企業(yè)需要在2020年制定勒索軟件恢復計劃

責任編輯：cres 作者：George Crump |來源：企業(yè)網D1Net 2020-04-21 11:05:14 原創(chuàng)文章企業(yè)網D1Net

存儲分析機構Storage Switzerland公司日前與存儲廠商iland和Veeam公司參加了2020年預測網絡研討會。與其他網絡研討會不同，這個網絡研討會提供了特定于IT的方法來克服其預測指出的任何問題。這些預測之一是勒索軟件將是未來十年數(shù)據(jù)災難主要面臨的問題，并且提供了IT團隊可以防范勒索軟件攻擊的解決方案。但是，很多企業(yè)沒有足夠的時間進行準備的原因是沒有制定勒索軟件恢復計劃。而在2020年，有關勒索軟件恢復的計劃、準備和實踐應該是企業(yè)的首要任務。

勒索軟件恢復問題

在此次研討會上，人們預測勒索軟件將在未來十年內對企業(yè)產生更大影響。從目前的數(shù)據(jù)來看，這是一個明確的結論。然而，大多數(shù)IT人員想知道的是，今年勒索軟件攻擊的范圍將會發(fā)生什么樣的變化。當前的勒索軟件不像2015年的勒索軟件，因為目前的惡意軟件開發(fā)人員相當老練。現(xiàn)在的勒索軟件并不會更快地加密盡可能多的目標文件，而是在服務器空閑時觸發(fā)軟件進行備份。當惡意軟件啟動加密過程時，將會緩慢啟動以避免被檢測。在某些情況下，它首先根據(jù)上次訪問日期對目標文件進行加密，然后對最早的數(shù)據(jù)進行加密，然后一直加密到最新的文件。

其目的是加密用戶不會立即注意到的數(shù)據(jù)。而在某些情況下，惡意軟件在進行檢測之前將會加密企業(yè)80%或更多的數(shù)據(jù)。最近在勒索軟件攻擊中看到的另一個現(xiàn)象是，緩慢的加密過程會持續(xù)盡可能長的時間。但是，一旦用戶打開了加密文件，觸發(fā)文件便會進入快速攻擊模式，并在用戶采用措施之前對盡可能多的文件進行加密。

行業(yè)專家表示，在制定災難恢復計劃時，需要避免為特定災難制定計劃。從失去對數(shù)據(jù)中心的訪問中恢復是必要的，但是勒索軟件有所不同。首先，數(shù)據(jù)在技術上并不是“丟失”。其次，不同的備份集可能有不同程度的損壞。盡管大多數(shù)數(shù)據(jù)保護解決方案現(xiàn)在都利用不可變的(只讀)存儲來保護數(shù)據(jù)，但它們卻不得不備份損壞的文件或勒索軟件的觸發(fā)文件。企業(yè)IT團隊需要針對勒索軟件恢復的特定計劃，并在執(zhí)行過程中實施這個計劃。

對大多數(shù)災難的默認響應是從備份存儲庫中恢復數(shù)據(jù)的最新副本。但是，最新的副本可能包含大量損壞(加密)的文件。很多時候，由于勒索軟件不是一個站點的災難，企業(yè)將選擇從快照恢復或使用從備份文件的即時恢復。問題是，這些快速恢復技術仍將恢復許多加密文件，并可能重新啟動勒索軟件進程，使企業(yè)的情況比啟動恢復進程之前還要糟糕。

創(chuàng)建勒索軟件恢復計劃

無論勒索軟件攻擊的性質如何，第一步都是查找觸發(fā)文件并將其從環(huán)境中刪除。恢復的第二步是確定惡意軟件正在使用哪種類型的攻擊媒介。如果是以往的快速加密所有內容的方法，則應該可以從較新的快照之一進行恢復，也可以從上次備份實現(xiàn)即時恢復。如果攻擊媒介使用的是緩慢的觸發(fā)和加密速率較低的方法，則IT團隊需要確定觸發(fā)文件何時首次突破網絡，以及何時開始對網絡上的數(shù)據(jù)進行加密。

IT團隊需要查找多年沒再使用的文件，然后在攻擊期內對其進行更改(可能只有一次機會)。在大多數(shù)情況下，在此日期之前從受保護的數(shù)據(jù)副本中恢復將使企業(yè)能夠恢復其80%數(shù)據(jù)的有效副本。問題在于，在許多情況下，此過程需要使用數(shù)周甚至數(shù)月的備份集。大多數(shù)組織的存儲系統(tǒng)不能在不影響性能的情況下長時間保留快照。因此，備份軟件需要成為恢復的來源。

刪除勒索軟件文件并準備好基準數(shù)據(jù)集之后，企業(yè)需要將剩余的20%的數(shù)據(jù)拼湊在一起。對于IT機構來說，識別最近加密的文件相對容易，這通常是由上述初始檢測后的快速攻擊造成的。這些文件很有可能保存在當前備份或快照中。

其中間文件很難識別，恢復起來可能很耗時。這些是用戶在攻擊期間創(chuàng)建和修改的文件。專家提出的建議是搜索在攻擊周期內創(chuàng)建的文件，然后將該文件的第二個版本恢復到最后一個版本，即加密之前的版本。假設這是一個具有復雜搜索功能的備份解決方案，那么這個恢復步驟將恢復受勒索軟件攻擊影響的大多數(shù)數(shù)據(jù)。其剩下的文件應該很少，除非有特別要求，否則不應檢索。

最后一步是如何處理包含加密文件的備份。在大多數(shù)情況下，攻擊期通常約為兩到三周，但持續(xù)幾個月也不是沒有可能。在此期間，企業(yè)如何處理其制作的副本主要取決于其保留策略。一旦企業(yè)知道已恢復所有或大部分數(shù)據(jù)，IT部門應刪除在攻擊期間拍攝的所有快照。在大多數(shù)情況下，對于大多數(shù)存儲系統(tǒng)來說，IT團隊都會刪除所有快照。IT團隊也至少應隔離在攻擊期間制作的所有備份副本。如果IT人員可以確定已恢復了所有有效數(shù)據(jù)副本，并且沒有違反保留策略，則應考慮完全刪除在攻擊期間制作的備份副本。

事實證明，勒索軟件對其開發(fā)商來說是一項有利可圖的“業(yè)務”。甚至一些勒索軟件提供有關如何購買比特幣的技術支持。這些不良行為者繼續(xù)開發(fā)更復雜的技術來獲得企業(yè)的贖金。IT團隊需要監(jiān)視這些更改并相應地調整其恢復計劃。當然，只是還原最新備份的措施已不足夠。準備、計劃和實踐是成功擺脫勒索軟件的關鍵要求。

關鍵字：安全勒索軟件