備份能否幫助我們對抗勒索軟體?

從理論上講，每位受害者都不應向勒索軟體支付贖金。難道我們手中握有的備份副本是吃素的?即使是消費級使用者也擁有大量免費或者成本極低的備份手段。

然而，無數新聞報道反複提醒着我們，醫院、警局與各類組織機構都應當利用堅實的備份政策保障自身業務連續性。

根據fbi的調查，單在2016年第一季度美國本土支付給勒索軟體的贖金總額就高達2.09億美元——遠高于2015年全年的2500萬美元。

這是怎麼回事?備份機制怎麼沒起到作用?

事實上，為了節約資金，某些企業并沒有将全部重要檔案納入備份，或者沒能以理想的頻率運作備份方案。也有一些使用者直到面對勒索才發現自己的備份并不能正常起效。最後，也有部分企業把備份副本放在了網絡驅動器等能夠為勒索軟體所輕易尋獲并進行加密的位置。

多少份備份副本才能保障萬全?

成本與安全性之間永遠需要做出取舍，而大多數企業顯然更重視其營運開銷。

“總體來講，企業并不太願意為it部門提供備份全部資料所必需的預算，”戴爾公司客戶解決方案辦公室研究員兼執行董事david konetski解釋稱。“不過那已經是五到十年前的情況了，随着存儲成本的不斷下降，如今我們可以選擇成本相當低廉的存儲方案及雲存儲服務。”

另外，單純備份重要資料與檔案可能還不夠。所有裝置都該被納入備份範疇，隻要其在業務體系中有着自己的作用。

例如，好萊塢長老會醫療中心最近就向勒索分子支付了17000美元贖金。該勒索軟體并沒有對檔案進行加密，但卻在十天中嚴重影響到其業務，迫使從業人員重新開始使用紙質記錄與傳真機。當地新聞機構報道稱，部分緊急病人甚至是以被轉移到其它醫院。

“惡意軟體鎖定了特定計算機系統，同時阻止我們以電子方式進行共享通信，”該醫療中心ceo allen stefanek在一封公開信中解釋道。

如果擁有完整的裝置鏡像，醫院能夠徹底清除被感染的硬體并将其恢複至正常版本。事實上，企業并不需要為每套系統存儲多個完整版本——使用隻儲存最新變化的增量型備份系統能夠有效解決問題。“在這種情況下，如果系統遭受危害，使用者可以復原至裸機狀态，”惠普企業業務公司企業級資料保護與移動資訊化管理部門産品管理進階總監stephen spellicy表示。

對備份機制進行測試

建立一套綜合性的備份政策無疑是項持續性工作，特别是在擁有多種資料、檔案與系統類型需要保護的大型企業當中。這種複雜性可能導緻某些備份無法正常起效，eset公司進階安全研究員stephen cobb指出。

“企業面臨勒索軟體時遭遇的最大難題在于，他們可能并沒有對自己的備份方案進行過測試，”他表示。“備份确實在正常進行，但他們沒有以此為基礎進行過恢複。”

“之是以很少進行備份測試，是因為相當一部分企業正計劃選擇其它供應商的方案，”他指出。“但測試工作需要定期進行，隻要還在使用就必須進行測試，否則無效的方案還不如沒有。”

隐藏備份以防止惡意人士窺探

網絡勒索分子當然了解備份的重要作用，他們也将其視為自己的頭号天敵。

“某些勒索軟體會銷毀所有鏡像副本以及windows系統上的恢複點資料。也有一部分勒索軟體會将矛頭指向接入驅動器，”riskanalytics公司安全實驗室主管noah dunker表示。

“為了幫助備份副本擁有勒索軟體抵禦能力，大家應當使用不接入特定工作站的獨立驅動器，”arcticwolf networks公司安全工程技術負責人sam mclane建議稱。“例如，通過網絡将資料在不同工作站或儲存設備之間往來遷移。確定該儲存設備或驅動器受到保護且無法被使用者工作站所通路。”

安全控制必須部署到位。“大家不需要每天通路備份副本，其隻負責應對緊急情況，”資料加密廠商identity finder公司ceo todd feinman表示。

由于系統會不斷監控檔案變化并進行同步，是以一旦惡意軟體侵入計算機并加密所有檔案，那麼備份系統及鏡像也将被一同加密。不過幸運的是，我們往往擁有其它早期版本可供參考。

“如果某個加密檔案在流程中進行了備份，那麼隻要加以恢複即可使其回歸解密狀态，”authentic8公司聯合創始人兼ceo scott petry指出。“但為了避免加密-恢複-解密的流程不斷循環，大家應當首先清除惡意軟體，而後再行恢複。”

不隻是資料

丢失檔案及關鍵性任務系統遭到鎖定還并非最差的結果，勒索軟體亦有可能充當其它攻擊活動的掩護。

“進階黑客很可能利用勒索軟體掩護自己的攻擊或者破壞事件響應機制，”strategic cyber ventures公司ceo tom kellermann表示。

這類攻擊者甚至有可能劫持企業的整體通訊或者網站以進一步擴大勒索規模。是以及早清理并充分利用恢複手段才是最為可靠的應對思路。

本文轉自d1net（轉載）