信息化觀察網(wǎng)

勒索軟件正成為對(duì)數(shù)據(jù)的頭號(hào)威脅，這使得確保不良分子在執(zhí)行勒索軟件攻擊時(shí)不會(huì)將您的備份數(shù)據(jù)和您的主要數(shù)據(jù)一起加密至關(guān)重要。如果他們成功了，你將別無(wú)選擇，只能支付贖金，這將鼓勵(lì)他們?cè)俅螄L試。

不必支付贖金的關(guān)鍵是擁有備份以還原勒索軟件已加密的系統(tǒng)。保護(hù)這些備份免受勒索軟件攻擊的關(guān)鍵是在生產(chǎn)系統(tǒng)和備份系統(tǒng)之間設(shè)置盡可能多的障礙。無(wú)論做什么，請(qǐng)確保備份的唯一副本不是簡(jiǎn)單地位于要保護(hù)的同一數(shù)據(jù)中心的Windows服務(wù)器上的目錄中。

保護(hù)Windows

大多數(shù)勒索軟件攻擊是針對(duì)Windows主機(jī)的，一旦單個(gè)主機(jī)被感染，它們就會(huì)傳播到計(jì)算環(huán)境中的其他Windows主機(jī)上。一旦勒索軟件擴(kuò)散到足夠多的主機(jī)，攻擊者就會(huì)激活加密程序。因此，最明智的做法是使用Windows以外的其他工具作為備份服務(wù)器。

不幸的是，許多流行的備份產(chǎn)品主要在Windows上運(yùn)行。好消息是，其中許多還提供了Linux替代方案。即使主備份軟件必須在Windows上運(yùn)行，它也可能具有Linux介質(zhì)服務(wù)器選項(xiàng)。介質(zhì)服務(wù)器是關(guān)鍵，因?yàn)檫@就是您要保護(hù)的數(shù)據(jù)所在的位置。如果只能通過(guò)基于Linux的媒體服務(wù)器訪問(wèn)您的備份，則針對(duì)Windows服務(wù)器的勒索軟件攻擊將無(wú)法對(duì)其進(jìn)行攻擊。

除了將常規(guī)備份存儲(chǔ)在基于Linux的媒體服務(wù)器后面之外，請(qǐng)確保主備份服務(wù)器的備份也存儲(chǔ)在其中。如果訪問(wèn)那些備份所需的數(shù)據(jù)庫(kù)已被勒索軟件加密，那么對(duì)備份進(jìn)行未加密將無(wú)濟(jì)于事。

您還應(yīng)該盡可能加強(qiáng)基于Windows的備份服務(wù)器。了解勒索軟件用于攻擊服務(wù)器(例如RDP)的服務(wù)并盡可能多的關(guān)閉它們。一定要記住，該服務(wù)器是您的最后一道防線，因此請(qǐng)著重考慮安全性，而不是便利性。

從數(shù)據(jù)中心獲取備份

無(wú)論選擇哪種備份解決方案，都應(yīng)將備份副本存儲(chǔ)在其他位置。這意味著不僅僅是將備份服務(wù)器放置在云中的虛擬機(jī)中。如果從電子角度來(lái)看虛擬機(jī)具有與在數(shù)據(jù)中心內(nèi)一樣的可訪問(wèn)性，則攻擊同樣容易。您需要以一種方式進(jìn)行配置，以使對(duì)數(shù)據(jù)中心系統(tǒng)的攻擊無(wú)法傳播到云中的備份系統(tǒng)。這可以通過(guò)多種方式來(lái)完成，包括防火墻規(guī)則，更改操作系統(tǒng)和存儲(chǔ)協(xié)議。

例如，大多數(shù)云供應(yīng)商提供對(duì)象存儲(chǔ)，并且大多數(shù)備份軟件產(chǎn)品和服務(wù)都可以寫入對(duì)象存儲(chǔ)。勒索軟件攻擊者可能很老練，但是到目前為止，還沒有弄清楚如何攻擊基于對(duì)象的存儲(chǔ)中存儲(chǔ)的備份。此外，此類提供程序通常提供一次寫入，多次讀取選項(xiàng)，這意味著您可以指定一個(gè)期限，在該期限內(nèi)，即使授權(quán)人員也無(wú)法修改或刪除備份。

還有一些備份服務(wù)可以將數(shù)據(jù)寫入只能通過(guò)用戶界面訪問(wèn)的數(shù)據(jù)到其存儲(chǔ)中。如果您無(wú)法直接看到備份，則勒索軟件也不會(huì)。

這樣做的目的是使您的備份(或至少備份的一個(gè)副本)盡可能的遠(yuǎn)離受感染的Windows系統(tǒng)。將它們放置在受防火墻規(guī)則保護(hù)的提供商的云中，為備份服務(wù)器使用其他操作系統(tǒng)，并將備份寫入其他類型的存儲(chǔ)。

刪除文件系統(tǒng)對(duì)備份的訪問(wèn)

如果您的備份系統(tǒng)正在將備份寫入磁盤，請(qǐng)盡最大努力確保無(wú)法通過(guò)標(biāo)準(zhǔn)文件系統(tǒng)目錄訪問(wèn)它們。例如，放置備份數(shù)據(jù)的最壞可能的位置是E：backups。勒索軟件產(chǎn)品專門針對(duì)具有此類名稱的目錄，并將對(duì)備份進(jìn)行加密。

這意味著您需要找出一種將那些備份存儲(chǔ)在磁盤上的方式，以使操作系統(tǒng)不會(huì)將那些備份視為文件。例如，最常見的備份配置之一是備份服務(wù)器將其備份數(shù)據(jù)寫入到目標(biāo)重復(fù)數(shù)據(jù)刪除陣列中，該目標(biāo)重復(fù)數(shù)據(jù)刪除陣列通過(guò)服務(wù)器消息塊(SMB)或網(wǎng)絡(luò)文件系統(tǒng)(NFS)安裝到備份服務(wù)器上。如果勒索軟件產(chǎn)品感染了該服務(wù)器，它將能夠?qū)υ撃繕?biāo)重復(fù)數(shù)據(jù)刪除系統(tǒng)上的備份進(jìn)行加密，因?yàn)榭梢酝ㄟ^(guò)目錄訪問(wèn)這些備份。您需要研究允許備份產(chǎn)品在不使用SMB或NFS的情況下寫入目標(biāo)重復(fù)數(shù)據(jù)刪除陣列的方法。所有流行的備份產(chǎn)品均具有此類選項(xiàng)。

利用磁帶進(jìn)行備份

當(dāng)然我們還可以使用磁帶進(jìn)行備份，磁帶真正擅長(zhǎng)的一件事是將昨晚或上周的備份復(fù)制到另一種介質(zhì)，然后發(fā)送到異地以防范勒索軟件攻擊。即使是最好的勒索軟件產(chǎn)品也完全無(wú)法感染你的備份。有時(shí)，原始的方法往往是最好的方法。

設(shè)置一些障礙

不要讓勒索軟件輕易看到和加密你的備份。如果可能，不要將它們存儲(chǔ)在Windows服務(wù)器上，至少要將一份拷貝存儲(chǔ)在數(shù)據(jù)中心無(wú)法通過(guò)電子方式訪問(wèn)的地方。最后，以這樣一種方式配置備份系統(tǒng)，使備份不能被視為備份服務(wù)器上的文件。