勒索软件恢复：成功从备份中恢复的 8 个步骤

根据国外媒体Keeper Security在6月发布的勒索软件调查报告，49%的勒索软件公司支付了赎金，另有22%的公司拒绝透露是否支付了赎金。部分原因在于缺少备份。

在企业运营过程中备份必须安全，不受恶意软件的侵害，快速且易于恢复，不仅包括重要文件和数据库，还包括关键应用程序、配置以及支持整个业务流程所需的所有技术。最重要的是，备份应经过良好测试。

以下是八个步骤，以确保在勒索软件攻击后从备份中成功恢复。

1. 将备份隔离

根据去年秋天公布的一项调查，只有36%的公司拥有三份或三份以上的数据，包括至少一份非现场数据。在备份和生产环境之间保持"空气间隙"对于防止勒索软件和其他灾难至关重要。

我们确实看到，我们的一些客户拥有自己运营的预备份，以及基于云的备份。但理想情况下，如果有人同时拥有两者，它们就不会级联。如果加密文件被写入本地备份解决方案，然后被复制到云中，则对您没有任何好处。

一些基于云的平台将版本作为产品的一部分，无需额外付费。例如，Office、百度文档和在线备份系统保留所有以前版本的文件，而不会覆盖它们。即使勒索软件罢工，加密文件被备份，备份过程只是增加了一个新的，损坏的文件版本，它不会覆盖已经存在的旧备份。

保存文件连续增量备份的技术也意味着勒索软件命中时不会丢失数据。你只要回到攻击前文件的最后一个好版本。

2. 使用一次写入存储技术

保护备份的另一种方法是使用无法写入的存储。使用物理写一次读取多 （WORM） 技术或虚拟等价物，允许编写数据但未更改。这确实增加了备份的成本，因为它需要大量的存储空间。某些备份技术仅保存已更改和更新的文件，或使用其他重复技术来防止存档中包含同一事物的多个副本。

3. 保留多种类型的备份

在许多情况下，企业没有存储空间或能力长期保留备份，，在一个案例中，客户有三天的备份。两个被覆盖，但第三天仍然是可行的。如果勒索软件已经击中，比如说，一个长假周末，那么所有三天的备份都可能被销毁。

九河互联建议公司保留不同类型的备份，例如一个时间表上的完整备份，以及更频繁的时间表上的增量备份。

4. 保护备份目录

除了保护备份文件本身免受攻击者的攻击外，公司还应确保其数据目录是安全的。大多数复杂的勒索软件攻击都针对的是备份目录，而不是大多数人认为的实际备份媒体、备份磁带或磁盘。

此目录包含备份的所有元数据、索引、磁带的条形码、磁盘上数据内容的完整路径等。没有目录，备份媒体将无法使用。没有恢复将是极其困难的或不切实际的。企业需要确保他们已到位的备份解决方案，其中包括备份目录的保护，如空隙。

5. 备件所有需要备件的东西

2016 年，当阿拉斯加的科迪亚克岛 Borough 遭到勒索软件攻击时，该市拥有大约 30 台服务器和 45 台员工 PC。负责恢复工作的IT主管保罗·范戴克说，所有人员都得到了支持。所有服务器都备备，即除一台服务器外。

以今天的标准来看，赎金需求很小，只有半个比特币，当时价值259美元。他支付了赎金，但只使用了该服务器上的解密密键，因为他不相信在攻击者的帮助下恢复的系统的完整性。

较大的组织在确保需要备份的所有内容都得到实际备份时也存在问题。根据 Veritas 的调查，专业人员估计，如果出现完整的数据丢失，他们平均无法恢复 20% 的数据。这并没有帮助，许多公司，如果不是所有的公司，有一个问题与影子IT。

当关键数据位于某处后壁橱的服务器上时，公司只能做很多工作来防止损失，特别是如果数据用于内部流程。

并非所有的系统都可以通过 IT 轻松找到，以便进行备退。勒索软件命中，然后突然事情不再工作。九河互联建议公司对其所有系统和资产进行彻底调查。这通常涉及每个职能的领导者，以便他们可以向员工询问需要保护的所有关键系统和数据的列表。

