(shù)據(jù)丟失的工具。
      

      復(fù)制作為硬件故障的應(yīng)急措施,并且就其本身而言,幾乎沒(méi)有任何作用來(lái)防止勒索軟件。復(fù)制引擎無(wú)法區(qū)分惡意文件加密和合法文件修改。因此,當(dāng)勒索軟件加密文件時(shí),惡意操作會(huì)在副本上重復(fù),這意味著副本的數(shù)據(jù)也將被加密。
      

      如果您的組織使用復(fù)制作為數(shù)據(jù)保護(hù)機(jī)制,請(qǐng)檢查復(fù)制引擎是否允許創(chuàng)建多個(gè)恢復(fù)點(diǎn)。您可以配置一些復(fù)制產(chǎn)品以保留多個(gè)恢復(fù)點(diǎn),因此如果必須激活副本,可以將其恢復(fù)到以前的狀態(tài)。例如,Microsoft 的 Hyper-V 允許創(chuàng)建每小時(shí)恢復(fù)點(diǎn)。因此,如果勒索軟件感染傳播到副本虛擬機(jī),則可以使用在勒索軟件攻擊之前創(chuàng)建的副本恢復(fù)點(diǎn)執(zhí)行故障轉(zhuǎn)移,如“恢復(fù)點(diǎn)選擇”所示。
      

      氣隙的重要性
      

      在保護(hù)備份免受新的勒索軟件變體的影響時(shí),基本規(guī)則是勒索軟件不能影響它無(wú)法觸及的東西。因此,在保護(hù)備份免受勒索軟件攻擊時(shí),您可以采取的最重要的措施是實(shí)施氣隙。氣隙可以以多??種形式存在。它指的是在潛在的勒索軟件攻擊和您的備份之間設(shè)置一個(gè)不可逾越的障礙。備份氣隙的常見(jiàn)示例是 磁盤(pán)到磁盤(pán)到磁帶的備份. 磁盤(pán)到磁盤(pán)到磁帶的備份架構(gòu)類似于任何其他基于磁盤(pán)的備份。不同之處在于基于磁盤(pán)的備份目標(biāo)的內(nèi)容會(huì)定期寫(xiě)入磁帶。磁盤(pán)到磁盤(pán)到磁帶的體系結(jié)構(gòu)最初是為了將備份磁帶運(yùn)送到異地以保護(hù)數(shù)據(jù)免受火災(zāi)或其他災(zāi)難的損失而開(kāi)發(fā)的。它也非常適合保護(hù)數(shù)據(jù)免受勒索軟件的侵害。
      

      如何克服勒索軟件削弱備份恢復(fù)的方法-南華中天
      

      想象一下,您遭受了大規(guī)模的勒索軟件攻擊并丟失了大量數(shù)據(jù)。我們還假設(shè)勒索軟件破壞了您基于磁盤(pán)的備份。在這種情況下,磁帶備份不會(huì)受到影響,因?yàn)榧词故亲钕冗M(jìn)的勒索軟件也無(wú)法覆蓋未安裝在磁帶驅(qū)動(dòng)器中的磁帶。
      

      重新審視您的權(quán)限模型
      

      勒索軟件感染通常通過(guò)粗心或不幸的用戶的行為起源于網(wǎng)絡(luò)端點(diǎn)。您可以做的最好的事情之一就是確保用戶只擁有完成工作所需的權(quán)限,僅此而已。
      

      如果備份代理直接在用戶的 PC 上運(yùn)行,那么最好將備份代理配置為使用專用服務(wù)帳戶,而不是簡(jiǎn)單地捎帶最終用戶的帳戶。這種方法可以在不授予用戶備份權(quán)限的情況下備份系統(tǒng)。如果用戶遭受勒索軟件攻擊,那么勒索軟件很可能會(huì)使用最終用戶的安全上下文,這意味著其訪問(wèn)權(quán)限將僅限于用戶可以訪問(wèn)的內(nèi)容。 通過(guò)使用服務(wù)帳戶隔離備份 可能有助于屏蔽備份過(guò)程。
      

