最近，瑞士倉(cāng)儲(chǔ)廠商與iland公司和Veeam公司參加了2020年預(yù)測(cè)網(wǎng)絡(luò)研討會(huì)，現(xiàn)在可以按需提供。

與其他預(yù)測(cè)網(wǎng)絡(luò)研討會(huì)不同，這個(gè)網(wǎng)絡(luò)研討會(huì)提供了特定于IT的方法來(lái)克服該預(yù)測(cè)所指出的任何問(wèn)題。

這些預(yù)測(cè)之一是勒索軟件將是未來(lái)十年數(shù)據(jù)災(zāi)難的主要原因，并且提供了IT團(tuán)隊(duì)可以防范的解決方案勒索軟件攻擊。

但是，很多企業(yè)沒(méi)有足夠的時(shí)間進(jìn)行準(zhǔn)備的一個(gè)方面是制定勒索軟件恢復(fù)計(jì)劃。

在2020年，計(jì)劃、準(zhǔn)備和實(shí)踐勒索軟件恢復(fù)應(yīng)該是第一要?jiǎng)?wù)。

勒索軟件恢復(fù)問(wèn)題預(yù)測(cè)勒索軟件將在未來(lái)十年內(nèi)影響組織，就像預(yù)測(cè)勒索軟件將在去年8月在德克薩斯州流行一樣。

根據(jù)當(dāng)前數(shù)據(jù)，這是一個(gè)顯而易見(jiàn)的結(jié)論。

然而，令大多數(shù)IT人員感到驚訝的是，今年這些攻擊的范圍將如何變化。

現(xiàn)代勒索軟件不像2015年的勒索軟件。

惡意軟件開(kāi)發(fā)人員非常復(fù)雜。

現(xiàn)在，勒索軟件不再處于盡可能快地加密盡可能多的文件的狀態(tài)，而是處于閑置狀態(tài)，以便通過(guò)多個(gè)備份作業(yè)來(lái)備份觸發(fā)文件。

當(dāng)惡意軟件開(kāi)始加密過(guò)程時(shí)，它開(kāi)始緩慢，從而避免了檢測(cè)。

在某些情況下，它首先根據(jù)最后訪問(wèn)日期對(duì)文件進(jìn)行加密，首先對(duì)最早的數(shù)據(jù)進(jìn)行加密，然后逐步處理直到最新的文件。

目的是加密用戶不會(huì)立即注意到的數(shù)據(jù)。

在某些情況下，該惡意軟件在進(jìn)行任何檢測(cè)之前會(huì)加密組織中80%或更多的數(shù)據(jù)。

最近在勒索軟件攻擊中看到的另一個(gè)因素是，緩慢的加密過(guò)程會(huì)持續(xù)盡可能長(zhǎng)的時(shí)間。

但是，一旦用戶打開(kāi)了加密文件，觸發(fā)文件便會(huì)進(jìn)入快速攻擊模式，在消除之前要對(duì)盡可能多的文件進(jìn)行加密。

企業(yè)的業(yè)務(wù)從失去對(duì)數(shù)據(jù)中心的訪問(wèn)中恢復(fù)是必要的。

但是勒索軟件有所不同。

首先，數(shù)據(jù)中心在技術(shù)上不會(huì)“丟失”。

其次，不同的備份集可能具有不同的損壞級(jí)別。

盡管大多數(shù)數(shù)據(jù)保護(hù)解決方案現(xiàn)在都利用不可變的(只讀)存儲(chǔ)來(lái)保護(hù)自己，但它們卻不得不備份損壞的文件或勒索軟件的觸發(fā)文件。

IT團(tuán)隊(duì)需要針對(duì)勒索軟件恢復(fù)的特定計(jì)劃，并需要執(zhí)行該計(jì)劃的實(shí)踐。

對(duì)大多數(shù)災(zāi)難的默認(rèn)響應(yīng)是從備份存儲(chǔ)庫(kù)中恢復(fù)數(shù)據(jù)的最新副本。

但是，最新副本可能包含大量損壞(加密)的文件。

很多時(shí)候，由于勒索軟件不是整個(gè)站點(diǎn)的災(zāi)難，因此組織將選擇從快照中恢復(fù)或使用備份中的即時(shí)恢復(fù)。

問(wèn)題在于這些快速恢復(fù)技術(shù)仍將恢復(fù)許多加密文件，并且可能會(huì)重新啟動(dòng)勒索軟件過(guò)程，使組織處于比開(kāi)始恢復(fù)過(guò)程之前更糟糕的狀態(tài)。

