信息化觀察網(wǎng)

本文來自微信公眾號(hào)“GoUpSec”。

勒索軟件攻擊依然是當(dāng)今企業(yè)面臨的最大安全威脅之一。根據(jù)Sophos的報(bào)告，59%的企業(yè)在2023年遭遇了勒索軟件攻擊，其中56%的受害者最終選擇支付贖金以恢復(fù)數(shù)據(jù)。更為嚴(yán)重的是，63%的勒索金額達(dá)到或超過了100萬美元，平均支付金額高達(dá)400萬美元，較2022年的150萬美元大幅上升。

根據(jù)Semperis在2023年7月發(fā)布的報(bào)告，勒索軟件攻擊對(duì)87%的企業(yè)業(yè)務(wù)運(yùn)營(yíng)造成了嚴(yán)重干擾。而且，在遭受勒索軟件攻擊的企業(yè)中，有74%再次成為攻擊目標(biāo)，其中32%的受害者在過去一年中支付了四次或更多次的贖金。

盡管支付贖金似乎是一種快捷的解決方案，但這一做法卻是一個(gè)惡性循環(huán)。74%的受害企業(yè)再次受到攻擊，而72%的支付贖金企業(yè)不得不支付多次贖金。此外，35%的企業(yè)即使支付了贖金，也未能獲得有效的解密密鑰或恢復(fù)文件的能力。

確保成功恢復(fù)的八個(gè)步驟

勒索軟件威脅并非新鮮事物，為何企業(yè)仍然頻頻中招并付出高昂代價(jià)？其根源在于企業(yè)缺乏可靠的備份，尤其是缺乏可用的備份。備份不僅需要存儲(chǔ)重要文件和數(shù)據(jù)庫，還應(yīng)包括關(guān)鍵應(yīng)用程序、配置文件以及支持整個(gè)業(yè)務(wù)流程所需的所有技術(shù)。最重要的是，這些備份必須經(jīng)過充分測(cè)試，確保在需要時(shí)能夠快速恢復(fù)。以下是從勒索軟件攻擊中快速恢復(fù)的八個(gè)關(guān)鍵步驟：

一、隔離備份：Sophos的調(diào)查顯示，94%的勒索軟件攻擊者試圖破壞備份，而其中57%的攻擊成功了。當(dāng)備份被破壞時(shí)，企業(yè)支付的贖金平均為230萬美元，而備份未被破壞的企業(yè)支付的贖金僅為100萬美元。此外，備份被破壞的企業(yè)支付贖金的概率是未被破壞企業(yè)的兩倍多，恢復(fù)成本更是高出八倍。

為了防止勒索軟件攻擊破壞備份，企業(yè)應(yīng)采用物理隔離或邏輯隔離的方式來存儲(chǔ)備份。利用云平臺(tái)的版本控制功能，確保即使備份中包含被加密的文件，也不會(huì)覆蓋之前的版本，從而保證數(shù)據(jù)的完整性。

二、使用一次性寫入存儲(chǔ)技術(shù)：另一種保護(hù)備份的方式是使用無法重寫的數(shù)據(jù)存儲(chǔ)技術(shù)，即一次性寫入多次讀取（WORM）技術(shù)。這種技術(shù)雖然增加了存儲(chǔ)成本，但有效防止了備份數(shù)據(jù)被惡意修改。

三、保留多種備份：企業(yè)應(yīng)采用多種備份方式，如定期進(jìn)行完整備份，同時(shí)在更頻繁的時(shí)間間隔內(nèi)進(jìn)行增量備份。這種多層次的備份策略可以有效防止勒索軟件在長(zhǎng)時(shí)間未檢測(cè)到的情況下摧毀所有備份。

四、保護(hù)備份目錄：企業(yè)除了需要保護(hù)備份文件本身，還應(yīng)保護(hù)備份目錄。備份目錄包含備份的所有元數(shù)據(jù)，如果備份目錄被破壞，即使備份文件完好無損，也難以恢復(fù)數(shù)據(jù)。因此，企業(yè)應(yīng)采取措施保護(hù)備份目錄，確保其不受勒索軟件的侵害。

五、全面?zhèn)浞菟嘘P(guān)鍵數(shù)據(jù)：企業(yè)在進(jìn)行備份時(shí)，必須確保所有關(guān)鍵數(shù)據(jù)都得到備份。許多企業(yè)由于陰影IT（未經(jīng)過IT部門批準(zhǔn)的IT設(shè)備或系統(tǒng)）的存在，導(dǎo)致部分重要數(shù)據(jù)未被備份，從而增加了恢復(fù)困難。

六、備份整個(gè)業(yè)務(wù)流程：勒索軟件不僅影響數(shù)據(jù)文件，還會(huì)影響整個(gè)業(yè)務(wù)流程。因此，企業(yè)在備份時(shí)，應(yīng)不僅備份數(shù)據(jù)，還要備份所有支持業(yè)務(wù)流程所需的組件、依賴項(xiàng)、配置、網(wǎng)絡(luò)設(shè)置、監(jiān)控和安全工具等。這樣可以確保在恢復(fù)過程中，企業(yè)能夠快速恢復(fù)到正常運(yùn)營(yíng)狀態(tài)。

七、使用熱災(zāi)難恢復(fù)站點(diǎn)和自動(dòng)化加速恢復(fù)：為了縮短恢復(fù)時(shí)間，企業(yè)應(yīng)使用熱災(zāi)難恢復(fù)站點(diǎn)和自動(dòng)化工具來加速恢復(fù)過程。通過云基礎(chǔ)設(shè)施，企業(yè)可以設(shè)置虛擬備份數(shù)據(jù)中心，確保在勒索軟件攻擊發(fā)生后，能夠迅速恢復(fù)業(yè)務(wù)。

八、持續(xù)測(cè)試備份和恢復(fù)流程：企業(yè)應(yīng)定期測(cè)試備份和恢復(fù)流程，確保在實(shí)際災(zāi)難發(fā)生時(shí)能夠順利恢復(fù)數(shù)據(jù)和業(yè)務(wù)運(yùn)營(yíng)。這不僅包括技術(shù)測(cè)試，還應(yīng)包括人員操作測(cè)試，確保所有相關(guān)人員都熟悉恢復(fù)流程，并能夠在緊急情況下迅速采取行動(dòng)。

結(jié)語

勒索軟件攻擊給企業(yè)帶來了巨大的挑戰(zhàn)和損失，而有效的備份和恢復(fù)策略則是抵御勒索軟件的最后一道防線。通過采取上述八個(gè)步驟，企業(yè)可以大幅降低勒索軟件攻擊帶來的風(fēng)險(xiǎn)，確保在遭遇攻擊后能夠快速恢復(fù)業(yè)務(wù)運(yùn)營(yíng)。在面對(duì)不斷演變的勒索軟件威脅時(shí)，企業(yè)必須持續(xù)優(yōu)化其備份和恢復(fù)策略，確保在危機(jī)時(shí)刻能夠從容應(yīng)對(duì)。