勒索軟體備份最佳實踐
根據《Security Intelligence》的報導,駭客 目標備份資料約佔 93% 勒索軟體攻擊。這導致備份資料遺失且無法用於還原,使得組織更傾向於支付贖金,以期恢復對系統的存取權限。
僅靠實施網路安全措施並備份資料以確保在勒索軟體事件後能進行還原,已不再足夠。 防毒軟體雖能在第一階段保護電腦及其資料,但若病毒與勒索軟體已感染電腦並破壞資料,恢復資料的唯一方法便是使用資料備份。隨著雲端備份儲存庫可透過網際網路存取, 備份資料面臨的勒索軟體風險甚至更高. 正因如此,除了主要資料之外,還應採取額外措施來保護備份資料。
這篇部落格文章說明了如何制定有效的防範勒索軟體策略。
遭受勒索軟體攻擊後,能否透過備份進行還原?
Sophos 進行的研究顯示, 在遭遇勒索軟體攻擊後,利用備份進行資料還原的速度更快 這比支付贖金要好。若備份設定得當,便可在遭受勒索軟體攻擊後用於恢復資料和系統。只要擁有可靠且未受感染的備份複製,即可還原資料,並將事件造成的停機時間降至最低。
請考慮採取以下措施,以在發生勒索軟體事件後恢復系統:
- 將受感染的系統隔離一旦發現遭到勒索軟體感染,請立即將受感染的電腦從網路中斷開,以防止惡意軟體進一步擴散。
- 移除勒索軟體. 請使用信譽良好的防毒或反惡意軟體,將勒索軟體從系統中移除。請確保您的防毒定義檔已更新至最新版本,以提高成功機率。另一種做法是將受勒索軟體影響的磁碟機格式化,並從備份中還原資料至這些磁碟機(備份必須未受影響)。
- 評估備份的可用性請檢查您的備份系統,以確保其未受勒索軟體攻擊影響。
- 還原資料. 您可以透過您的資料備份解決方案啟動資料還原程序。這可能涉及選擇 特定檔案、資料夾或系統映像檔進行還原。請依照備份軟體或服務供應商提供的指示操作。
- 測試還原的資料. 還原完成後,請測試已恢復的資料,以確保資料可正常存取且完整無缺。此步驟至關重要,用以確認備份複製未遭勒索軟體破壞。
- 修補並加強安全性. 在將受感染的電腦重新連接到網路之前,請先安裝所有必要的安全修補程式、更新及改進措施,以強化系統安全性並降低再次遭受攻擊的風險。
- 調查並報告. 調查勒索軟體是如何入侵您的系統,以防範未來的攻擊。向相關單位通報此事件,例如執法機關或網路安全組織。
請記住,資料還原的成效取決於是否具備定期更新且安全的備份。若備份遭到破壞或過時,您可能無法完全還原資料。作為整體網路安全措施的一部分,建立以備份為核心的強健勒索軟體防護策略至關重要,藉此減輕勒索軟體事件的影響。
勒索軟體會攻擊備份嗎?
