它广为人知,无休止地重复,那是最后一个最佳的防御违反赎金软件攻击的潜在破坏性的效果是您的备份。
那么,为什么我们总是听到这样的话呢?
我们也相对有信心,我们有一个非常好的备份系统……然后我们发现,在(勒索软件)攻击后大约四五个小时,我们的备份系统完全消失了。
Ski Kacoroski,北岸学区系统管理员
上面的报价来自最近的Malwarebytes播客,必威平台APP与现实生活中的勒索软件进行竞争在该节目中,主持人大卫·鲁伊斯(David Ruiz)就华盛顿州北岸学区遭受的勒索软件攻击采访了系统管理员斯基·卡科洛斯基(Ski Kacoroski)。
卡科罗夫斯基的惊人发现——他用来恢复学区受损系统的备份是不可用的——在勒索软件攻击后并不罕见。IT社区中一些人油嘴滑舌、令人沮丧的普遍反应是,他们认为相关人员都是白痴,并将他们的不幸归咎于他们,并事后观察到他们应该知道他们需要在这方面花更多钱这、运行那, 修补这, 查看那, 等等。
一个更现实、更有用的观点是,假设系统管理员和像Kacoroski这样的安全人员是有能力的、聪明的人,他们尽最大努力在有限的资源下满足复杂环境中的多种需求。从这里开始,从卡科罗夫斯基的经历中得出的明显结论是,备份很难做好。
为什么备份失败?
在采访Kacoroski之后,我们开始了解为什么要备份的原因是如此困难。为了帮助我们,我们在VMware提供技术客户经理备份专家Matt Crape,并将其正常在后续播客集中置于他的问题,为什么备份不是对付勒索软件的“银弹”.
这是我们从《绉纱》中学到的:
备份是困难的
Crape观察到,人们经常认为备份很容易,因为他们执行备份的唯一经验是在家里做备份是简单:你只需每天晚上把一个USB硬盘插入你的笔记本电脑,然后按下一个按钮。
但是加上几百台电脑,你就生活在一个不同的世界里了。
克拉普说,第一步是弄清楚你想要达到的目标。要做到这一点,你必须解决一系列重要但困难的问题,包括:
您是只备份数据,还是只备份数据和应用程序?您是否归档医疗信息或个人身份信息,这些信息符合规定存储位置、方式和时间的监管要求?你会复印多少份资料和申请?你会把它们放在哪里?每种类型的数据要存储多长时间?你需要版本控制吗?你多久备份一次?您是要对所有数据运行相同的计划,不管它有多重要或它的变化有多频繁,还是要对不同的事情运行不同的计划?调度以及在不同时间通过网络传输的数据量将如何影响性能?
归档到磁带或云上的备份也只是故事的一半。只有当你能够从它中恢复一个工作系统时,它才能被认为是成功的,而有一些事情会破坏它。
例如,在进行有用的恢复之前,通常必须先停止SQL数据库。许多应用程序还依赖于其他服务的存在(如DNS、电子邮件或身份验证),您需要理解和记录这些关系,并有一个计划,以便按照正确的顺序恢复系统,如果您希望一切恢复正常的话。
您还需要定期审查这些决定的过程。企业进化和变化,您的备份必须跟上。
最后,在完成所有这些之后,你还需要做一些更困难的事情——让别人相信这一切都是值得的。
备份是昂贵的
根据Crape的说法,“关于钱的谈话总是最难的部分。”他说,备份的问题在于,99%的情况下你都不需要它们,所以它们看起来就像是浪费掉的钱。
勒索软件大大改变了计算。除了日常使用之外,组织历来将备份视为应对自然灾害和其他严重但罕见事件的一种方式。很容易理解他们为什么要把那个问题推迟到明天处理,而选择更直接的问题。
但勒索软件攻击不是闪电袭击,也不是百年一遇的洪水。根据IDC,“在过去12个月里,全球超过三分之一的组织经历过勒索软件攻击或破坏,导致系统或数据无法访问”。其他组织可能会给你稍微不同的数字,但毫无疑问,勒索软件攻击是可怕的普遍。
Crape suggests that the best way to make the argument for properly staffed and funded backups is to make the conversation about the cost of losing key systems: “How much downtime can we afford for this specific server?What’s the cost of that vs the cost of storing backups for three years?”
备份是目标
“如果帝国对他们的备份档案有更好的物理安全保障,《星球大战》系列就会明显不同”。
Matt Crape,技术客户经理,VMware
备份包含了公司的所有信息,这使它们成为盗窃和破坏的目标。关于内部威胁的威胁和备份的物理安全的重要性的现代寓言,只要看看就知道了《星球大战:侠盗一号绉纱说。“死星因为备份而吹嘘。”
Ransomware Gangs了解您的备份可以剥夺他们的千万美元的发薪日,并将他们寻找并删除它们,如果他们可以。刑事黑客在他们违反的组织网络内花费日期,几周甚至几个月也不罕见。他们使用那个时间来执行侦察并提升他们的权限,因此他们可以达到网络的所有部分,包括其备份(甚至云备份)。如果他们能找到它们,他们会在运行赎金软件之前摧毁它们。
当它最终运行时,多种赎金软件也将寻找和禁用或删除影子复制-一种本地备份的形式-在被感染的机器上,这样就切断了通过快速回滚恢复这些机器的可能性。
如果您的ransomware恢复计划依赖备份,则需要脱机和非现场数据的副本,其中它们永久地超出可能在您在网络中居住几个月的攻击者的范围。
每个人都认为他们在工作
根据Crape的说法,当我们最需要备份时,备份让我们失望的另一个原因是,人们只是简单地假设它们正在正常运行。他告诉鲁伊斯:“经常听到有人不查看状态。”“他们会在头几天查看它,然后它变得陈旧,所以他们不再关注它,或者他们关闭通知,因为它只是运行正常。你去做修复,然后发现,哦,这东西已经六个月没运行了。”
裙子说,监控应用程序跑步不足以监控应用程序。备份作业可以在没有失败的情况下运行,但这并不意味着它做了任何东西;仅仅因为作业运行正常,并不意味着磁带不是空白的;把一些东西录下来并不意味着你有一些东西可以有用地恢复。
如果您想知道您的备份是否正在运行,则必须测试它们。这意味着在另一个环境中完全恢复。
听播客
要了解更多备份失败的原因,以及如何使用它们有效地打击勒索软件,请听下面的完整播客,或在您最喜欢的播客播放器苹果,Spotify,或谷歌.
评论