      勒索軟件預(yù)防的最佳實(shí)踐
      

      勒索軟件統(tǒng)計(jì)數(shù)據(jù)令人震驚。簡(jiǎn)而言之,任何組織都極有可能受到攻擊。也許關(guān)于勒索軟件最可怕的事實(shí)是攻擊可以反復(fù)發(fā)生。想象一下支付贖金以取回?cái)?shù)據(jù)的挫敗感,但一個(gè)小時(shí)后又遭到另一次攻擊。這已經(jīng)發(fā)生了,攻擊者對(duì)他們的受害者沒(méi)有任何同情或憐憫。
      

      鑒于這些攻擊的嚴(yán)重性,組織必須認(rèn)真對(duì)待威脅并采取措施防止攻擊。備份應(yīng)該是 抵御勒索軟件的最后一道防線,而不是第一道防線。
      

      過(guò)去,組織嚴(yán)重依賴用戶教育來(lái)預(yù)防惡意軟件:如果可以教會(huì)用戶識(shí)別網(wǎng)絡(luò)釣魚(yú)電子郵件,那么他們點(diǎn)擊此類郵件中的惡意鏈接的機(jī)會(huì)就很小。不幸的是,經(jīng)驗(yàn)表明,即使是最好的用戶教育也無(wú)法完全降低用戶點(diǎn)擊惡意鏈接或打開(kāi)惡意附件的風(fēng)險(xiǎn)。
      

      如何克服勒索軟件削弱備份恢復(fù)的方法-南華中天
      

      更好的方法是假設(shè)用戶教育是無(wú)效的。更好的策略是在郵件服務(wù)器級(jí)別篩選郵件,這樣網(wǎng)絡(luò)釣魚(yú)郵件就不會(huì)進(jìn)入用戶的郵箱。同樣,以在發(fā)生勒索軟件攻擊時(shí)將損害降至最低的方式限制用戶權(quán)限。
      

      有很多方法可以做到這一點(diǎn)。一種特別有效的方法是使用應(yīng)用程序白名單,這樣用戶就無(wú)法運(yùn)行未經(jīng)授權(quán)的進(jìn)程。更常見(jiàn)的方法是執(zhí)行權(quán)限審核并確保用戶僅在絕對(duì)必要時(shí)才具有寫(xiě)入權(quán)限。這不會(huì)阻止勒索軟件感染的發(fā)生,但由于勒索軟件搭載用戶的權(quán)限,它無(wú)法觸及用戶無(wú)權(quán)訪問(wèn)的任何內(nèi)容。因此,這種方法限制了損害。另一種選擇是要求 IT 人員使用非管理帳戶,除非他們正在執(zhí)行特別需要管理權(quán)限的操作。
      

      請(qǐng)務(wù)必記住,網(wǎng)絡(luò)釣魚(yú)電子郵件只是勒索軟件的一種來(lái)源。攻擊者使用虛假技術(shù)支持詐騙作為將勒索軟件引入受害者計(jì)算機(jī)的手段也很常見(jiàn)。培訓(xùn)最終用戶識(shí)別來(lái)自 IT 的真實(shí)電話和詐騙之間的區(qū)別。然而,說(shuō)起來(lái)容易做起來(lái)難。
      

      勒索軟件保護(hù)底線
      

      在防范勒索軟件時(shí),最好將問(wèn)題視為業(yè)務(wù)連續(xù)性。即使組織能夠通過(guò)恢復(fù)備份從勒索軟件攻擊中恢復(fù),恢復(fù)過(guò)程也需要時(shí)間才能完成。因此,組織不應(yīng)只專注于保護(hù)備份免受勒索軟件的侵害;他們還應(yīng)該考慮如何最大限度地減少勒索軟件攻擊造成的破壞。
      

      在防范勒索軟件時(shí),最好將問(wèn)題視為業(yè)務(wù)連續(xù)性。即使組織能夠通過(guò)恢復(fù)備份從勒索軟件攻擊中恢復(fù),恢復(fù)過(guò)程也需要時(shí)間才能完成。因此,組織不應(yīng)只專注于保護(hù)備份免受勒索軟件的侵害;他們還應(yīng)該考慮如何最大限度地減少勒索軟件攻擊造成的破壞。