作者:EdwinWeijdema,,Veeam欧洲、中东及非洲地区首席技术官兼首席网络安全技术专家
随着攻击者将目标对准个人、企业和政府,勒索软件已经成为当今最严重的网络安全威胁之一。网络犯罪分子加密重要数据并索要高额赎金的同时,会造成业务瘫痪,以及严重的财务和声誉损失。在以前,一些攻击事件还曾一度成为头条新闻,但不幸的是,如今来自勒索软件的威胁已经演变成几乎每家企业都必须面对的现实。据《Veeam2023数据保护趋势报告》显示,85%的企业去年至少遭受过一次的勒索软件攻击,其中大约一半(48%)的企业甚至遭受过两到三次攻击。
因此,随着网络犯罪分子不断改进其战术并找到绕过安全措施的新方法,情况已经演变成何时会被攻击,而非是否会被攻击。防火墙和杀毒软件等传统预防措施固然重要,但仅靠这些方法还不足以应对高级勒索软件的攻击。企业必须优先考虑强有力的恢复策略,以最大限度地减少对运营、业务连续性和声誉的影响。尽管许多人都已认识到这一情况的重要性,但要想建立起应对勒索软件攻击的实质性恢复能力,还需更加注重强化事件响应和灾难恢复计划和流程。
支付赎金不等于恢复
支付赎金不是一种恢复策略,同样,简单地备份数据也不是。据我们的《Veeam2023勒索软件趋势报告》显示,去年大部分(80%)企业为了终止攻击并恢复数据,最终选择支付赎金,这一比例与前年相比增长了4%。尽管有41%的企业对勒索软件采取了“不支付赎金”的政策,但还是出现了这种情况。然而,在那些支付了赎金的企业中,只有59%成功地恢复了数据,而21%支付了赎金的企业仍然遭受了数据的丢失。同样,虽然您可能认为已经做好了充足的数据备份,可以避免支付赎金,然而超过93%的攻击者会将备份作为网络攻击的目标,而且在其中75%的攻击事件里成功削弱了受害者的恢复能力。
可靠的灾难恢复流程由三个阶段组成:准备、响应和恢复。准备工作包括备份到位(但并非所有备份都以相同方式创建,这一点稍后详述),同样重要的是,需要提前准备好恢复位置。许多企业想到这一点时已为时已晚。您无法将系统还原至初始环境,因为系统已经受损,同时已经成为了一个活跃的犯罪现场。而且您肯定也不希望在勒索软件攻击持续不断的情况下,才开始第一次准备和学习掌握新的云环境。有效的灾难响应措施,包括报告和控制事件,预先准备好的操作响应和取证,这些能够确保您知道什么受到了影响以及环境(尤其是备份)是否受到了破坏。只有拥有有效的灾难响应措施,您才能充满信心地进行恢复。
从对的地方开始
只有当你所计划的备份无懈可击时,为灾难恢复做好准备才是有效的。如果您只有一个数据备份,而它在攻击中被击中,那么您就又回到了原点。相反,企业需要遵循几条黄金法则来提高网络弹性:
安全团队必须确保拥有关键任务数据的不可更改副本,防止黑客篡改或加密数据。
数据加密至关重要,它可以确保黑客无法访问、盗取或泄露数据,从而让他们束手无策。
加强战略最关键的一点在于遵循3-2-1-1-0备份规则。面对勒索软件攻击等潜在威胁,这一规则对于确保可靠的数据保护和恢复至关重要。它包括保留至少三份数据副本,确保即使两台设备受到威胁或发生故障,也有额外的副本可用。因为三台设备同时发生故障的可能性很低。企业应将这些备份存储在两种不同类型的介质上,如一份存储在内部硬盘上,另一份存储在云中。一个副本应始终存储在安全的异地,而另一个副本应保持离线状态(物理隔离),不与主IT基础设施连接。最后,"0"阶段至关重要,备份中应保持零错误。要做到这一点,需要定期进行无差错测试,最好结合持续监测和恢复流程培训。
摆脱勒索软件
毫无疑问,勒索软件攻击在规模、复杂度和影响方面一直在不断显著升级演变。现在的问题已不再是企业是否会成为网络攻击的目标,而是企业遭受攻击的频率。这种转变意味着摆脱勒索软件的措施,正在从预防变为攻击后的恢复。
虽然安全和预防措施固然重要,但攻击后的恢复才是对抗勒索软件的新前沿领域,确保有一个完善的灾难恢复计划尤为关键。通过优先考虑数据备份、投资于现代恢复技术和建立健全的灾难恢复计划,企业可以加强其网络弹性,提高攻击后恢复的能力,并摆脱勒索软件风险。