備份資料並非免疫於惡意軟體感染。若備份檔案可從受感染的系統直接存取,或勒索軟體是專門針對備份系統設計的,則勒索軟體便可能攻擊並加密(破壞)備份檔案。
勒索軟體犯罪集團深知,組織通常會依賴備份來恢復系統,而非支付贖金。因此,備份資料可能成為勒索軟體的主要攻擊目標之一。
若備份資料儲存於以下可從受感染電腦存取的資源中,則面臨風險:
- 共用磁碟機
- 網路儲存裝置 (NAS)
- 連接至受感染電腦的外接硬碟
- 可從受感染的電腦存取雲端儲存空間
雖然勒索軟體確實可能鎖定備份資料,但您仍可在勒索軟體防護策略中採取主動措施,以確保備份資料的安全與完整。如此一來,一旦遭遇攻擊,您便能確保擁有可靠的還原方案。
勒索軟體備份最佳實踐
勒索軟體備份的最佳實踐旨在確保在遭遇勒索軟體攻擊時,資料的完整性與可恢復性。這些最佳實踐涵蓋各種備份方法,以及在主系統遭到感染時,防止備份資料受損的防護策略。
3-2-1 備份策略
您防範勒索軟體策略的核心,在於"3-2-1 備份法則"。這是一種穩健的資料備份方法,透過確保備份複製的冗餘性、多樣性與隔離性,有助於抵禦勒索軟體攻擊。 該法則規定,您應至少擁有 3 份資料副本,其中 2 份的位置不同於儲存媒體,且 1 份存放於異地。3-2-1 勒索軟體備份策略可進一步擴展為 3-2-1-1,以納入空間隔離或不可變更的副本。
以下,您可以了解如何 3-2-1 備份策略 可保護您的資料免受勒索軟體的侵害:
- 3份資料:
- 主要內容. 這些是您的即時資料、原始檔案,以及您每天處理的資料。
- 本地備份. 請在本地端建立資料的第二份副本,例如儲存於外接硬碟、備份伺服器或網路儲存裝置(NAS) 裝置。如此一來,若發生資料遺失或損毀的情況,您便能快速且方便地存取備份。
- 異地備份. 第三份備份應存放於主位置以外的異地。這可以是不同的實體位置,通常可透過雲端儲存、經由網路將資料備份複製至次要位置,或定期將備份實體運送至異地來實現。
- 2 種不同的媒體. 為每份備份複製使用不同的儲存媒體,可提升系統的韌性。例如,若您已在實體硬碟上建立本地備份,請為異地備份選用不同類型的儲存媒體,例如雲端儲存或另一台實體裝置。這種多樣性有助於防止同類勒索軟體同時影響您的本地與異地備份。
- 1 項媒體資料儲存於異地. 將一份備份複製存放於異地,可讓您在主站點因火災、洪水、颶風等災難而損毀時,仍能恢復資料。
- 1 份空間隔離或不可變更的副本. 空間隔離備份與網路完全隔絕,無法透過網際網路直接存取,也不與您的主要系統相連。而不可變備份則儲存於不可變儲存庫中,該儲存庫可被修改或刪除。這意味著即使勒索軟體滲透到您的網路中,也無法加密這些備份。
請確保您的空間隔離備份(離線備份)定期更新,但在不使用時,請將此備份與網路斷開連接,或從物理位置移除。這種空間隔離措施能使備份具備極高的抗勒索軟體攻擊能力。
"3-2-1"勒索軟體備份策略透過以下方式提供防護:
- 資料冗餘. 倘若您的主要資料遭到勒索軟體攻擊,您仍有兩份備份(本地與異地)可供還原資料,無需支付贖金。
- 多元性. 使用不同的儲存媒體,可確保即使勒索軟體破壞其中一種備份,其餘備份仍不受影響。這種多樣性使得勒索軟體更難破壞您所有資料的副本。
- 隔離. 這份"空間隔離"的副本,無論是儲存於離線狀態或隔離環境中,皆作為最後一道防線。即使勒索軟體成功入侵您的網路或本地備份,也無法觸及這份"空間隔離"的副本。
- 還原彈性. 若發生輕微的資料遺失,您可以快速從本地副本還原;若遭遇嚴重的勒索軟體攻擊,您則可仰賴異地及空間隔離的副本作為後備方案。
若能配合其他安全措施並妥善實施,"3-2-1-1"資料保護方法將是對抗勒索軟體的一項有效資料備份策略。
DR 規劃與測試
