企业需要在2020年制定勒索软件恢复计划
最近,瑞士仓储厂商与iland公司和Veeam公司参加了2020年预测网络研讨会,现在可以按需提供。与其他预测网络研讨会不同,这个网络研讨会提供了特定于IT的方法来克服该预测所指出的任何问题。这些预测之一是勒索软件将是未来十年数据灾难的主要原因,并且提供了IT团队可以防范的解决方案勒索软件攻击。但是,很多企业没有足够的时间进行准备的一个方面是制定勒索软件恢复计划。在2020年,计划、准备和实践勒索软件恢复应该是第一要务。
勒索软件恢复问题
预测勒索软件将在未来十年内影响组织,就像预测勒索软件将在去年8月在德克萨斯州流行一样。根据当前数据,这是一个显而易见的结论。然而,令大多数IT人员感到惊讶的是,今年这些攻击的范围将如何变化。现代勒索软件不像2015年的勒索软件。恶意软件开发人员非常复杂。现在,勒索软件不再处于尽可能快地加密尽可能多的文件的状态,而是处于闲置状态,以便通过多个备份作业来备份触发文件。当恶意软件开始加密过程时,它开始缓慢,从而避免了检测。在某些情况下,它首先根据最后访问日期对文件进行加密,首先对最早的数据进行加密,然后逐步处理直到最新的文件。
目的是加密用户不会立即注意到的数据。在某些情况下,该恶意软件在进行任何检测之前会加密组织中80%或更多的数据。最近在勒索软件攻击中看到的另一个因素是,缓慢的加密过程会持续尽可能长的时间。但是,一旦用户打开了加密文件,触发文件便会进入快速攻击模式,在消除之前要对尽可能多的文件进行加密。
企业的业务从失去对数据中心的访问中恢复是必要的。但是勒索软件有所不同。首先,数据中心在技术上不会“丢失”。其次,不同的备份集可能具有不同的损坏级别。尽管大多数数据保护解决方案现在都利用不可变的(只读)存储来保护自己,但它们却不得不备份损坏的文件或勒索软件的触发文件。IT团队需要针对勒索软件恢复的特定计划,并需要执行该计划的实践。
对大多数灾难的默认响应是从备份存储库中恢复数据的最新副本。但是,最新副本可能包含大量损坏(加密)的文件。很多时候,由于勒索软件不是整个站点的灾难,因此组织将选择从快照中恢复或使用备份中的即时恢复。问题在于这些快速恢复技术仍将恢复许多加密文件,并且可能会重新启动勒索软件过程,使组织处于比开始恢复过程之前更糟糕的状态。
创建勒索软件恢复计划
无论攻击的性质如何,第一步都是查找触发文件并将其从环境中删除。恢复的第二步是确定恶意软件正在使用哪种类型的攻击媒介。如果是较旧的、快速加密所有内容的方法,则应该可以从较新的快照之一进行恢复,也可以从上次备份进行即时恢复。如果攻击媒介使用的是缓慢的触发和较低的加密速率,则IT部门需要确定触发文件何时首次突破网络以及何时开始对网络上的数据进行加密。
IT团队需要查找停滞多年的文件,然后在攻击期内对其进行更改(大概一次)。在大多数情况下,在此日期之前从受保护的数据副本中进行恢复将使组织能够恢复其数据的80%的有效副本。问题在于,在许多情况下,此过程需要使用数周甚至数月的备份集。大多数组织的存储系统不能在不影响性能的情况下长时间保留快照。因此,备份软件需要成为恢复的来源。
删除勒索软件文件并设置基线数据集后,组织需要将剩余的20%的数据整理在一起。对于IT机构来说,识别最近加密的文件应该相对容易,这通常是由上述初始检测后的快速攻击造成的。这些文件很有可能位于当前备份或快照中。
中间文件很难识别,恢复起来可能很耗时。这些是用户在攻击时间内创建和修改的文件。专家建议是搜索在攻击周期内创建的文件,然后将该文件的第二个版本恢复到最后一个版本,即加密之前的版本。假设这是一个具有复杂搜索功能的备份解决方案,那么这三个恢复步骤将恢复受勒索软件攻击影响的大多数数据。剩下的文件应该很少,除非有特别要求,否则不要检索。
