企业需要在2020年制定勒索软件恢复计划. 2020-05-26
存储分析机构Storage Switzerland公司日前与存储厂商iland和Veeam公司参加了2020年预测网络研讨会。与其他网络研讨会不同,这个网络研讨会提供了特定于IT的方法来克服其预测指出的任何问题。这些预测之一是勒索软件将是未来十年数据灾难主要面临的问题,并且提供了IT团队可以防范勒索软件攻击的解决方案。但是,很多企业没有足够的时间进行准备的原因是没有制定勒索软件恢复计划。而在2020年,有关勒索软件恢复的计划、准备和实践应该是企业的首要任务。
勒索软件恢复问题
在此次研讨会上,人们预测勒索软件将在未来十年内对企业产生更大影响。从目前的数据来看,这是一个明确的结论。然而,大多数IT人员想知道的是,今年勒索软件攻击的范围将会发生什么样的变化。当前的勒索软件不像2015年的勒索软件,因为目前的恶意软件开发人员相当老练。现在的勒索软件并不会更快地加密尽可能多的目标文件,而是在服务器空闲时触发软件进行备份。当恶意软件启动加密过程时,将会缓慢启动以避免被检测。在某些情况下,它首先根据上次访问日期对目标文件进行加密,然后对最早的数据进行加密,然后一直加密到最新的文件。
其目的是加密用户不会立即注意到的数据。而在某些情况下,恶意软件在进行检测之前将会加密企业80%或更多的数据。最近在勒索软件攻击中看到的另一个现象是,缓慢的加密过程会持续尽可能长的时间。但是,一旦用户打开了加密文件,触发文件便会进入快速攻击模式,并在用户采用措施之前对尽可能多的文件进行加密。
行业专家表示,在制定灾难恢复计划时,需要避免为特定灾难制定计划。从失去对数据中心的访问中恢复是必要的,但是勒索软件有所不同。首先,数据在技术上并不是“丢失”。其次,不同的备份集可能有不同程度的损坏。尽管大多数数据保护解决方案现在都利用不可变的(只读)存储来保护数据,但它们却不得不备份损坏的文件或勒索软件的触发文件。企业IT团队需要针对勒索软件恢复的特定计划,并在执行过程中实施这个计划。
对大多数灾难的默认响应是从备份存储库中恢复数据的最新副本。但是,最新的副本可能包含大量损坏(加密)的文件。很多时候,由于勒索软件不是一个站点的灾难,企业将选择从快照恢复或使用从备份文件的即时恢复。问题是,这些快速恢复技术仍将恢复许多加密文件,并可能重新启动勒索软件进程,使企业的情况比启动恢复进程之前还要糟糕。
创建勒索软件恢复计划
无论勒索软件攻击的性质如何,第一步都是查找触发文件并将其从环境中删除。恢复的第二步是确定恶意软件正在使用哪种类型的攻击媒介。如果是以往的快速加密所有内容的方法,则应该可以从较新的快照之一进行恢复,也可以从上次备份实现即时恢复。如果攻击媒介使用的是缓慢的触发和加密速率较低的方法,则IT团队需要确定触发文件何时首次突破网络,以及何时开始对网络上的数据进行加密。
IT团队需要查找多年没再使用的文件,然后在攻击期内对其进行更改(可能只有一次机会)。在大多数情况下,在此日期之前从受保护的数据副本中恢复将使企业能够恢复其80%数据的有效副本。问题在于,在许多情况下,此过程需要使用数周甚至数月的备份集。大多数组织的存储系统不能在不影响性能的情况下长时间保留快照。因此,备份软件需要成为恢复的来源。
删除勒索软件文件并准备好基准数据集之后,企业需要将剩余的20%的数据拼凑在一起。对于IT机构来说,识别最近加密的文件相对容易,这通常是由上述初始检测后的快速攻击造成的。这些文件很有可能保存在当前备份或快照中。
其中间文件很难识别,恢复起来可能很耗时。这些是用户在攻击期间创建和修改的文件。专家提出的建议是搜索在攻击周期内创建的文件,然后将该文件的第二个版本恢复到最后一个版本,即加密之前的版本。假设这是一个具有复杂搜索功能的备份解决方案,那么这个恢复步骤将恢复受勒索软件攻击影响的大多数数据。其剩下的文件应该很少,除非有特别要求,否则不应检索。
最后一步是如何处理包含加密文件的备份。在大多数情况下,攻击期通常约为两到三周,但持续几个月也不是没有可能。在此期间,企业如何处理其制作的副本主要取决于其保留策略。一旦企业知道已恢复所有或大部分数据,IT部门应删除在攻击期间拍摄的所有快照。在大多数情况下,对于大多数存储系统来说,IT团队都会删除所有快照。IT团队也至少应隔离在攻击期间制作的所有备份副本。如果IT人员可以确定已恢复了所有有效数据副本,并且没有违反保留策略,则应考虑完全删除在攻击期间制作的备份副本。
事实证明,勒索软件对其开发商来说是一项有利可图的“业务”。甚至一些勒索软件提供有关如何购买比特币的技术支持。这些不良行为者继续开发更复杂的技术来获得企业的赎金。IT团队需要监视这些更改并相应地调整其恢复计划。当然,只是还原最新备份的措施已不足够。准备、计划和实践是成功摆脱勒索软件的关键要求。
转自企业网d1net