災難還原規劃 以及 測試 在防範勒索軟體攻擊方面發揮關鍵作用,具體體現在確保預先準備、將停機時間降至最低,以及在發生勒索軟體攻擊時促進高效資料還原。災難還原規劃不僅考量資料還原,還包含 業務連續性 關鍵營運。這意味著必須建立完善的備份系統與流程,確保即使在遭遇勒索軟體攻擊時,業務仍能持續運作。經過充分測試的災難還原計畫,能讓關鍵系統與資料更快還原。
建立災難還原計畫:
- 識別關鍵系統與資料. 這有助於在遭遇勒索軟體攻擊時,優先保護需要保護的目標。
- 制定備份與還原策略. 這包括實施"3-2-1"備份策略、確保資料冗餘,以及建立異地備份。
- 事件應變. 請在您的災難還原計畫中納入針對勒索軟體的特定事件應變程序。這能確保您的團隊在遭受攻擊時,知道如何有效應對。
透過以下方式測試並改進災難還原計畫:
- 進行定期測試. 定期進行包含勒索軟體情境的災難還原測試與模擬。測試有助於找出計畫中的弱點,並讓您能進行必要的改善。
- 驗證備份資料的完整性 透過測試資料還原流程。確保備份資料未受損,對於對抗勒索軟體至關重要。
- 情境式訓練. 針對勒索軟體的特定情境對員工進行培訓,可確保他們在發生攻擊時能做好準備並有效應對。
別忘了文件記錄與合規要求:
- 文件. 災難還原計畫應詳盡記錄並定期更新。這些文件有助於確保在發生事故時,每個人都清楚自己的角色與職責。
- 法規遵循. 遵守資料保護法規通常需要制定一套完善的災難還原計畫。這有助於在遭遇勒索軟體攻擊時,避免法律糾紛與罰款。
使用不可變儲存
不可變儲存是一種儲存類型,其資料在寫入後無法被修改。該 不可變儲存 此技術可防止在指定的保留期間內對儲存資料進行任何修改、刪除或加密。請使用不可變儲存來儲存備份,並在遭遇勒索軟體攻擊時提高資料成功還原的機率。
不可變儲存可運用不同的機制:
- 寫入一次,多次讀取(WORM):資料只能寫入一次,之後只能讀取,而無法修改或刪除。
- 加密雜湊. 資料可透過加密演算法進行雜湊運算,而雜湊值則會另行儲存。一旦資料發生任何變更,產生的雜湊值便會不同,藉此警示可能的篡改行為。
- 版本控制. 系統會儲存資料版本,若當前版本遭到破壞,可還原至先前版本。
- 存取控制. 不可變儲存系統通常設有嚴格的存取控制機制,以防止未經授權的資料變更。
勒索軟體通常透過加密檔案,並索取贖金以換取解密金鑰來運作。不可變儲存技術可透過以下幾種方式防範勒索軟體:
- 防止修改由於不可變儲存裝置中的資料無法被修改,勒索軟體試圖加密或修改檔案的行為將會失敗。
- 提供快速還原即使勒索軟體加密了您的主要資料,您仍可依靠不可變儲存來還原檔案的乾淨副本。由於原始資料保持完整,您可輕鬆將資料還原至未加密的狀態。
- 篡改警報. 不可變儲存系統在偵測到未經授權的資料修改嘗試時,可觸發警示,從而能迅速應對潛在的勒索軟體攻擊。
使用資料加密
資料加密 有助於減輕勒索軟體攻擊的負面影響。請注意,僅靠加密並無法完全防範勒索軟體攻擊。無論檔案是否經過加密,勒索軟體仍可能對其存取的檔案進行加密或破壞。然而,加密能確保您的資料保持機密性,且未經授權者(包括勒索軟體攻擊者)無法解讀。
即使勒索軟體滲透到您的系統中,它也可能缺乏必要的權限或加密金鑰來存取已加密的敏感資料。 這意味著牠無法解讀加密資料。因此,勒索軟體攻擊者無法透過將竊取的資料上傳至網際網路來勒索受害者。這也是在合規方面避免處罰的優勢。
對傳輸中的資料進行加密(例如在網路傳輸期間或儲存於雲端服務時),可確保遭攔截的資料對網路犯罪分子毫無用處。 加密通訊通道(例如 VPN(虛擬私人網路)和安全通訊端層(SSL)連線)可防止勒索軟體在傳輸過程中試圖攔截資料。
妥善的金鑰管理對於加密的有效性至關重要。請將加密金鑰安全儲存,並與其所保護的資料分開存放,以防止勒索軟體同時取得資料與金鑰的存取權限。
設定資料備份的權限
為備份資料設定權限有助於防止勒索軟體入侵或破壞您的備份複製。正確設定的權限可確保僅有授權使用者或系統能存取備份資料。