最后一步是如何处理包含加密文件的备份。在大多数情况下,发作期通常约为两到三周,但几个月的时间并非不可能。在这段时间内,组织如何处理其制作的副本主要取决于其保留策略。一旦组织知道已经恢复了所有或大部分数据,IT部门应删除在攻击期间拍摄的所有快照。在大多数情况下,对于大多数存储系统,IT都会删除所有快照。IT也至少应隔离在攻击期间制作的所有备份副本。如果IT人员可以确定已恢复了所有有效数据副本,并且没有违反保留策略,则应考虑完全删除在攻击期间制作的备份副本。
事实证明,勒索软件对其开发商来说是一项有利可图的“业务”。人们甚至已经看到一些勒索软件附带有关如何购买比特币的技术支持。这些不良行为者继续开发更复杂的方式来持有组织的数据赎金。IT团队需要监视这些更改并相应地调整其恢复计划。当然,仅还原最新备份的概念已不再足够。准备、计划和实践是成功摆脱勒索软件这一十年迭代的关键要求。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微软与戴尔等帮助美国政府在华为之外建设 5G
美国政府一直致力于将中国科技巨头排除在其 5G 网络之外,因此,为了建立长期可行的替代方案,美国政府最近已向当地科技公司寻求帮助。 softpedia援引《华尔街日报》的一份报告称,微软、戴尔和 AT&T 是美国政府这一项目涉及的三个公司,并且随着5G 替代方案的进展,可能还会有其它公司加入。 美国政府希望实现的是通用的工程标准,微软及其合作伙伴可以构建5G 软件,从而实质上允许使用任何制造商的硬件。因此从技术上讲,这反映了美国当局希望将华为排除在其 5G 网络之外,并希望其它国家在该项目完成后也能跟进。 华尔街日报称,目前一些国家已经在使用由华为开发的 5G 基础设施,但美国将开始坚持要求盟国接受其替代华为的选择。 另一方面,华为美国首席安全官 Andy Purdy 曾表示:“如果美国想要由美国或欧洲公司开发的 5G 硬件和软件,则政府应鼓励公司开始与华为谈判以许可我们的 5G 技术。在功能和保障方面,整合而来的产品将比同类华为产品落后 1-2 年。”言下之意是当前只有华为的 5G 技术才有功能和保障。
- 下一篇
疫情当下,更要守好个人信息安全防线
当前方的战士正在阻击疫情,后方的公众个人信息安全防线却在动摇。公众知情权和个人隐私权的权衡,成为当下疫情发展的关键问题。 1月30日,交通运输部发布紧急通知,要求依法严格保护个人隐私和个人信息安全,除因疫情防控需要,向卫生健康等部门提供乘客信息外,不得向其他机构、组织或者个人泄漏有关信息、不得擅自在互联网散播。 防的是疫情,不是武汉人民 前几天,#武汉返乡人员信息遭泄露# 在一众疫情消息中杀出一条生路,成为众人热议对象。 随着疫情的发展,多省市启动了重大突发公共卫生事件一级响应,而出于疫情防控的需要,很多地区对于存在武汉旅游、居住和接触史的人员进行了排查和信息统计。这本无可厚非,但问题是,有些地区在信息收集后,却没有做好保密工作,导致人员名单在社交平台被大肆传播。这些曝于网络之上的信息精确到了个人姓名、身份证号码、家庭住址、手机号、甚至车票航班信息等,笔者相信,任何从事网络安全行业或者略有一些网络安全意识的人,都能知道信息泄露的危害所在。 值得关注的是,在这次信息泄露的受害者中,有些已经度过了潜伏期,有些籍贯武汉但长期在外工作,因为信息的泄露,他们遭受误解、区别对待、陌生人的恶言,甚至...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS6,CentOS7官方镜像安装Oracle11G
- Linux系统CentOS6、CentOS7手动修改IP地址
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS8安装Docker,最新的服务器搭配容器使用