創(chuàng)建勒索軟件恢復(fù)計(jì)劃無(wú)論攻擊的性質(zhì)如何，第一步都是查找觸發(fā)文件并將其從環(huán)境中刪除。

恢復(fù)的第二步是確定惡意軟件正在使用哪種類型的攻擊媒介。

如果是較舊的、快速加密所有內(nèi)容的方法，則應(yīng)該可以從較新的快照之一進(jìn)行恢復(fù)，也可以從上次備份進(jìn)行即時(shí)恢復(fù)。

如果攻擊媒介使用的是緩慢的觸發(fā)和較低的加密速率，則IT部門需要確定觸發(fā)文件何時(shí)首次突破網(wǎng)絡(luò)以及何時(shí)開(kāi)始對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行加密。

IT團(tuán)隊(duì)需要查找停滯多年的文件，然后在攻擊期內(nèi)對(duì)其進(jìn)行更改(大概一次)。

在大多數(shù)情況下，在此日期之前從受保護(hù)的數(shù)據(jù)副本中進(jìn)行恢復(fù)將使組織能夠恢復(fù)其數(shù)據(jù)的80%的有效副本。

問(wèn)題在于，在許多情況下，此過(guò)程需要使用數(shù)周甚至數(shù)月的備份集。

大多數(shù)組織的存儲(chǔ)系統(tǒng)不能在不影響性能的情況下長(zhǎng)時(shí)間保留快照。

因此，備份軟件需要成為恢復(fù)的來(lái)源。

刪除勒索軟件文件并設(shè)置基線數(shù)據(jù)集后，組織需要將剩余的20%的數(shù)據(jù)整理在一起。

對(duì)于IT機(jī)構(gòu)來(lái)說(shuō)，識(shí)別最近加密的文件應(yīng)該相對(duì)容易，這通常是由上述初始檢測(cè)后的快速攻擊造成的。

這些文件很有可能位于當(dāng)前備份或快照中。

中間文件很難識(shí)別，恢復(fù)起來(lái)可能很耗時(shí)。

這些是用戶在攻擊時(shí)間內(nèi)創(chuàng)建和修改的文件。

專家建議是搜索在攻擊周期內(nèi)創(chuàng)建的文件，然后將該文件的第二個(gè)版本恢復(fù)到最后一個(gè)版本，即加密之前的版本。

假設(shè)這是一個(gè)具有復(fù)雜搜索功能的備份解決方案，那么這三個(gè)恢復(fù)步驟將恢復(fù)受勒索軟件攻擊影響的大多數(shù)數(shù)據(jù)。

剩下的文件應(yīng)該很少，除非有特別要求，否則不要檢索。

最后一步是如何處理包含加密文件的備份。

在大多數(shù)情況下，發(fā)作期通常約為兩到三周，但幾個(gè)月的時(shí)間并非不可能。

在這段時(shí)間內(nèi)，組織如何處理其制作的副本主要取決于其保留策略。

一旦組織知道已經(jīng)恢復(fù)了所有或大部分?jǐn)?shù)據(jù)，IT部門應(yīng)刪除在攻擊期間拍攝的所有快照。

在大多數(shù)情況下，對(duì)于大多數(shù)存儲(chǔ)系統(tǒng)，IT都會(huì)刪除所有快照。

IT也至少應(yīng)隔離在攻擊期間制作的所有備份副本。

如果IT人員可以確定已恢復(fù)了所有有效數(shù)據(jù)副本，并且沒(méi)有違反保留策略，則應(yīng)考慮完全刪除在攻擊期間制作的備份副本。

事實(shí)證明，勒索軟件對(duì)其開(kāi)發(fā)商來(lái)說(shuō)是一項(xiàng)有利可圖的“業(yè)務(wù)”。

人們甚至已經(jīng)看到一些勒索軟件附帶有關(guān)如何購(gòu)買比特幣的技術(shù)支持。

這些不良行為者繼續(xù)開(kāi)發(fā)更復(fù)雜的方式來(lái)持有組織的數(shù)據(jù)贖金。

IT團(tuán)隊(duì)需要監(jiān)視這些更改并相應(yīng)地調(diào)整其恢復(fù)計(jì)劃。

當(dāng)然，僅還原最新備份的概念已不再足夠。

準(zhǔn)備、計(jì)劃和實(shí)踐是成功擺脫勒索軟件這一十年迭代的關(guān)鍵要求。