透過限制對備份資料的存取權限,您能縮小勒索軟體的攻擊面。若勒索軟體滲透至您的網路,它可能會試圖鎖定網路中的多個系統。若勒索軟體感染了權限受限的系統,它將更難擴散至備份位置並入侵那些備份。
設定權限符合"最小權限原則"與"職責分離"原則。這確保沒有任何單一使用者或系統對備份資料擁有過度的控制權,從而降低內部威脅的風險。
權限設定可實現對備份資料存取的稽核與監控。若勒索軟體企圖破壞備份,稽核機制能觸發警示,並提供未經授權存取嘗試的紀錄以供調查。透過監控與警示系統,可迅速偵測到對備份資料的未經授權存取或修改行為。這使組織能對潛在的勒索軟體攻擊迅速做出反應,將資料損失降至最低。
其他建議
以下提供一些額外的建議,以協助您改善防範勒索軟體的備份策略:
- 定期備份資料. 設定符合貴組織需求的定期備份排程。頻繁的備份(例如每日或每小時一次)有助於降低資料損失風險,因為這能縮短RPO。
- 自動化備份. 採用能自動化備份流程的解決方案,以降低人為錯誤的風險,並避免資料保存出現缺口。
- 使用版本化備份. 選擇具備版本控制或彈性保留設定的備份解決方案,讓您能夠存取並還原檔案的先前版本。若勒索軟體未被及時發現而持續運作一段時間,這對於執行特定時間點的還原將大有幫助。
- 監測環境. 實作 監測系統 以偵測系統上的任何異常或可疑活動。針對任何未經授權的存取嘗試、備份設定的變更,或是單純的異常資源消耗,設定警示通知。
- 安全的備份伺服器. 應將安全最佳實踐應用於備份伺服器本身,包括定期安裝安全更新及實施強密碼政策。盡量限制備份伺服器對外網的存取權限,以降低遭受遠端攻擊的風險。定期更新備份軟體與系統,以修復可能遭勒索軟體利用的漏洞。
- 選擇一家值得信賴的備份服務供應商. 若您使用雲端備份服務,請選擇信譽良好且重視資安、並具備完善資料保護實績的服務供應商。
- 對員工進行教育. 培訓員工或使用者識別釣魚攻擊及其他可能導致勒索軟體攻擊的社會工程學手法。在災難還原規劃與測試的過程中,員工會更加意識到與勒索軟體相關的風險。這種提高的警覺性有助於建立更完善的網路安全措施及事件通報機制。
運用 NAKIVO 的防勒索軟體備份功能
NAKIVO Backup & Replication 這是一款快速、可靠且價格實惠的資料保護解決方案,能夠有效備份資料並防範勒索軟體。以下列出部分特點,旨在保護資料並在遭受勒索軟體攻擊後進行還原: NAKIVO Backup & Replication:
- 不可變更的備份. 備份可在本地儲存裝置、NAS 及公有雲平台上設定為不可變更(Amazon S3, Azure Blob 儲存體(例如 Wasabi、BackBlaze B2 等)以及私有雲。設定備份的不可變性期間,在此期間內,備份資料將無法被編輯或刪除。此特點可防止備份資料遭到勒索軟體篡改。
- 備份至磁帶磁帶盒是一種空間隔離的備份儲存媒介。錄製完 備份至磁帶 只要取出磁帶盒,勒索軟體便無法讀取該磁帶盒上所記錄的資料。
- 靈活的保留設定. 您無法預測勒索軟體攻擊的確切時間。透過建立不同日期的備份,您便能將資料還原至勒索軟體造成損毀前的所需狀態。支援增量備份與頻繁建立還原點,有助於在勒索軟體攻擊發生前,恢復更多處於實際狀態的資料。
- 資料加密. 資料加密在 備份儲存庫 並在透過網路傳輸時提升安全性,避免資料在傳輸過程中遭截取。加密的備份儲存庫可防止勒索軟體攻擊者將資料解密並上傳至網際網路,藉此進行危險的勒索。
- 備份複製. 遵循"3-2-1"備份原則,並透過備份複製工作將備份資料複製到其他儲存媒體及異地位置。工作關連是備份複製的一項實用特點,可讓您在備份工作完成後自動開始建立備份複製。
- 備份惡意軟體掃描. 在還原過程中掃描備份檔案,可防止使用者將受感染的檔案還原至系統中,以免病毒在生產環境中擴散。
- 站點還原. 災難還原 站點還原 此特點既快速又有效。您可以透過站點還原測試災難還原情境。您可以掛載或解除掛載備份儲存庫,因為已解除掛載的儲存庫較不易受到勒索軟體的攻擊。
