通过以下步骤确保备份可以恢复受感染的系统,避免向勒索软件攻击者支付报酬。
避免向用勒索软件感染您系统的攻击者支付赎金的最佳方法是对这些系统进行充分备份,以便您可以擦除它们并从安全备份中恢复它们。以下是确保这些备份能够完成任务的几个选项。
在本文中,备份指的是您将用于响应勒索软件攻击的任何系统,包括老式备份系统、复制系统和支持备份和灾难恢复的现代混合系统。为了简单起见,它们在这里都称为备份。
有关备份和恢复的详细信息:
- 备份与归档:为什么了解两者的区别很重要
- 如何选择异地数据备份方法
- 磁带与磁盘存储:为什么磁带还没死?
- 正确的备份级别可以节省时间、带宽和空间
使用3-2-1规则备份所有内容
在其他事情之前,有一个想法是最重要的:备份所有的东西。研究备份系统自动包含所有新系统、文件系统和数据库的能力。这在虚拟化世界中是最简单的,您可以将备份系统配置为在主机上的所有虚拟机出现时自动备份它们。这也可以通过基于标记的包含来实现,其中不同类型的vm根据它们的“包含”标记自动被包含。这是自动化在备份系统中的最佳用途之一–自动包含所有内容。
还要确保在备份系统中遵循3-2-1规则,不管谁试图告诉你这是过时的。该规则规定,至少要将存储在两种不同媒体上的数据复制三份或三个版本,其中一种是非现场的。这里的主要部分是两个和一个–将备份存储在不同的系统和不同的位置。不要将备份存储在与主系统相同的位置。更好的是,将它们存储在不同的操作系统和物理位置上,但在现实世界中这并不总是可能的。
你的备份系统应该有某种类型的自动报告,这样你就可以确定你认为正在发生的备份是真的。这应该包括成功报告和失败报告。第三方监控系统可能是最好的,这样它就可以不断地查看所有的东西,并指出什么时候事情有点不对劲。一个带有机器学习的报告系统是理想的,因为它可以注意到指示问题的模式。这比每天从备份系统中读取几十或几百封电子邮件来确保工作正常要容易得多。
安全博士应该排在首位
备份和灾难恢复系统应该是计算环境中最安全的系统之一。应该很难进入,也很难登录。以管理员或root身份登录应该很困难。希望您的备份系统支持基于角色的管理,以便您可以以自己的身份登录并以自己的身份运行备份。您不必以root或管理员身份运行备份。以这些帐户登录是非常危险的,应该尽可能地加以限制。
您的备份和灾难恢复系统也应该是您拥有的最新系统。安全补丁应该首先安装在那里,而不是最后,因为备份和灾难恢复系统是你的最后一道防线。确保它没有受到几个星期前就应该修补的安全漏洞的影响。
推荐白皮书
- 云连接食谱
云连接食谱
- SD-WAN-as-a-Service的投资回报率
SD-WAN-as-a-Service的投资回报率
- IDC:为什么数据战略是应用程序现代化的粘合剂
IDC:为什么数据战略是应用程序现代化的粘合剂
如果您对服务器有物理访问权限,那么所有关于数据完整性和不变性的声明都将不复存在,因此备份服务器也很难物理访问。也许是在一个不同的房间,需要不同的物理访问,或在一个不是每个人都有钥匙的电脑机架内。另一个很好的方法是将备份系统完全从数据中心中取出。把它放在云中。
加密所有内容
所有备份通信都应该加密,因此请确保备份提供商正在加密系统之间的通信。这意味着,如果你得到了一个高级的持久性威胁,它是嗅探网络,它不会确定备份服务器或他们在干什么。这可以防止您的备份系统受到勒索软件的攻击。
除了加密飞行中的备份流量外,您还应该加密静止时的所有备份流量,特别是当数据存储在物理控制之外的任何位置时。这包括你要随时交给任何人的磁带,包括你自己的员工。这还包括存储在云提供商网络中的数据,因为即使它们非常安全,也没有什么是完美的。确保您的备份数据不能用作进一步调查您的网络并对其进行攻击的手段。
基于业务需求构建灾难恢复
经过良好测试的DR系统是抵御勒索软件攻击的最佳防御。设计糟糕的系统是保证你最终支付赎金的最佳方式。
IT的每个领域都应该如此,但灾难恢复系统应该建立在业务需求的基础上。在您决定如何实际满足这些需求之前,应该有许多会议讨论并同意恢复时间目标(RTO)和恢复点目标(RPO)等需求。一旦您同意RTO和RPO,请设计一个满足这些要求的备份和灾难恢复系统。
就像你的生命取决于它一样
最近的一篇新闻文章说,德克萨斯州奥斯汀市在全州停电期间失去饮用水这么长时间的原因是水处理厂没有人知道如何打开备用发电机。别做那个公司的人。不要成为一家拥有完美的备份和灾难恢复系统却不知道如何使用它的公司。今天,您的数据有太多的风险,您不能不遵循以下关键建议:经常测试您的DR系统。
好消息是,大多数现代备份和灾难恢复系统都支持对整个系统进行频繁的测试。您可以根据需要随时在沙箱中打开整个数据中心,以便了解它的实际工作方式。至少每季度做一次。它应该只需要几个小时,它应该是无聊的,因为它证明了它的工作。如果你每季度测试一次都很无聊,那么当你真的需要用它来从勒索软件中恢复的时候就很容易了。
每次运行测试时,轮换运行测试的人员。他们不应该是设计系统的人,也不应该是每天使用系统的人。他们应该有良好的技术诀窍,并提供良好的文件遵循。这是确认系统和文档都正常工作的最佳方法。
准备好勒索软件的DR系统可以在勒索软件攻击后使整个数据中心恢复在线,这是避免支付勒索的唯一方法。在你的公司成为另一个统计数字之前,请现在就考虑一下这样做。