為什么數(shù)據(jù)恢復(fù)被視為擺脫勒索軟件的新前沿領(lǐng)域

作者：Edwin Weijdema, ，Veeam歐洲、中東及非洲地區(qū)首席技術(shù)官兼首席網(wǎng)絡(luò)安全技術(shù)專家

隨著攻擊者將目標(biāo)對(duì)準(zhǔn)個(gè)人、企業(yè)和政府，勒索軟件已經(jīng)成為當(dāng)今最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一。網(wǎng)絡(luò)犯罪分子加密重要數(shù)據(jù)并索要高額贖金的同時(shí)，會(huì)造成業(yè)務(wù)癱瘓，以及嚴(yán)重的財(cái)務(wù)和聲譽(yù)損失。在以前，一些攻擊事件還曾一度成為頭條新聞，但不幸的是，如今來自勒索軟件的威脅已經(jīng)演變成幾乎每家企業(yè)都必須面對(duì)的現(xiàn)實(shí)。據(jù)《 Veeam 2023 數(shù)據(jù)保護(hù)趨勢報(bào)告》顯示，85% 的企業(yè)去年至少遭受過一次的勒索軟件攻擊，其中大約一半(48%)的企業(yè)甚至遭受過兩到三次攻擊。因此，隨著網(wǎng)絡(luò)犯罪分子不斷改進(jìn)其戰(zhàn)術(shù)并找到繞過安全措施的新方法，情況已經(jīng)演變成何時(shí)會(huì)被攻擊， 而非是否會(huì)被攻擊。防火墻和殺毒軟件等傳統(tǒng)預(yù)防措施固然重要，但僅靠這些方法還不足以應(yīng)對(duì)高級(jí)勒索軟件的攻擊。企業(yè)必須優(yōu)先考慮強(qiáng)有力的恢復(fù)策略，以最大限度地減少對(duì)運(yùn)營、業(yè)務(wù)連續(xù)性和聲譽(yù)的影響。盡管許多人都已認(rèn)識(shí)到這一情況的重要性，但要想建立起應(yīng)對(duì)勒索軟件攻擊的實(shí)質(zhì)性恢復(fù)能力，還需更加注重強(qiáng)化事件響應(yīng)和災(zāi)難恢復(fù)計(jì)劃和流程。支付贖金不等于恢復(fù)支付贖金不是一種恢復(fù)策略，同樣，簡單地備份數(shù)據(jù)也不是。據(jù)我們的《Veeam 2023勒索軟件趨勢報(bào)告》顯示，去年大部分(80%)企業(yè)為了終止攻擊并恢復(fù)數(shù)據(jù)，最終選擇支付贖金，這一比例與前年相比增長了 4%。盡管有 41% 的企業(yè)對(duì)勒索軟件采取了“不支付贖金”的政策，但還是出現(xiàn)了這種情況。然而，在那些支付了贖金的企業(yè)中，只有59%成功地恢復(fù)了數(shù)據(jù)，而21%支付了贖金的企業(yè)仍然遭受了數(shù)據(jù)的丟失。同樣，雖然您可能認(rèn)為已經(jīng)做好了充足的數(shù)據(jù)備份，可以避免支付贖金，然而超過 93% 的攻擊者會(huì)將備份作為網(wǎng)絡(luò)攻擊的目標(biāo)，而且在其中 75% 的攻擊事件里成功削弱了受害者的恢復(fù)能力。可靠的災(zāi)難恢復(fù)流程由三個(gè)階段組成：準(zhǔn)備、響應(yīng)和恢復(fù)。準(zhǔn)備工作包括備份到位(但并非所有備份都以相同方式創(chuàng)建，這一點(diǎn)稍后詳述)，同樣重要的是，需要提前準(zhǔn)備好恢復(fù)位置。許多企業(yè)想到這一點(diǎn)時(shí)已為時(shí)已晚。您無法將系統(tǒng)還原至初始環(huán)境，因?yàn)橄到y(tǒng)已經(jīng)受損，同時(shí)已經(jīng)成為了一個(gè)活躍的犯罪現(xiàn)場。而且您肯定也不希望在勒索軟件攻擊持續(xù)不斷的情況下，才開始第一次準(zhǔn)備和學(xué)習(xí)掌握新的云環(huán)境。有效的災(zāi)難響應(yīng)措施，包括報(bào)告和控制事件，預(yù)先準(zhǔn)備好的操作響應(yīng)和取證，這些能夠確保您知道什么受到了影響以及環(huán)境(尤其是備份)是否受到了破壞。只有擁有有效的災(zāi)難響應(yīng)措施，您才能充滿信心地進(jìn)行恢復(fù)。

