勒索软件:如何确保通过备份避免勒索软件的威胁
2021-04-25 11:50:00 Author: www.4hou.com(查看原文) 阅读量:181 收藏

我们会有自己的猫 漏洞 2021-04-25 10:50:00

收藏

cw_engineer_server_check_backup-and-restore_testing_by_casarsaguru_gettyimages-971101238_2400x1600-100800370-large.jpg

避免向感染了您系统的勒索软件攻击者支付赎金的最佳方法,是对这些系统进行充分备份,这样您可以舍弃它们并从安全备份中还原它们。这里有几个选项可确保这些备份可以完成任务。

在本文中,备份是指您将用来响应勒索软件攻击的任何系统,包括老式备份系统,复制系统以及支持备份和灾难恢复的现代混合系统。为了简单起见,这里将它们统称为备份。

有关备份和恢复的更多信息:

· 备份与存档:了解差异的重要性

· 如何选择异地数据备份方法

· 磁带与磁盘存储:为什么磁带还没消失?

· 正确的备份级别可以节省时间、带宽和空间

使用3-2-1规则备份所有内容

首先,这个想法是至关重要的:备份所有东西。确认备份系统自动包含所有新系统,文件系统和数据库的能力。这在虚拟化世界中是最简单的,您可以在其中配置备份系统以在主机出现时自动备份主机上的所有VM。这也可以通过基于标签的包含来完成,其中不同类型的vm根据它们的“包含”标记自动被包含。这是自动化在备份系统中的最佳用途之一—自动包含所有内容。

另外还要确保遵循备份系统中遵循3-2-1规则,即便是其他人告诉你这种方法是老旧过时的。该规则规定,至少要在两个不同的介质上存储的数据复制三份或三个版本,其中之一是不在现场的。这里的主要部分是其中的“2”和“1”——将备份存储在不同的系统和不同的位置。不要将备份与主系统存储在同一位置。最好的办法是将它们存储在不同的操作系统和不同的物理位置,但是在现实世界中并非总是可行的。

备份系统应该有某种类型的自动报告功能,这样可以确保实际正在执行的备份是正确的,它报告的应该包括成功报告和失败报告。第三方监视系统可能是最好的,这样它就可以不断查看所有内容并指出有问题的地方,最好还具有学习功能进而可以注意到表示问题的模式。这比每天都要从备份系统中读取数十或数百封电子邮件来确保一切正常要容易得多。

灾难恢复安全性应排在首位

您的备份和灾难恢复系统应该是您的计算环境中最安全的系统之一。应该很难进入,也很难登录。以管理员或root身份登录应该很困难。希望您的备份系统支持基于角色的管理,以便您可以以自己的身份登录并以自己的身份运行备份。您不必以root或管理员身份运行备份。这些帐户登录非常危险,因此应尽可能加以限制。

您的备份和灾难恢复系统也应该是最新系统。安全补丁应该首先而不是稍后进行安装,因为备份和灾难恢复系统是您的最后一道防线。确保它不受应该在几周前修复的安全漏洞的影响。

推荐白皮书

如果您具有对服务器的物理访问权限,那么所有关于数据完整性和不变性的主张都将毫无意义,因此备份服务器也很难物理访问,也许是因为在需要不同物理访问权限的不同空间中,或在一个不是每个人都有钥匙的电脑机架内。另一个很好的方法是将备份系统完全从数据中心中转移出来,把它放在云中。

加密所有内容

所有备份通信均应加密,因此请确保您的备份提供程序正在加密系统之间的通信。这意味着,如果您确实遇到了高级的持续性威胁,并且正在嗅探网络,他无法识别备份服务器或确定它们要做什么。这样可以防止您的备份系统受到勒索软件的攻击。

除了对飞行中的备份流量进行加密之外,您还应该加密所有静态的备份流量,尤其是当数据存储在物理控制范围之外的任何位置时,这包括您将随时移交给任何人(包括您自己的员工)的磁带,这也包括您存储在云提供商网络中的数据,因为即使它们非常安全,也难免会有疏漏的地方。确保您的备份数据不能用作进一步调查网络并对其进行攻击的一种方式。

根据业务需求构建灾难恢复

经过良好测试的灾难恢复系统是抵御勒索软件攻击的最佳防御方法。设计不良的系统会导致您最终需要支付赎金。

IT的每个领域都应该如此,但是灾难恢复系统应该建立在业务需求之上。在您决定如何实际满足这些需求之前,应该有许多会议讨论并同意恢复时间目标(RTO)和恢复点目标(RPO)之类的需求。一旦您同意RTO和RPO,请设计一个满足这些要求的备份和灾难恢复系统。

记得经常进行测试

最近的一篇新闻报道说,德克萨斯州奥斯汀在全州停电期间之所以这么长时间饮用水供应短缺,是因为水处理厂中没有人知道如何打开备用发电机,不要像这个公司一样,不要成为拥有完善的备份和灾难恢复系统却不知道如何使用它的公司。今天,您的数据面临着太多风险,您不能不遵循以下关键的建议:经常测试灾难恢复系统。

好消息是,大多数现代备份和灾难恢复系统都支持对整个系统进行频繁的测试。您可以根据需要随时在沙箱中打开整个数据中心,以便了解它的实际工作方式。它每次只需要几个小时,重复证明能够正常运行尽管很无聊,但至少每季度测试一次,这样当您需要实际使用它来从勒索软件中恢复时,就会很容易了。

每次运行测试时,请轮换运行测试人员。他们既不应该是设计系统的人员,也不应该是每天使用系统的人员。他们应该具有良好的技术知识,并应提供良好的文件遵循。这是确认您的系统和文档均可正常工作的最佳方法。

准备好勒索软件的DR系统可以在勒索软件攻击后使整个数据中心恢复在线,这是避免支付勒索的唯一方法。在您的公司成为另一个被统计的数据之前,请立即考虑遵循上述方法。

本文翻译自:https://www.networkworld.com/article/3611808/ransomware-how-to-make-sure-backups-are-ready-for-a-real-attack.html如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/OLLB
如有侵权请联系:admin#unsafe.sh