勒索軟件正成為對數(shù)據(jù)的頭號威脅,這使得確保不良分子在執(zhí)行勒索軟件攻擊時不會將您的備份數(shù)據(jù)和您的主要數(shù)據(jù)一起加密至關(guān)重要。如果他們成功了,你將別無選擇,只能支付贖金,這將鼓勵他們再次嘗試。
不必支付贖金的關(guān)鍵是擁有備份以還原勒索軟件已加密的系統(tǒng)。保護(hù)這些備份免受勒索軟件攻擊的關(guān)鍵是在生產(chǎn)系統(tǒng)和備份系統(tǒng)之間設(shè)置盡可能多的障礙。無論做什么,請確保備份的唯一副本不是簡單地位于要保護(hù)的同一數(shù)據(jù)中心的Windows服務(wù)器上的目錄中。
保護(hù)Windows
大多數(shù)勒索軟件攻擊是針對Windows主機(jī)的,一旦單個主機(jī)被感染,它們就會傳播到計算環(huán)境中的其他Windows主機(jī)上。一旦勒索軟件擴(kuò)散到足夠多的主機(jī),攻擊者就會激活加密程序。因此,最明智的做法是使用Windows以外的其他工具作為備份服務(wù)器。
不幸的是,許多流行的備份產(chǎn)品主要在Windows上運(yùn)行。好消息是,其中許多還提供了Linux替代方案。即使主備份軟件必須在Windows上運(yùn)行,它也可能具有Linux介質(zhì)服務(wù)器選項。介質(zhì)服務(wù)器是關(guān)鍵,因為這就是您要保護(hù)的數(shù)據(jù)所在的位置。如果只能通過基于Linux的媒體服務(wù)器訪問您的備份,則針對Windows服務(wù)器的勒索軟件攻擊將無法對其進(jìn)行攻擊。
除了將常規(guī)備份存儲在基于Linux的媒體服務(wù)器后面之外,請確保主備份服務(wù)器的備份也存儲在其中。如果訪問那些備份所需的數(shù)據(jù)庫已被勒索軟件加密,那么對備份進(jìn)行未加密將無濟(jì)于事。
您還應(yīng)該盡可能加強(qiáng)基于Windows的備份服務(wù)器。了解勒索軟件用于攻擊服務(wù)器(例如RDP)的服務(wù)并盡可能多的關(guān)閉它們。一定要記住,該服務(wù)器是您的最后一道防線,因此請著重考慮安全性,而不是便利性。
從數(shù)據(jù)中心獲取備份
無論選擇哪種備份解決方案,都應(yīng)將備份副本存儲在其他位置。這意味著不僅僅是將備份服務(wù)器放置在云中的虛擬機(jī)中。如果從電子角度來看虛擬機(jī)具有與在數(shù)據(jù)中心內(nèi)一樣的可訪問性,則攻擊同樣容易。您需要以一種方式進(jìn)行配置,以使對數(shù)據(jù)中心系統(tǒng)的攻擊無法傳播到云中的備份系統(tǒng)。這可以通過多種方式來完成,包括防火墻規(guī)則,更改操作系統(tǒng)和存儲協(xié)議。
例如,大多數(shù)云供應(yīng)商提供對象存儲,并且大多數(shù)備份軟件產(chǎn)品和服務(wù)都可以寫入對象存儲。勒索軟件攻擊者可能很老練,但是到目前為止,還沒有弄清楚如何攻擊基于對象的存儲中存儲的備份。此外,此類提供程序通常提供一次寫入,多次讀取選項,這意味著您可以指定一個期限,在該期限內(nèi),即使授權(quán)人員也無法修改或刪除備份。
還有一些備份服務(wù)可以將數(shù)據(jù)寫入只能通過用戶界面訪問的數(shù)據(jù)到其存儲中。如果您無法直接看到備份,則勒索軟件也不會。
這樣做的目的是使您的備份(或至少備份的一個副本)盡可能的遠(yuǎn)離受感染的Windows系統(tǒng)。將它們放置在受防火墻規(guī)則保護(hù)的提供商的云中,為備份服務(wù)器使用其他操作系統(tǒng),并將備份寫入其他類型的存儲。
刪除文件系統(tǒng)對備份的訪問
如果您的備份系統(tǒng)正在將備份寫入磁盤,請盡最大努力確保無法通過標(biāo)準(zhǔn)文件系統(tǒng)目錄訪問它們。例如,放置備份數(shù)據(jù)的最壞可能的位置是E:\ backups。勒索軟件產(chǎn)品專門針對具有此類名稱的目錄,并將對備份進(jìn)行加密。
這意味著您需要找出一種將那些備份存儲在磁盤上的方式,以使操作系統(tǒng)不會將那些備份視為文件。例如,最常見的備份配置之一是備份服務(wù)器將其備份數(shù)據(jù)寫入到目標(biāo)重復(fù)數(shù)據(jù)刪除陣列中,該目標(biāo)重復(fù)數(shù)據(jù)刪除陣列通過服務(wù)器消息塊(SMB)或網(wǎng)絡(luò)文件系統(tǒng)(NFS)安裝到備份服務(wù)器上。如果勒索軟件產(chǎn)品感染了該服務(wù)器,它將能夠?qū)υ撃繕?biāo)重復(fù)數(shù)據(jù)刪除系統(tǒng)上的備份進(jìn)行加密,因為可以通過目錄訪問這些備份。您需要研究允許備份產(chǎn)品在不使用SMB或NFS的情況下寫入目標(biāo)重復(fù)數(shù)據(jù)刪除陣列的方法。所有流行的備份產(chǎn)品均具有此類選項。
利用磁帶進(jìn)行備份
當(dāng)然我們還可以使用磁帶進(jìn)行備份,磁帶真正擅長的一件事是將昨晚或上周的備份復(fù)制到另一種介質(zhì),然后發(fā)送到異地以防范勒索軟件攻擊。即使是最好的勒索軟件產(chǎn)品也完全無法感染你的備份。有時,原始的方法往往是最好的方法。
設(shè)置一些障礙
不要讓勒索軟件輕易看到和加密你的備份。如果可能,不要將它們存儲在Windows服務(wù)器上,至少要將一份拷貝存儲在數(shù)據(jù)中心無法通過電子方式訪問的地方。最后,以這樣一種方式配置備份系統(tǒng),使備份不能被視為備份服務(wù)器上的文件。
責(zé)編AJX
-
數(shù)據(jù)
+關(guān)注
關(guān)注
8文章
7035瀏覽量
89045 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3160瀏覽量
59771 -
勒索病毒
+關(guān)注
關(guān)注
1文章
69瀏覽量
9461
發(fā)布評論請先 登錄
相關(guān)推薦
評論