勒索软件正成为对数据的头号威胁,因此,在执行勒索软件攻击时,确保不良行为者不会将您的备份数据和主数据一起加密非常重要。
如果他们成功了,您别无选择,只能支付赎金,这将鼓励他们再次尝试。
不必支付赎金的关键是拥有备份以还原勒索软件加密的系统。
保护这些备份免受勒索软件攻击的关键是在生产系统和备份系统之间设置尽可能多的障碍。
无论做什么,请确保备份的唯一副本不是简单地位于要保护的同一数据中心的Windows服务器上的目录中。
保护Windows大多数勒索软件攻击都针对Windows主机。
一旦单个主机被感染,它们将传播到计算环境中的其他Windows主机。
一旦勒索软件传播到足够多的主机,攻击者将激活加密程序。
因此,最明智的方法是使用Windows以外的工具作为备份服务器。
不幸的是,许多流行的备份产品主要在Windows上运行。
好消息是,其中许多还提供了Linux替代产品。
即使主备份软件必须在Windows上运行,它也可能具有Linux介质服务器选项。
媒体服务器是关键,因为这是您要保护的数据所在的位置。
如果您只能通过基于Linux的媒体服务器访问备份,则针对Windows服务器的勒索软件攻击将无法对其进行攻击。
除了将常规备份存储在基于Linux的媒体服务器后面之外,请确保主备份服务器的备份也存储在其中。
如果访问这些备份所需的数据库已通过勒索软件加密,则未加密的备份将无济于事。
您还应尽可能加强基于Windows的备份服务器。
了解勒索软件用来攻击服务器(例如RDP)并尽可能关闭它们的服务。
重要的是要记住,该服务器是您的最后一道防线,因此请关注安全性而不是便利性。
从数据中心获取备份无论选择哪种备份解决方案,都应将备份副本存储在其他位置。
这意味着不仅仅是将备份服务器放置在云中的虚拟机中。
从电子的角度来看,如果虚拟机具有与数据中心相同的可访问性,则攻击同样容易。
您需要进行配置,以使对数据中心系统的攻击无法传播到云中的备份系统。
这可以通过多种方式来完成,包括防火墙规则,对操作系统和存储协议的更改。
例如,大多数云提供商都提供对象存储,并且大多数备份软件产品和服务都可以写入对象存储。
勒索软件攻击者可能很老练,但是到目前为止,他们还没有弄清楚如何攻击基于对象的存储中存储的备份。
此外,此类提供程序通常提供一次写入,多次读取选项,这意味着您可以指定一个期限,在该期限内即使授权人员也无法修改或删除备份。
还有一些备份服务可以将数据写入其存储,这些数据只能通过用户界面访问。
如果您无法直接看到备份,则勒索软件也不会。
这样做的目的是使您的备份(或至少备份的副本)尽可能远离受感染的Windows系统。
将它们放置在受防火墙规则保护的提供商云中,将其他操作系统用于备份服务器,并将备份写入其他类型的存储。
删除文件系统对备份的访问如果备份系统正在将备份写入磁盘,请尽最大努力确保无法通过标准文件系统目录访问它们。
例如,放置备份数据的最坏可能位置是E:确认。
勒索软件产品专门针对具有此类名称的目录,并将加密备份。
这意味着您需要找到一种将这些备份存储在磁盘上的方法,以便操作系统不会将这些备份视为文件。
例如,最常见的备份配置之一是备份服务器将其备份数据写入目标重复数据删除阵列,该目标重复数据删除阵列将通过服务器消息块(SMB)或网络文件系统(NFS)安装到备份服务器上。
如果勒索软件产品感染了服务器,它将能够对目标重复数据删除系统上的备份进行加密,因为可以通过目录对其进行访问。
您需要研究允许备份产品在不使用SMB或NFS的情况下写入目标重复数据删除阵列的方法。
所有流行的备份产品均具有此类选项。
使用磁带进行备份当然,我们也可以使用磁带进行备份。
磁带真正擅长的一件事是将备份从昨晚或上周复制到另一种介质,然后将其发送到另一个地方以防止勒索软件攻击。
事件