保護備份免受勒索軟件侵害

備份是當遭遇數據加密勒索時最后的防線和控制方式，但是它們也需要保護。今年，勒索軟件在各行各業猖狂肆虐。主要的兩種攻擊WannaCry和NotPetya已造成數億美元的損失。自然，攻擊者也感受到其顯著的成效，還在快速增加通過勒索軟件實施攻擊。

良好備份和有效恢復

企業在面對勒索軟件時是除了是有選擇的，也應當主動而非被動。最可靠的防御方式就是堅持良好備份和經過可靠測試的恢復過程。定期備份數據的單位，當檢測到勒索軟件攻擊時，就有機會能夠快速恢復數據并將破壞降至最低。

在某些特殊情況下，比如NotPetya等大規模勒索軟件模仿Petya勒索軟件提出相似的勒索要求。在這種情況下，受害者哪怕支付贖金也無法恢復數據，因此良好的備份/恢復能力顯得更加重要。

狡猾的攻擊者把目標對準備份

正因為良好的備份如此有效，所以勒索軟件的攻擊者現在把矛頭對準了備份流程和工具。數種勒索軟件，包括WannaCry和新變種的CryptoLocker都會刪除微軟Windows操作系統創建的卷影備份。卷影備份是微軟Windows為方便恢復提供的簡單方式。在Mac上，攻擊者從一開始就把備份作為目標。研究人員發現，2015年功能還不全面的首個Mac勒索軟件就已經針對了使用名為時間機器的Mac OS X自動備份流程的磁盤。

其機制很直接：加密備份數據以切斷企業對勒索軟件的控制，迫使他們支付贖金。攻擊者越來越傾向于破壞備份。以下是幫助企業保護數據備份免受勒索軟件侵害的四條建議。

1.提高備份流程的透明度

企業越快發現勒索軟件攻擊，就越有可能避免重大數據損失。備份流程數據可作為勒索軟件入侵的早期警報。備份日志能快速顯示數據加密程序的痕跡。每有效修改一個文件，增量備份就會突然“爆炸”，使加密文件無法被壓縮或復制。

每天監控備份使用容量等基本指標有助于在勒索軟件侵入內部系統時有所察覺并盡可能減少損失。

2.謹慎使用網絡文件服務器和在線共享服務

網絡文件服務器使用方便且始終可用，這兩個特性使人們常常使用網絡訪問的“主”目錄集中數據并簡化備份。但是，一旦遭遇勒索軟件，這種數據結構就具有若干嚴重的安全漏洞。很多勒索軟件程序會加密連接設備，由此目標主目錄也會被加密。在Windows這種常被選為目標且容易攻擊的操作系統上運行的所有服務器都會受到感染，導致所有用戶的數據被加密。

使用網絡文件服務器的所有機構都必須堅持將數據備份到獨立的系統或服務，并專門測試系統被勒索軟件入侵的恢復能力。

云文件服務也容易受到勒索軟件攻擊。一個典型事例就是2015年的Children in Film勒索軟件攻擊。Children in Film使用了包括普通云盤在內的大量云服務。KrebsOnSecurity的信息顯示，在員工點擊了一個惡意郵件鏈接的30分鐘內，云端的四千多份文件就被加密了。幸運的是，該公司的備份供應商恢復了所有文件，但也花了超過一周的時間。

但云端數據恢復受限于云服務是否提供增量備份或方便管理文件的版本歷史，因此比內部部署服務器更加困難。

3.經常測試恢復過程

除非能夠可靠快速地恢復，否則備份沒有任何價值。如果備份程序無法以足夠的細粒度執行備份或沒有備份目標數據，有備份的企業也可能被迫支付贖金。

測試恢復過程包括確定數據丟失窗口。如果企業每周進行一次完整備份，就可能損失一周的數據，因為需要從上一個備份恢復。每天或每小時備份一次能大幅提高防護水平。更有細粒度的備份和盡早檢測勒索軟件都是防止損失的關鍵。

4.了解您的解決方案選項

如果勒索軟件可以直接訪問備份鏡像，幾乎就無法防止其加密企業備份數據了。因此，能提取備份數據的備份系統可防止勒索軟件加密歷史數據。

將備份與標準操作環境隔開并確保不在多用途服務器和操作系統上運行可加強備份防護。在首要攻擊目標微軟Windows操作系統上運行的備份系統更易受到攻擊，防護也更加困難。

最后，企業必須努力通過監控或反惡意軟件措施盡早檢測出勒索軟件攻擊，使用專用系統隔離備份數據和可能受到侵害的系統，持續測試備份和恢復過程以確保有效保護數據。這種方法能保護備份數據免受勒索軟件侵害，減小受到攻擊時丟失數據的風險。