避免通过勒索软件向攻击者支付赎金的最好方法是充分备份重要系统,以便在系统感染后及时删除,并从安全备份中恢复。用户可以通过以下选项确保这些备份工作。
在本文中,备份是指用户处理勒索软件攻击的所有系统,包括支持备份和灾难恢复的旧备份系统、复制系统和现代混合系统。为了简单起见,我们在这里称之为备份。
遵循3-2-1规则备份所有内容
在其他事情之前,备份所有的东西都是非常重要的。用户需要知道他们的自动备份系统可以做什么,以及他们是否有能力覆盖所有的新系统、文件系统和数据库。在虚拟化世界中,这项工作非常简单,用户可以将备份系统配置为一旦虚拟机出现,自动备份主机上的所有虚拟机。备份工作也可以基于标记的内容,其中不同类型的虚拟机可以基于它“包含的”自动包含标记。在备份系统中,自动化的最佳用途之一是自动包含所有内容。
用户应确保严格遵循自己的备份系统3-2-1规则。该规则规定,在两种不同的媒体上存储至少三份数据副本或三个版本的数据,其中一个必须离线。本质是将三份副本中的两份副本和另一份副本存储在不同的系统和位置,而不是将备份存储在与主系统相同的位置,最好存储在不同的操作系统和物理位置,但在现实世界中可能不会一直这样做。
备份系统应具有某种类型的自动报告功能,以便用户能够确定正在进行的备份是否真实有效。这些功能应包括成功报告和失败报告。第三方监控系统可能是最佳选择,因为它们可以不断检查一切,并指出备份什么时候异常。机器学习报告系统是最理想的选择,因为它们可以突出显示和发现的问题。这显然比每天从备份系统中读取数十或数百封电子邮件要容易得多,以确保正常。
灾难恢复应排名第一
备份和灾难恢复系统应该是计算环境中最安全的系统,即使作为管理员或root这种方式也应该很难登录。我们建议备份系统支持基于角色的管理,以便用户可以自己的身份登录和运行备份。用户不得通过root或作为管理员操作备份。因为这样登录很危险,所以要尽量限制。
备份和灾难恢复系统必须是最新的系统。由于备份和灾难恢复系统是最后一道防线,因为备份和灾难恢复系统是最后一道防线。用户必须确保它不受几周前修复的安全漏洞的影响。
如果用户有物理访问服务器的权限,所有关于数据完整性和不变性的说法都是苍白的,因此用户必须确保备份服务器难以物理访问。备份服务器应设置在不同的房间,这些机房也需要不同的进入权限,或者不是每个人都有钥匙的机架。另一个好方法是将备份系统完全从数据中心独立,并将其放置在云中。
加密所有内容
所有备份通信都应加密,因此用户需要确保备份提供商加密系统之间的通信。这意味着,当用户遇到高级持久性威胁时,即使对方嗅探了网络,也无法识别备份服务器。这可以有效地防止勒索软件攻击备份系统。
除了加密通信中的备份数据外,用户还应加密所有静态备份数据,特别是当数据存储在物理控制之外时。这包括用户需要随时交付的磁带,以及存储在云供应商网络中的数据,因为即使它们非常安全,它们仍然没有达到一个轻松的状态。用户应确保备份数据不被攻击者用于深入渗透网络和攻击。
灾难恢复基于业务需求构建
经过良好测试的灾难恢复系统是抵御勒索软件攻击的最佳防御。设计不好的系统最终会导致用户被勒索攻击并支付赎金。
灾难恢复系统应以业务需求为基础。在决定如何满足这些需求之前,用户应该处理恢复时间目标(RTO)恢复点目标(RPO)等需求展开充分的讨论。首先要确定RTO和RPO,然后根据这些要求设计备份和灾难恢复系统。
严格测试
据新闻报道,德克萨斯州奥斯汀市长期停电的原因是水厂没有工作人员知道如何打开备用发电机。我们应该作为一个警告,不要成为一家拥有完美备份和灾难恢复系统但不知道如何使用它们的公司。现在数据面临着许多风险,用户必须遵循以下建议:经常测试他们的灾难恢复系统。
好消息是,大多数现代备份和灾难恢复系统都支持整个系统的频繁测试。用户可以根据需要随时在沙箱中打开整个数据中心,以了解他们的实际工作方法。至少每季度做一次测试。测试需要几个小时,而且很无聊,但这证明了它们可以正常工作。虽然每季度测试很烦人,但当需要恢复勒索攻击时,用户可以平静地操作。
每次操作测试时,测试人员都需要轮换。测试人员不应该是设计系统或每天使用系统的人。他们必须熟练,并能获得相应的技术文件。这是确认系统和文档正常工作的最佳方法。
遇到勒索软件攻击后,灾难恢复系统可以让整个数据中心快速重新启动,这是避免支付勒索赎金的唯一途径。