防范勒索軟件 做好應對真實攻擊的準備

W. Curtis Preston 陳琳華

避免向通過勒索軟件發起攻擊者支付贖金的最佳方法是對重要系統進行充分備份，這樣當系統受到感染后可以及時刪除它們，并從安全的備份中進行恢復。用戶可以通過以下選項確保這些備份能夠發揮作用。

在本文中，備份指的是用戶將用于應對勒索軟件攻擊的所有系統，包括老式備份系統、復制系統以及支持備份和災難恢復的現代混合系統。為了簡單起見，我們在這里將它們統稱為備份。

遵循3-2-1規則備份所有內容

在其他事情之前，備份所有的東西極為重要。用戶需要清楚自己的自動備份系統能夠做哪些事情，是否能夠具有覆蓋所有的新系統、文件系統和數據庫的能力。在虛擬化世界中，這項工作非常簡單，用戶可以將備份系統配置為一旦有虛擬機出現就自動備份主機上的所有虛擬機。備份工作也可以基于標記的內含物，其中不同類型的虛擬機可以根據其“包含的”標記被自動包含進來。在備份系統當中，自動化的最佳用途之一是自動包含所有內容。

用戶要確保在自己的備份系統中嚴格遵循3-2-1規則。在該規則規定要在兩種不同的媒介上至少要存儲三份數據拷貝或是三個版本的數據，其中一份要是離線的。其精髓是將三份拷貝中的兩份拷貝和另外一份拷貝分別存儲在不同的系統和不同的位置，不要將備份存儲在與主系統相同的位置，將它們存儲在不同的操作系統和物理位置上更好，但是在現實世界中可能無法一直做到這一點。

備份系統應該有某種類型的自動報告功能，這樣用戶就可以確定正在進行的備份是真實有效的。這些功能應該包括成功報告和失敗報告。第三方監控系統可能是最佳選擇，因為它們可以不斷地查看所有的東西，并指出在何時備份存在異常。帶有機器學習的報告系統是最為理想的選擇，因為它們可以突出顯示發現的問題。與每天從備份系統中讀取幾十或幾百封電子郵件以確保正常的做法相比，這顯然要輕松許多。

災難恢復應排在首位

備份和災難恢復系統應該是計算環境中最安全的系統之一。它們應當難以進入和登錄。即便是以管理員身份或是root方式也應當難以登錄。我們建議備份系統支持基于角色的管理，以便用戶可以以自己的身份登錄并運行備份。用戶不應通過root或以管理員身份運行備份。因為這樣登錄是非常危險的，應當盡可能對此加以限制。

備份和災難恢復系統必須是最新系統。安全補丁應首先安裝在那里，而不是最后才安裝，因為備份和災難恢復系統是最后一道防線。用戶必須確保其沒有受到數周前就應修補的安全漏洞的影響。

如果用戶對服務器有物理訪問權限，那么所有關于數據完整性和不變性的說法都是蒼白的，因此用戶必須要確保備份服務器難以被物理訪問。備份服務器應被設置在不同的房間，且這些機房也需要設置不同的進入權限，或是設置在并非每個人都有鑰匙的機架內。另一個好辦法是將備份系統完全從數據中心中獨立出去，將它們放在云端。

加密所有內容

所有備份通信都應加密，因此用戶需確保自己的備份提供商加密了系統之間的通信。這意味著，在用戶遇到了高級持久性威脅時，即便對方對網絡進行了嗅探，也無法識別備份服務器或發現他們在干什么。這可以有效防止備份系統受到勒索軟件的攻擊。

除了加密正在通信中的備份數據外，用戶還應加密處于靜止狀態的所有備份數據，特別是當數據存儲在物理控制之外的位置時。這包括用戶需要隨時交付的磁帶，還包括存儲在云提供商網絡中的數據，因為即使它們非常安全，但是仍然沒有達到高枕無憂的狀態。用戶應確保備份數據不被攻擊者用于深入滲透網絡和發動攻擊。

基于業務需求構建災難恢復

經過良好測試的災難恢復系統是抵御勒索軟件攻擊的最佳防御。設計糟糕的系統最終會導致用戶受到勒索攻擊并不得不支付贖金。

災難恢復系統應該建立在業務需求的基礎上。在決定如何滿足這些需求之前，用戶應對恢復時間目標（RTO）和恢復點目標（RPO）等需求展開充分的討論。首先要確定RTO和RPO，然后再根據這些需求設計備份和災難恢復系統。

進行嚴格測試

有新聞報道稱，德克薩斯州奧斯汀市在全州停電期間長時間停水的原因是水廠中的工作人員沒有人知道如何打開備用發電機。我們要引以為戒，不要成為一家擁有完美的備份和災難恢復系統卻不知道如何使用它們的公司。如今數據面臨著眾多風險，用戶必須遵循以下建議：經常測試自己的災難恢復系統。

好消息是，大多數現代備份和災難恢復系統都支持對整個系統進行頻繁測試。用戶可以根據需要隨時在沙箱中打開整個數據中心，以便了解它們的實際工作方式。至少每季度做一次測試。測試需要幾個小時并且很無聊，但是這樣可以證明它們能夠正常工作。雖然每季度測試一次很煩，但是當面對勒索攻擊需要進行恢復時，用戶就可從容進行操作了。

每次運行測試時，測試人員需要進行輪換。測試人員不應該是設計系統的人，也不應該是每天使用系統的人。他們必須技術熟練，并可以獲得相應的技術文檔。這是確認系統和文檔都正常工作的最佳方法。

災難恢復系統可以在遇到勒索軟件攻擊后讓整個數據中心迅速重新上線，這是避免支付勒索贖金的唯一方法。

本文作者W.Curtis Preston為備份、存儲和恢復領域專家，自1993年以來一直從事該方面的工作，最近加入了基于云的數據保護公司Druva的團隊。

原文網址

https：//www.networkworld.com/article/3611808/ransomware-how-to-make-sure-backups-are-ready-for-a-real-attack.html