從理論上講,每位受害者都不應向勒索軟件支付贖金。難道我們手中握有的備份副本是吃素的?即使是消費級用戶也擁有大量免費或者成本極低的備份手段。
然而,無數新聞報道反復提醒著我們,醫院、警局與各類組織機構都應當利用堅實的備份策略保障自身業務連續性。
根據FBI的調查,單在2016年第一季度美國本土支付給勒索軟件的贖金總額就高達2.09億美元——遠高于2015年全年的2500萬美元。
這是怎么回事?備份機制怎么沒起到作用?
事實上,為了節約資金,某些企業并沒有將全部重要文件納入備份,或者沒能以理想的頻率運行備份方案。也有一些用戶直到面對勒索才發現自己的備份并不能正常起效。最后,也有部分企業把備份副本放在了網絡驅動器等能夠為勒索軟件所輕易尋獲并進行加密的位置。
多少份備份副本才能保障萬全?
成本與安全性之間永遠需要做出取舍,而大多數企業顯然更重視其運營開銷。
“總體來講,企業并不太愿意為IT部門提供備份全部數據所必需的預算,”戴爾公司客戶解決方案辦公室研究員兼執行董事David Konetski解釋稱。“不過那已經是五到十年前的情況了,隨著存儲成本的不斷下降,如今我們可以選擇成本相當低廉的存儲方案及云存儲服務。”
另外,單純備份重要數據與文件可能還不夠。所有設備都該被納入備份范疇,只要其在業務體系中有著自己的作用。
例如,好萊塢長老會醫療中心最近就向勒索分子支付了17000美元贖金。該勒索軟件并沒有對文件進行加密,但卻在十天中嚴重影響到其業務,迫使工作人員重新開始使用紙質記錄與傳真機。當地新聞機構報道稱,部分緊急病人甚至因此被轉移到其它醫院。
“惡意軟件鎖定了特定計算機系統,同時阻止我們以電子方式進行共享通信,”該醫療中心CEO Allen Stefanek在一封公開信中解釋道。
如果擁有完整的設備鏡像,醫院能夠徹底清除被感染的硬件并將其恢復至正常版本。事實上,企業并不需要為每套系統存儲多個完整版本——使用只保存最新變化的增量型備份系統能夠有效解決問題。“在這種情況下,如果系統遭受危害,用戶可以回滾至裸機狀態,”惠普企業業務公司企業級數據保護與移動信息化管理部門產品管理高級總監Stephen Spellicy表示。
對備份機制進行測試
創建一套綜合性的備份策略無疑是項持續性工作,特別是在擁有多種數據、文件與系統類型需要保護的大型企業當中。這種復雜性可能導致某些備份無法正常起效,ESET公司高級安全研究員Stephen Cobb指出。
“企業面臨勒索軟件時遭遇的最大難題在于,他們可能并沒有對自己的備份方案進行過測試,”他表示。“備份確實在正常進行,但他們沒有以此為基礎進行過恢復。”
“之所以很少進行備份測試,是因為相當一部分企業正計劃選擇其它供應商的方案,”他指出。“但測試工作需要定期進行,只要還在使用就必須進行測試,否則無效的方案還不如沒有。”
隱藏備份以防止惡意人士窺探
網絡勒索分子當然了解備份的重要作用,他們也將其視為自己的頭號天敵。
“某些勒索軟件會銷毀所有鏡像副本以及Windows系統上的恢復點數據。也有一部分勒索軟件會將矛頭指向接入驅動器,”RiskAnalytics公司安全實驗室主管Noah Dunker表示。
“為了幫助備份副本擁有勒索軟件抵御能力,大家應當使用不接入特定工作站的獨立驅動器,”ArcticWolf Networks公司安全工程技術負責人Sam McLane建議稱。“例如,通過網絡將數據在不同工作站或存儲設備之間往來遷移。確保該存儲設備或驅動器受到保護且無法被用戶工作站所訪問。”
安全控制必須部署到位。“大家不需要每天訪問備份副本,其只負責應對緊急情況,”數據加密廠商Identity Finder公司CEO Todd Feinman表示。
由于系統會不斷監控文件變化并進行同步,因此一旦惡意軟件侵入計算機并加密所有文件,那么備份系統及鏡像也將被一同加密。不過幸運的是,我們往往擁有其它早期版本可供參考。
“如果某個加密文件在流程中進行了備份,那么只要加以恢復即可使其回歸解密狀態,”Authentic8公司聯合創始人兼CEO Scott Petry指出。“但為了避免加密-恢復-解密的流程不斷循環,大家應當首先清除惡意軟件,而后再行恢復。”
不只是數據
丟失文件及關鍵性任務系統遭到鎖定還并非最差的結果,勒索軟件亦有可能充當其它攻擊活動的掩護。
“高級黑客很可能利用勒索軟件掩護自己的攻擊或者破壞事件響應機制,”Strategic Cyber Ventures公司CEO Tom Kellermann表示。
這類攻擊者甚至有可能劫持企業的整體通訊或者網站以進一步擴大勒索規模。因此及早清理并充分利用恢復手段才是最為可靠的應對思路。
京公網安備 11010502049343號