從對(duì)的地方開始只有當(dāng)你所計(jì)劃的備份無懈可擊時(shí)，為災(zāi)難恢復(fù)做好準(zhǔn)備才是有效的。如果您只有一個(gè)數(shù)據(jù)備份，而它在攻擊中被擊中，那么您就又回到了原點(diǎn)。相反，企業(yè)需要遵循幾條黃金法則來提高網(wǎng)絡(luò)彈性：

安全團(tuán)隊(duì)必須確保擁有關(guān)鍵任務(wù)數(shù)據(jù)的不可更改副本，防止黑客篡改或加密數(shù)據(jù)。

數(shù)據(jù)加密至關(guān)重要，它可以確保黑客無法訪問、盜取或泄露數(shù)據(jù)，從而讓他們束手無策。

加強(qiáng)戰(zhàn)略最關(guān)鍵的一點(diǎn)在于遵循 3-2-1-1-0 備份規(guī)則。面對(duì)勒索軟件攻擊等潛在威脅，這一規(guī)則對(duì)于確?？煽康臄?shù)據(jù)保護(hù)和恢復(fù)至關(guān)重要。它包括保留至少三份數(shù)據(jù)副本，確保即使兩臺(tái)設(shè)備受到威脅或發(fā)生故障，也有額外的副本可用。因?yàn)槿_(tái)設(shè)備同時(shí)發(fā)生故障的可能性很低。企業(yè)應(yīng)將這些備份存儲(chǔ)在兩種不同類型的介質(zhì)上，如一份存儲(chǔ)在內(nèi)部硬盤上，另一份存儲(chǔ)在云中。一個(gè)副本應(yīng)始終存儲(chǔ)在安全的異地，而另一個(gè)副本應(yīng)保持離線狀態(tài)(物理隔離)，不與主 IT 基礎(chǔ)設(shè)施連接。最后，"0 "階段至關(guān)重要，備份中應(yīng)保持零錯(cuò)誤。要做到這一點(diǎn)，需要定期進(jìn)行無差錯(cuò)測試，最好結(jié)合持續(xù)監(jiān)測和恢復(fù)流程培訓(xùn)。

擺脫勒索軟件毫無疑問，勒索軟件攻擊在規(guī)模、復(fù)雜度和影響方面一直在不斷顯著升級(jí)演變?，F(xiàn)在的問題已不再是企業(yè)是否會(huì)成為網(wǎng)絡(luò)攻擊的目標(biāo)，而是企業(yè)遭受攻擊的頻率。這種轉(zhuǎn)變意味著擺脫勒索軟件的措施，正在從預(yù)防變?yōu)楣艉蟮幕謴?fù)。

雖然安全和預(yù)防措施固然重要，但攻擊后的恢復(fù)才是對(duì)抗勒索軟件的新前沿領(lǐng)域，確保有一個(gè)完善的災(zāi)難恢復(fù)計(jì)劃尤為關(guān)鍵。通過優(yōu)先考慮數(shù)據(jù)備份、投資于現(xiàn)代恢復(fù)技術(shù)和建立健全的災(zāi)難恢復(fù)計(jì)劃，企業(yè)可以加強(qiáng)其網(wǎng)絡(luò)彈性，提高攻擊后恢復(fù)的能力，并擺脫勒索軟件風(fēng)險(xiǎn)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）