避免将赎金支付给被勒索软件感染系统的攻击者的最佳方式是让这些系统充分备份,因此您可以擦除它们并从安全备份恢复它们。以下是若干选项,以确保这些备份达到任务。
在本文中,备份是指您要用于响应赎金软件攻击的任何系统,包括支持备份和灾难恢复的旧学校备份系统,复制系统和现代混合系统。为简单起见,他们将在这里被称为备份。
使用3-2-1规则备份所有内容
在做其他事情之前,有一个想法是最重要的:备份所有的东西。调查你的备份系统的自动能力包括所有新系统,文件系统和数据库。这是最简单的虚拟化World在哪里可以在备份系统中配置备份系统,以便每当他们出现时会自动备份所有VM。这也可以通过基于标签的包含来完成,其中不同类型的VM基于其“包含的”标记自动地包括。这是备份系统中自动化的最佳用途之一 - 自动包含所有的东西。
也要确保遵循3-2-1规则在你的备份系统中,无论谁试图告诉你它都过时了。规定说,在两种不同的媒体上存储至少三份拷贝或版本的数据,其中一种是离线的。这里的主要部分是两个和一个——将备份存储在不同的系统和不同的位置。不要将备份文件存储在与主系统相同的位置。更好的是,将它们存储在不同的操作系统和不同的物理位置,但在现实世界中这并不总是可能的。
备份系统应该有某种类型的自动报告,因此您可以确保您认为正在发生的备份实际上是。这应包括成功报告和失败报告。第三方监测系统可能是最好的,所以它可以不断地看待一切,并在事情有点偏离时指出。具有机器学习的报告系统是理想的,它可以注意到表明问题的模式。这比必须每天从备份系统中读数或数百封电子邮件更容易,只是为了确保事情正在运行。
安全博士应该在列表中
您的备份和容灾系统应该是计算环境中最安全的系统之一。它应该很难进入,也很难登录。以管理员或root身份登录应该非常困难。希望您的备份系统支持基于角色的管理,这样您就可以自己登录并运行备份。您不应该必须以根用户或管理员身份运行备份。用这些账号登录是非常危险的,应该尽可能地加以限制。
您的备份和DR系统也应该是您拥有的最达到最新的系统。安全补丁应该首先安装在那里,因为您的备份和DR系统是您的最后一系列防御。确保它不会受到几周前修补的安全漏洞的约束。
如果您能够物理访问服务器,那么所有数据完整性和不变性的声明都将失效,因此备份服务器也将很难物理访问。也许是在一个不同的房间,需要不同的物理访问,或者在一个不是每个人都有钥匙的电脑机架内。另一种很好的方法是将备份系统从雷竞技电脑网站完全。把它放到云里。
加密所有
所有备份通信都应该加密,所以请确保您的备份提供商正在加密系统之间的通信。这意味着,如果您确实收到了一个高级的持续威胁,并且它正在嗅探网络,它不会识别备份服务器或它们正在做什么。这可以防止你的备份系统被勒索软件攻击。
除了在飞行中加密备份流量外,您还应该加密所有静止时的备份流量,特别是当数据存储在您物理控制范围之外的任何地方时。这包括磁带你会随时向任何人交出,包括你自己的员工。这还包括您在云提供商网络中存储的数据,因为即使它们非常安全,也没有什么是完美的。确保您的备份数据不能用作进一步调查网络并攻击它的方法。
根据业务需求构建博士
经过良好测试的DR系统是对赎金软件攻击的最佳防御。设计不良的系统是保证您最终支付赎金的最佳方式。
这应该是其每个区域的情况,但是博士系统应建立在来自业务的要求上。应该有很多会议要求恢复时间目标(RTO)和恢复点目标(RPO)在您决定如何实际满足这些需求之前很久就已经讨论并达成一致。一旦您同意RTO和RPO,请设计一个满足这些要求的备份和容灾系统。
像你的生活一样测试取决于它
最近的新闻文章说,在州际电力故障期间奥斯汀TX失去饮用水的原因是水处理厂中没有人知道如何打开备用发生器。不要那家公司。不要成为拥有完全精细备份和DR系统的公司,不知道如何使用它。您今天的数据有太多风险供您不要遵循这种关键的建议:经常测试您的DR系统。
好消息是,大多数现代备份和容灾系统都支持对整个系统进行频繁的测试。您可以根据需要将整个数据中心放在沙箱中,以便了解它的实际工雷竞技电脑网站作方式。至少每季度做一次。它应该只需要几个小时,而且应该很无聊,因为它证明了它的有效性。如果你每季度测试它很无聊,那么当你真正需要使用它从勒索软件中恢复时,它会很容易。
每次运行测试时,旋转运行它的人员。他们不应该是设计这个系统的人,也不应该是每天使用这个系统的人。他们应该有良好的技术知识,并提供良好的文件供他们遵循。这是确认系统和文档都能工作的最好方法。
在遭受勒索软件攻击后,能让整个数据中心重新上线的灾备系统是避免支付赎金的唯一方法。雷竞技电脑网站在你们公司成为另一项统计数据之前,请仔细研究这一点。