近期勒索軟件爆發(fā)威脅的風頭稍有減弱，但IT管理者們還要繼續(xù)加強防御。備份和災難恢復是重中之重。

也就是說，組織一直在尋求針對勒索軟件爆發(fā)的保護措施。前端措施一般包括殺毒軟件、防火墻和內容掃描程序（攔截看起來可疑的電子郵件附件）。

 相比之下，IT部門還在關注加強后端保護，幫助從勒索軟件攻擊中恢復，通過加密措施保護數(shù)據(jù)。這個思路主要是強調災難恢復策略，幫助企業(yè)從備份副本中恢復數(shù)據(jù)。不過即便是這種思路仍然有風險：IT管理者必須確保備份確實可用，并考慮突發(fā)情況下恢復數(shù)據(jù)需要多長時間。

 另一個安全級別

美國加州米爾皮塔斯市（Milpitas）為應對勒索軟件爆發(fā)已經(jīng)實施了許多安全措施。市政府在前端執(zhí)行電子郵件過濾，垃圾郵件過濾和郵件附件掃描；在后端使用了備份助手軟件。該軟件是一款專門針對中小型企業(yè)的Windows服務器備份恢復軟件。另外，該城市還部署了遠程災難恢復站點，增加了額外的保護防線。 

本月初，米爾皮塔斯市啟用了另一項備份恢復防御措施。該市信息服務中心主任Mike Luu表示，本市啟用了供應商*近增加的模塊CryptoSafeGuard，這是備份助手軟件的一項新功能特性。

 據(jù)供應商介紹，CryptoSafeGuard可以防止受感染的文件被備份，也可以防止已備份數(shù)據(jù)被惡意軟件加密（一些勒索軟件攻擊會對組織內的生產(chǎn)數(shù)據(jù)和備份數(shù)據(jù)做加密處理，使組織失去對數(shù)據(jù)的控制）。 

Luu提到CryptoSafeGuard時說：“這是為預防勒索軟件嘗試的另一種策略?！?nbsp;

他補充說，在備份助手軟件用戶界面上只需要簡單操作打勾選中就可以切換啟用CryptoSafeGuard。該功能不需要額外購買。

備份助手軟件的數(shù)字銷售和營銷經(jīng)理Troy Vertigan表示，備份助手軟件提供的CryptoSafeGuard功能包含在該供應商BackupCare提供的訂購包內。該供應商30%的客戶只要運行**版本的備份助手軟件就可以激活CryptoSafeGuard功能。（該功能在2017年9月份發(fā)布，之后的版本都支持。） 

備份也會出問題

勒索軟件攻擊時，備份計劃可能會出現(xiàn)異常（不執(zhí)行或不能恢復）。TenCate公司是荷蘭一家復合材料和防護品制造商，該公司**系統(tǒng)工程師Jayme Williams回憶說，他們在幾年前CryptoLocker勒索軟件爆發(fā)的時候就被攻擊了。惡意軟件通過制造設備進入該公司的美國分部，然后進入公司文件服務器。*后，從車間到前臺辦公室的數(shù)據(jù)都被惡意軟件加密了。 

TenCate公司嘗試從線性磁帶開放協(xié)議（LTO）標準磁帶備份恢復數(shù)據(jù)時發(fā)現(xiàn)，該公司的備份軟件不能對LTO磁帶進行編目——這是恢復文件的必須步驟。

Williams說，一些數(shù)據(jù)已經(jīng)被復制到了磁盤介質之外，但備份層不可讀了。他聯(lián)系了數(shù)據(jù)恢復服務，他們可以從磁盤提取數(shù)據(jù)。

 該公司基于磁盤的備份頻率并不高，所以部分數(shù)據(jù)不是**的。不過，恢復的數(shù)據(jù)提供了一定的框架可以幫助重建丟失的數(shù)據(jù)。再次恢復可用的數(shù)據(jù)用了半個月時間。雖然終于恢復了，但這并不是理想的數(shù)據(jù)恢復策略，因為恢復數(shù)據(jù)的周期太長了。

 Williams認為，CryptoLocker事件給他們公司的一個關鍵教訓就是，TenCate公司的安全策略對勒索軟件的感染和嵌入缺少防護。在此之后，該公司管理者們設計了更嚴格的安全策略。

 另一個教訓是：備份并不等同于災難恢復。Williams的原話是“備份并不代表具備快速恢復的能力?！?nbsp;

現(xiàn)實問題把TenCate公司推到了思考安全新策略的路上。該公司*開始使用VMware體系，考慮使用虛擬化供應商的站點恢復管理軟件。但是該公司IT服務合作伙伴**選擇Zerto公司基于云的備份和災難恢復服務。該方案會把組織在線數(shù)據(jù)存儲到云端。

該公司選擇Zerto公司的驅動因素很簡單。Zerto幫助TenCate公司安排了大約半小時的一次POC（驗證性測試），展示了復制和故障恢復的過程。公司同意Williams購買Zerto的復制服務的時候，TenCate公司可以直接把POC的環(huán)境投入生產(chǎn)環(huán)境，不需要重新安裝了。

TenCate遭遇第二批勒索軟件爆發(fā)攻擊時，該公司已更新的安全和災難恢復系統(tǒng)有效地發(fā)揮了抵御作用。該公司的虛擬機環(huán)境受到Zerto公司虛擬機保護組和日志技術的保護，Williams稱之為“虛擬機的Tivo”（Tivo是一種數(shù)字錄像設備）。Williams表示：Zerto的日志技術可以讓管理員把虛擬機回滾到勒索病毒攻擊之前的某個時間點，整個操作也就是幾秒鐘的事。

 Frost & Sullivan 公司Stratecast研究部副總裁Michael Suby認為，設計勒索軟件防護策略時，數(shù)據(jù)恢復耗用時間是個關鍵考慮因素。 

Michael Suby表示，如果數(shù)據(jù)恢復過程太長，組織可能會接受勒索軟件的要求。如果漫長的恢復過程會導致更大的收入損失或者危及生命，受到攻擊的組織可能會妥協(xié)并給勒索方支付費用。例如，勒索軟件攻擊目標如果是醫(yī)院就更不能接受等待。

Suby解釋說：“如果恢復備份文件的時間太長，受攻擊公司仍然可能被利用。我們不只要做好備份文件，我們還要讓備份更容易恢復和更可用。”馮昀暉譯

（來源：TechTarget中國）