面对勒索软件攻击，如何做到不妥协

作者：Edwin Weijdema, Veeam全球技术专家

2022年上半年发生勒索软件攻击超过2.36亿次，攻击的数量和强度都在增长，并且几乎影响到了每一个行业领域。这是因为新的勒索软件攻击犯大量涌入，加上现有的网络攻击犯为了获取更多赎金而采取更大胆的手段。

虽然许多企业在受到攻击时急于支付赎金，但这却不能保证你能拿回你的数据。根据《2022年Veeam勒索软件趋势报告》显示，全球有52%的企业为加密数据支付了赎金并成功恢复了数据，但仍有四分之一支付赎金的企业无法恢复数据。因此关于是否应该支付赎金争论不下。当有一部分人为了试图尽快恢复网络和运营而支付赎金时，另有一部分人已经为这种不可避免的情况做好了准备，他们无需支付赎金就可以恢复数据。

事实上，我们需要所有的企业达到一个 "无畏 "的水平，他们有能力安全地拒绝付款，因为他们知道他们的数据备份足够严格，可以确保恢复时间很短并且数据丢失为零。

妥协的危险

在企业能够达到这个“无畏”的水平之前需要采取许多步骤，但首先，他们需要考虑自己为什么支付赎金，并充分理解妥协的危险性。

究其根本，他们是害怕的，并试图避免一些可怕的后果。声誉受损是一个严重的问题，安全部门也担心他们的工作会受到影响。为了避免成为被关注的焦点，企业选择进行支付赎金来息事宁人，希望灾难能够得到悄无声息的解决。

从更严肃的角度来看，勒索软件攻击犯采取的方法往往使企业感到他们确实没有选择。勒索软件团伙直接攻击备份，让企业陷入困境：即使已经备份了数据，备份仍然可能遭到攻击。分析一下勒索软件攻击犯的想法，你就能知道他们为什么会选择攻击备份。因为最有价值、最敏感、最关键的业务数据才会被优先备份，所以攻击者知道他们得到的是对业务至关重要的数据，而不是无关紧要的数据。

可惜正如我们所知，支付赎金并不意味着数据可以被成功恢复，整个事件可以被抛之脑后。实际在很多情况下，支付赎金会引发连锁反应。如果你支付了赎金，就等于告诉攻击者，你会做他们要求的任何事情，这将导致他们进一步利用你。只有大约四分之一的企业只遭受了一次攻击，事实上攻击犯还会回来，发动更多的攻击，提出更多的要求。这就是所谓的双重或三重敲诈。

双重敲诈有时也被称为“点名敲诈”，这清晰地传达了为什么它对企业有如此大的威胁，以及为什么企业希望通过支付赎金来逃避问题。这种类型的勒索软件攻击不仅是盗窃和加密数据，还会传播数据。例如攻击者将通过威胁与企业的竞争对手分享被盗数据来敲诈他们。

三重敲诈在双重敲诈的基础上施加了更多的压力，如果不按时付款，还会威胁企业要进行分布式拒绝服务（DDoS）攻击。当这种情况发生时，企业会感到真正的绝望：不仅数据被渗出加密，而且他们还面临着数据被公布，以及如果DDoS攻击成真则业务将完全关停的问题。

不幸的是，当企业支付勒索赎金时，大概率就会发生这种情况，而避免这种情况的最好办法是确保你的备份策略足够强大，让企业能够说“不”。

建立一个铁打的备份

备份是抵御勒索软件攻击的最后一道防线，但不是所有的备份都是一样的。仅仅拥有一个备份是不够的，正如我们所看到的，备份是攻击者的目标。在94%的攻击中，备份存储库成为被攻击目标，几乎70%的网络事件中，至少有一些备份存储库受到影响。

这意味着只有以正确的方式保护正确的数据时，你才能对勒索软件的要求说“不”。为此，企业需要在数据分类方面非常敏锐。当下企业已经拥有并且持续产生大量的数据，所以这听起来很简单，但它会带来一些相当大的挑战。从根本上说，当你面对一个似乎无穷无尽的数据量时，你很难知道哪些部分是重要的，以及它们的位置。为了能够对勒索要求说“不”，在强化数据保护策略时，企业需要明确地知道自己有什么数据，以及需要备份什么。

未分类的数据是没有标签或不可识别的，这也使得为数据集分配风险等级更加困难。如果你的目标是保护关键任务数据，那么首先必须要识别它。除此之外，标记你的高优先级数据也是数据恢复的一个重要部分。通常情况下，企业无法确定哪些数据集在攻击中被攻破，这也是促使他们支付赎金的另一个原因，因为他们无法排除最敏感的数据被攻破的可能性，同时也无法定位到特定的数据集来恢复。

除了确保数据被分类外，还必须遵循“3-2-1”备份的黄金法则，并且更进一步。

Veeam已经制定了这个古老的规则，即坚持每个数据集有三个副本，至少保存在两个不同的介质上，其中一个副本存放在异地。我们在这一规则的末尾又增加了几个数字，把它变成“3-2-1-1-0”。除了常规的步骤外，我们认为还有一些原则是必须坚持的。

首先，备份数据的一个副本必须是离线托管的，还有一个必须是被隔离或者是不可变的，并且整体来看，在测试阶段必须是零错误。这看起来是一个很简单的观点，但它经常被忽视：备份只有在经过验证确保完全没有错误的情况下对你来说才是有用的（在攻击发生时，或普遍来看）。否则，数据就无法按计划恢复。这是通过日常监控来实现的，备份不应该被当作是为紧急情况而保存的东西，它们应该被看作是有生命的、需要不断关注的。

这反映了企业对数据保护的态度在逐渐转变，以及他们对数据保护的要求也在不断变化。《Veeam 2022数据保护趋势报告》调查了企业如今优先考虑的问题，发现异构性是关键。所谓“异构性”，是指优化的数据保护策略，用于保护分布在本地服务器和云服务器上的现代工作负载。企业越来越多地采取这一举措，确保他们享受到数据保护策略带来的好处。

以恢复为重点

在这个时代，勒索软件攻击是无法避免的。这不是一个“如果”的问题，而是一个“何时”的问题。这意味着，即使你已经掌握了你的备份策略，这也只是战斗的一半。

另一半是准备好优化数据恢复和恢复时间目标（RTO）。这是一个需要大量时间的过程。企业平均需要18天来完成数据修复，但对于15%的企业来说，这个过程可能需要几个月的时间（1-4个月）。除了劳动密集型企业之外，这也意味着业务在这段停机时间内被打断。为了避免这种情况发生，重要的是确保你有正确的基础设施来支持快速恢复。

同样，现代的数据备份方法可以帮助实现——如果你在本地和云端都备份了数据，你就有能力同时从两个服务器恢复数据。重要的是，你也多了一层防线，因为40%的服务器经历过意外中断。如果考虑到这一点并制定相应的策略，你可以给团队更多的权力来对赎金要求说不，因为你已经手握多个备份。

企业往往依赖增量数据恢复，因为它被认为是一个更经济的选择。然而随着勒索软件攻击造成的损失在增长，进行必要的工作来支持全面恢复是值得的。这需要重新设计基础设施，以使企业能够快速恢复数据，这意味着他们可以在比18天短得多的时间内恢复正常业务。

一旦解决了向勒索软件支付赎金的原因，拒绝支付就变得非常容易。展望未来，企业需要抛开恐惧，通过改进的备份策略来保证自己临危不惧。