理论上,没有人应该向勒索勒索者. 现在不是每个人都有备份吗?即使是消费者也可以获得各种各样的免费或低价备份服务。
但报纸的头条都是关于这样的机构的报道医院以及警察部门,那些应该有业务连续性计划和可靠的备份策略的组织。
不过,根据FBI的数据,2016年前三个月,美国支付的勒索软件款项超过2.09亿美元,而2015年全年仅为2500万美元。雷竞技比分
发生什么事?为什么备份不起作用?
为了省钱,一些组织没有在备份中包含所有重要的文件,或者不经常运行备份。其他人不测试他们的备份,并发现系统不工作时,为时已晚。最后,一些公司把他们的备份放在网络驱动器上,勒索软件可以很容易地找到并跳转到那里进行加密。
多少备份才够?
在价格和安全性之间总是存在权衡,而且大多数组织必须优先考虑他们的支出。
“一般情况下,我们看到在客户端市场历史备份客户端数据,当IT部门看成本的存储来存储所有的数据,他们有点不愿意投资,”David Konetski说的执行董事和首席技术官的办公室在客户端解决方案戴尔。“但这是在存储成本在过去5到10年呈指数级下降之前。现在,我们所处的世界拥有非常便宜的存储和云存储。”
此外,仅仅备份重要的数据和文档可能还不够。如果对业务至关重要,则可能需要备份整个计算机。
例如,在好莱坞长老会医疗中心该公司最近向网络犯罪分子支付了相当于1.7万美元的赎金,勒索软件不仅对文件进行加密,还严重影响了大约10天的运营,迫使员工返回纸质记录和传真机。当地新闻机构报道说,一些急诊病人被转移到其他医院。
“恶意软件锁定了对某些计算机系统的访问,并阻止我们以电子方式共享通信,”首席执行官Allen Stefanek说致公众的信。
对医院来说,恢复系统最快的方法就是支付勒索软件。
这并不能总是解决问题。有报道称,医院支付了赎金却没有拿到钥匙,或者被要求支付更多的赎金。
如果受感染机器的干净图像很容易获得,医院可能已经完全清除了受感染的硬件,并将其恢复到最后的良好版本。而且组织不需要存储每个系统的多个完整副本——增量备份系统只保存最新的更改,使其非常高效。
“如果整个系统都被破坏了,你可能会恢复到原来的状态,”HPE移动信息管理部产品管理、企业数据保护和移动信息管理高级主管Stephen Spellice说。
对备份进行测试
创建全面的备份策略是一个复杂的过程,特别是对于需要保护多种类型的数据、文件和系统的大型企业。
该公司的高级安全研究员斯蒂芬·科布(Stephen Cobb)说,这种复杂性是备份无法正常工作的原因之一ESET。另一个原因是备份可能无法执行,或者恢复过程可能过于困难。
他说:“企业在遭遇勒索软件攻击时遇到的最大问题是,它们的恢复过程最近没有经过测试。”“他们一直在做备份,但没有受过如何恢复的训练——有传闻说,一些管理员问,‘从备份中恢复,要花多少钱?’”
惠普的Spellicice证实,许多公司都未能正确测试备份。
他说:“我们找到客户的主要原因之一是,他们已经离开,试图从另一个供应商进行恢复,他们正在寻找新的解决方案,因为它在他们身上失败了。”“当你需要它的时候,它需要工作。这一点非常关键——如果你不能回到它,那么它就毫无用处。”
向坏人隐藏备份
网络勒索者知道备份是他们的头号敌人,正在调整他们的勒索软件来寻找备份。
“几个勒索软件家族摧毁了Windows系统上所有的影子拷贝和恢复点数据,”Noah Dunker说,他是风险分析“许多勒索软件系列都以所有连接的驱动器为目标,并且碰巧也对备份进行加密,尽管设计上不太可能。”
任何连接到受感染机器的文件系统,以及连接的外部硬盘驱动器和插入U盘的文件系统都有可能受到攻击。
“为了让你的备份不受勒索软件的影响,你应该使用一个没有安装在特定工作站上的驱动器,”该公司安全工程主管山姆·麦克莱恩(Sam McLane)说ArcticWolf网络。例如,使用备份应用程序通过网络将数据流传输到另一个工作站或存储设备。请确保存储设备或驱动器受到保护,用户工作站不能访问这些设备,特别是如果它们能上网的话。”
数据分类公司CEO托德•费曼(toddfeinman)表示,需要建立安全控制措施,将用户与备份隔离开来身份查找器。良好安全和加密的离线备份也是一种好做法。
他说:“你不需要每天都有访问权限——这些备份只在紧急情况下,当其他一切都崩溃的时候。”。
他补充说,对于日常使用,比如员工意外删除重要文件并需要恢复时,有许多文件同步服务可用。
这些系统将不断监视文件中的更改。但如果恶意软件进入电脑并将所有文件加密,加密也会被备份系统镜像。
幸运的是,通常会保留这些文件的以前版本。
德勤网络风险服务(Deloitte Cyber Risk Services)主管克雷格·阿斯特里奇(Craig Astrich)表示:“一旦当前文件被加密,备份将被加密,业务将不得不回滚到以前未加密的备份。”。
然而,当备份时,勒索软件本身可能隐藏在加密文件中。
“如果在备份过程中备份了加密的文件,那么一旦文件恢复,环境就会重新加密,”at的联合创始人兼首席执行官Scott Petry说Authentic8。“这可能会让用户陷入连续备份恢复加密的循环中。任何备份过程都应与恶意软件扫描一起实施,以便在备份或恢复之前识别这些漏洞。”
这不仅仅是关于数据
如果丢失文件和被锁定在关键任务系统之外还不够糟糕,勒索软件可能会造成更大的损害。
可能是在掩盖其他袭击。
“高级黑客使用勒索软件作为二次感染或对抗事件反应,”Tom Kellermann,首席执行官说战略网络企业。
他们甚至可能劫持一家公司的通讯或网站,进一步传播勒索软件。
这个故事,“你的备份会保护你免受勒索软件?”最初发表CSO公司 。