如果发生攻击,从勒索软件攻击中恢复需要有适当的备份和恢复计划。
备份和恢复计划组织应该为每个资产定义一个明确的恢复点和恢复时间目标,这将有助于他们为其特定环境确定适当的备份技术和过程。应制定明确的政策和程序,以描述备份计划、数据应如何备份或恢复、谁负责备份和恢复等。在这方面对员工进行交叉培训也是值得的。
存储快照在大多数大型环境中,服务器存储通常位于SAN上,大多数现代SAN设备允许您保留存储卷的一个或多个快照。应配置存储快照,以便在必要时可以将卷回滚到爆发前快照的先前状态。快照的频率应根据组织预定的恢复点和恢复时间目标来确定。
脱机备份虽然SAN或数据中心之间的实时复制等技术对于业务连续性非常有用,但它们在从勒索软件攻击中恢复时用处不大,因为加密版本的文件也将快速复制到其他位置。为了在勒索软件事件后成功地从备份中还原数据,备份应以Pull Only方式进行并脱机存储,以确保备份数据不会加密和不可恢复。虽然没有许多新的基于磁盘的备份系统那么性感,但磁带仍然可以作为理想的备份介质,用于存储环境中数据的多个历史时间点快照。备份频率应根据组织预先确定的恢复点和恢复时间目标来确定
备份和恢复测试灾难恢复计划经常被搁置,直到灾难真正发生,这可能是一个大错误。备份和恢复应按常规计划进行成功测试,以确保所有系统正常工作,并确保工作人员具有足够的知识来实际操作系统。您不想等到勒索软件攻击或其他灾难发生后才发现关键服务器没有正确备份。如果灾难真的发生,例行测试也会缩短恢复时间。
参考文献OWASP 反勒索软件指南 [深信服 2021年度勒索病毒态势报告http://www.github5.com/view/1131](http://www.github5.com/view/1131)