通常，公司会发现，东西存储在不该存储的地方，例如存储在员工笔记本电脑上的付款数据。因此，备份项目通常会与数据丢失预防项目同时运行。

6. 备件整个业务流程

勒索软件不仅影响数据文件。攻击者知道，他们能够关闭的业务功能越多，公司支付赎金的可能性就越大。自然灾害、硬件故障和网络中断也没有区别。

在它们受到勒索软件的打击后，不得不重建所有服务器和个人电脑，有时包括下载和重新安装软件以及重做所有配置。因此，恢复服务器需要一周时间，而恢复 PC 需要一周时间。此外，他只有三台备用服务器可以进行恢复，所以有很多来回切换，他说。有了更多的服务器，这个过程可能会走得更快。

商业流程就像一个管弦乐队。你有不同的管弦乐队成员发出不同的声音，如果他们不按顺序彼此，你听到的是噪音。

只需备份数据而不备份所有软件、组件、依赖项、配置、网络设置、监控和安全工具，以及业务流程所需的一切工作，即可使恢复变得极具挑战性。公司往往低估了这一挑战。

对技术基础设施和互连缺乏了解，对技术如何真正发挥作用以使业务实现了解不足。

勒索软件攻击后最大的基础设施恢复挑战通常涉及重建活动目录和重建配置管理数据库功能。过去，如果一家公司想要全面备份其系统，而不仅仅是数据，它将构建其整个基础设施（灾难恢复站点）的工作副本。当然，这样做会使基础设施成本翻倍，使许多企业的成本高得令人望而却步。

如今，云基础设施可用于创建虚拟备份数据中心，而使用这些数据中心只需花费大量资金。如果公司已经在云中，则在不同的可用性区域或不同的云中设置备份是一个更简单的过程。这些基于云的热交换架构是可用的、经济高效的、安全的，并且有很大的希望。

7. 使用热灾恢复站点和自动化来加快恢复速度

根据 Veritas 的数据，只有 33% 的 IT 主管认为他们可以在五天内从勒索软件攻击中恢复过来。我们知道一些公司花了很多钱在磁带上，并把它们送到铁山。他们没有时间等一个小时才能找回磁带， 也没有时间花 17 天时间恢复磁带。

一个热点站点，一个在钥匙开关时可用的网站，可以解决恢复时间问题。对于当今基于云的基础设施，没有理由没有。

可以有一个脚本来复制您的基础设施，并在其他可用性区或其他提供商中完全站立。然后让自动化准备好去，让你打发挥。没有恢复时间，只需 10 或 15 分钟打开它。如果你通过测试，也许一整天。

为什么没有更多的公司这样做？

首先，最初的设置需要付出巨大的代价。那么，需要内部专业知识、自动化专业知识和云专业知识，然后，您需要提前设置安全控制。

还有一些旧系统不会传输到云中。石油和天然气控制器是云中无法复制的一个例子。

在大多数情况下，建立备用基础设施的初始成本应该是一个有争议的问题。建立基础设施的成本远远低于支付勒索软件和处理声誉损害。

对于正为此苦苦挣扎的公司来说，一种方法可能是首先关注最关键的业务流程。你不想买一把百万美元的锁来保护一千美元的资产，定义你的皇冠上的宝石是什么。为您的安全团队建立层次结构和优先级。

主动投资网络安全存在文化障碍。我们是一个反动的社会，但网络安全终于被看到，它是什么：投资。一盎司的预防是值得一磅的治疗。

8. 再次测试、测试和测试

根据Veritas的数据，39%的公司最后一次测试他们的灾后恢复计划是在3个多月前，或者根本没有测试过。很多人正在从备份的角度，而不是从恢复的角度来处理备份。你可以整天备队，但如果你不测试你的恢复，你不测试你的灾难恢复，你只是让自己面临问题。

这是很多公司出错的地方。他们支持它， 然后走开， 没有测试它。例如，他们不知道备份下载需要多长时间，因为他们尚未测试过备份。在事情发生之前，你不知道所有可能出错的小事，

需要测试的不仅仅是技术，还有人为因素。人们不知道他们不知道什么，或者，没有定期审核他们的流程，以确保人们遵守政策。

当涉及到人们遵循所需的备份流程，并知道他们在灾难恢复情况下需要做什么时，口头禅应该是"信任但验证"。