步骤1 – 阻止
确保系统不会被感染,最好的勒索软件恢复预防措施就是需要确保组织的所有服务器都经过修补,安装防火墙和正确的防病毒软件。它还包括培训最终用户识别可疑电子邮件和恶意网站。
预防的挑战是勒索软件攻击的数量和频率。由于恶意软件的盈利能力,这种软件的开发人员可以投资于加快攻击过程的新技术,并克服IT团队采取的各种对策。
步骤2 - 保护
第二步是保护。对于勒索软件,保护数据中心不仅仅是一个很好的备份。大多数的数据备份过程每晚运行一次。假设最后一次备份成功,这意味着如果在下一个工作日结束时发生攻击,则大量关键数据容易受到攻击。
在勒索软件肆虐的时代,IT团队应该设计至少每隔30分钟保护数据的系统。而且,不仅仅是保护关键任务数据。尽管MS-SQL这样的数据库的应用程序确实已经并将继续成为勒索软件加密的受害者,但大多数赎金都是来自加密的服务器数据的标准文件。
30分钟保护窗口需要更智能的备份应用程序,可以有效地识别子文件级别的更改,并在网络上传输这些更改。例子包括块级增量,更改块跟踪,以及源端重复数据删除。这些更细粒度的备份技术使备份更频繁地发生,并减少对应用程序和网络基础设施的影响。
步骤3 - 恢复
文件恢复可能是防止勒索软件最重要的一步。恢复的第一部分是检测。勒索软件通过加密文件来工作。要加密文件,恶意软件必须打开文件,其数据位将重新排列,然后重新保存该文件。检测是直接的手段和措施。IT人员必须拥有正确的工具,可以在短时间内为任何特定用户查找大量文件的快速变化。
虽然有具体的工具来监控这种类型的活动,但提供这种功能的优秀提供商可以提供适当的数据保护解决方案,特别是如果每15到30分钟执行一次数据备份。如果数据保护解决方案可以提醒管理员在15分钟间隔内更改大量文件,那么它本质上可以将检测集成到应用程序中,从而无需另外工具的检测。一些供应商将这种类型的“异常检测”集成到其备份解决方案中。
一旦检测并阻止了勒索软件,最后一步就是恢复数据。恢数据复可能有两种形式(假设没有支付赎金)。第一种形式是在病毒开始发作之后不久就会发现检测。在这种情况下,可能恢复几十到几百个文件。如果监视解决方案可以将该列表提供给恢复软件,那么简单地恢复这些文件可能更容易。
另一种情况是勒索软件在一个服务器或甚至几个服务器工作时发作。发生这种情况并不需要很长时间,许多勒索软件能够在几分钟内感染10万个以上文件。
如果是第二种情况,假设选择的恢复解决方案是可行的,简单的解决方案可能是恢复整个服务器的数据。它是灾难恢复即服务(DRaaS)的理想用例。使用DRaaS,IT管理人员可以在数分钟内将整个服务器作为虚拟实例(内部部署或云端)进行恢复。此外,如果如上所述在解决方案中内置了更改检测,那么IT团队也将准确知道所恢复的服务器的哪个版本。
恢复的关键在于它必须足够容易,而且足够快,这样就可以避免支付赎金。
对于勒索软件来说,预防是重要的。但IT团队需要随时为可能遇到的情况做好准备。这意味着在某些时候,他们需要恢复数据(甚至运行应用程序)并快速完成。对于大多数组织来说,满足这些要求可能需要一个备用的更高效的解决方案,可以频繁备份,并快速恢复数据。
京公网安备 11010502049343号