从理论上讲,每位受害者都不应向勒索软件支付赎金。难道我们手中握有的备份副本是吃素的?即使是消费级用户也拥有大量免费或者成本极低的备份手段。
然而,无数新闻报道反复提醒着我们,医院、警局与各类组织机构都应当利用坚实的备份策略保障自身业务连续性。
根据fbi的调查,单在2016年第一季度美国本土支付给勒索软件的赎金总额就高达2.09亿美元——远高于2015年全年的2500万美元。
这是怎么回事?备份机制怎么没起到作用?
事实上,为了节约资金,某些企业并没有将全部重要文件纳入备份,或者没能以理想的频率运行备份方案。也有一些用户直到面对勒索才发现自己的备份并不能正常起效。最后,也有部分企业把备份副本放在了网络驱动器等能够为勒索软件所轻易寻获并进行加密的位置。
多少份备份副本才能保障万全?
成本与安全性之间永远需要做出取舍,而大多数企业显然更重视其运营开销。
“总体来讲,企业并不太愿意为it部门提供备份全部数据所必需的预算,”戴尔公司客户解决方案办公室研究员兼执行董事david konetski解释称。“不过那已经是五到十年前的情况了,随着存储成本的不断下降,如今我们可以选择成本相当低廉的存储方案及云存储服务。”
另外,单纯备份重要数据与文件可能还不够。所有设备都该被纳入备份范畴,只要其在业务体系中有着自己的作用。
例如,好莱坞长老会医疗中心最近就向勒索分子支付了17000美元赎金。该勒索软件并没有对文件进行加密,但却在十天中严重影响到其业务,迫使工作人员重新开始使用纸质记录与传真机。当地新闻机构报道称,部分紧急病人甚至因此被转移到其它医院。
“恶意软件锁定了特定计算机系统,同时阻止我们以电子方式进行共享通信,”该医疗中心ceo allen stefanek在一封公开信中解释道。
如果拥有完整的设备镜像,医院能够彻底清除被感染的硬件并将其恢复至正常版本。事实上,企业并不需要为每套系统存储多个完整版本——使用只保存最新变化的增量型备份系统能够有效解决问题。“在这种情况下,如果系统遭受危害,用户可以回滚至裸机状态,”惠普企业业务公司企业级数据保护与移动信息化管理部门产品管理高级总监stephen spellicy表示。
对备份机制进行测试
创建一套综合性的备份策略无疑是项持续性工作,特别是在拥有多种数据、文件与系统类型需要保护的大型企业当中。这种复杂性可能导致某些备份无法正常起效,eset公司高级安全研究员stephen cobb指出。
“企业面临勒索软件时遭遇的最大难题在于,他们可能并没有对自己的备份方案进行过测试,”他表示。“备份确实在正常进行,但他们没有以此为基础进行过恢复。”
“之所以很少进行备份测试,是因为相当一部分企业正计划选择其它供应商的方案,”他指出。“但测试工作需要定期进行,只要还在使用就必须进行测试,否则无效的方案还不如没有。”
隐藏备份以防止恶意人士窥探
网络勒索分子当然了解备份的重要作用,他们也将其视为自己的头号天敌。
“某些勒索软件会销毁所有镜像副本以及windows系统上的恢复点数据。也有一部分勒索软件会将矛头指向接入驱动器,”riskanalytics公司安全实验室主管noah dunker表示。
“为了帮助备份副本拥有勒索软件抵御能力,大家应当使用不接入特定工作站的独立驱动器,”arcticwolf networks公司安全工程技术负责人sam mclane建议称。“例如,通过网络将数据在不同工作站或存储设备之间往来迁移。确保该存储设备或驱动器受到保护且无法被用户工作站所访问。”
安全控制必须部署到位。“大家不需要每天访问备份副本,其只负责应对紧急情况,”数据加密厂商identity finder公司ceo todd feinman表示。
由于系统会不断监控文件变化并进行同步,因此一旦恶意软件侵入计算机并加密所有文件,那么备份系统及镜像也将被一同加密。不过幸运的是,我们往往拥有其它早期版本可供参考。
“如果某个加密文件在流程中进行了备份,那么只要加以恢复即可使其回归解密状态,”authentic8公司联合创始人兼ceo scott petry指出。“但为了避免加密-恢复-解密的流程不断循环,大家应当首先清除恶意软件,而后再行恢复。”
不只是数据
丢失文件及关键性任务系统遭到锁定还并非最差的结果,勒索软件亦有可能充当其它攻击活动的掩护。
“高级黑客很可能利用勒索软件掩护自己的攻击或者破坏事件响应机制,”strategic cyber ventures公司ceo tom kellermann表示。
这类攻击者甚至有可能劫持企业的整体通讯或者网站以进一步扩大勒索规模。因此及早清理并充分利用恢复手段才是最为可靠的应对思路。
本文转自d1net(转载)