Ransomware是從IT環境發展到公共互聯網的一種新現象。黑客獲得了計算機系統和加密數據，只有在支付贖金后才提供加密密鑰或解鎖數據。

即使使用最嚴格的安全規則，總是存在通過其他途徑（通常為社會工程）獲取的真實憑證來破壞系統的風險。這意味著需要額外的保護層，以確保數據可以恢復，而不是支付數據以獲取數據。

考慮到這一點，這里有一些關于ransomware備份的該做和不該做的事情。

定期備份所有數據。任何備份系統都應以業務需求為依據。還應該確保在ransomware攻擊后丟失的數據量盡可能地最少。

檢查備份的狀態。確保備份成功完成，并盡快解決任何問題。不要等到在發生故障后重新運行ransomware備份。

有一些離線備份副本。存儲在磁帶或其他離線媒體上的數據并不像在線備份那樣容易受損。如果主數據被破壞，黑客也可能嘗試破壞ransomware備份系統以防止恢復。離線備份可以降低這種風險。

執行定期恢復測試。了解數據備份是非常好的，但你應該驗證恢復是否正常工作。不要等到需要恢復時才知道它是否有效。

構建數據驗證測試以恢復檢查?；謴秃笕绾未_保數據仍然有效？一種方法是創建位于文件系統中的虛擬或代理數據，并作為檢查內容的控件。如果虛擬文件與已知的良好值相比發生了更改，則應懷疑數據已被泄露。

不要在任何事情上使用相同的憑證。備份憑據應僅用于此目的。獲得憑證的人越多，他們越有可能受到威脅。

查看跟蹤可疑行為。除了驗證恢復之外，還有其他的功能。例如，如果數據被加密，增量備份大小會大大增加。這可能表示數據已被破壞。

在ransomware備份和恢復過程中設計彈性，并對環境中的變化保持警惕，因為早期檢測是關鍵。