勒索軟件正成為對數(shù)據(jù)的頭號威脅，這使得確保不良分子在執(zhí)行勒索軟件攻擊時不會將您的備份數(shù)據(jù)和您的主要數(shù)據(jù)一起加密至關(guān)重要。如果他們成功了，你將別無選擇，只能支付贖金，這將鼓勵他們再次嘗試。

不必支付贖金的關(guān)鍵是擁有備份以還原勒索軟件已加密的系統(tǒng)。保護(hù)這些備份免受勒索軟件攻擊的關(guān)鍵是在生產(chǎn)系統(tǒng)和備份系統(tǒng)之間設(shè)置盡可能多的障礙。無論做什么，請確保備份的唯一副本不是簡單地位于要保護(hù)的同一數(shù)據(jù)中心的Windows服務(wù)器上的目錄中。

保護(hù)Windows

大多數(shù)勒索軟件攻擊是針對Windows主機(jī)的，一旦單個主機(jī)被感染，它們就會傳播到計算環(huán)境中的其他Windows主機(jī)上。一旦勒索軟件擴(kuò)散到足夠多的主機(jī)，攻擊者就會激活加密程序。因此，最明智的做法是使用Windows以外的其他工具作為備份服務(wù)器。

不幸的是，許多流行的備份產(chǎn)品主要在Windows上運(yùn)行。好消息是，其中許多還提供了Linux替代方案。即使主備份軟件必須在Windows上運(yùn)行，它也可能具有Linux介質(zhì)服務(wù)器選項。介質(zhì)服務(wù)器是關(guān)鍵，因為這就是您要保護(hù)的數(shù)據(jù)所在的位置。如果只能通過基于Linux的媒體服務(wù)器訪問您的備份，則針對Windows服務(wù)器的勒索軟件攻擊將無法對其進(jìn)行攻擊。

除了將常規(guī)備份存儲在基于Linux的媒體服務(wù)器后面之外，請確保主備份服務(wù)器的備份也存儲在其中。如果訪問那些備份所需的數(shù)據(jù)庫已被勒索軟件加密，那么對備份進(jìn)行未加密將無濟(jì)于事。

您還應(yīng)該盡可能加強(qiáng)基于Windows的備份服務(wù)器。了解勒索軟件用于攻擊服務(wù)器（例如RDP）的服務(wù)并盡可能多的關(guān)閉它們。一定要記住，該服務(wù)器是您的最后一道防線，因此請著重考慮安全性，而不是便利性。

從數(shù)據(jù)中心獲取備份

無論選擇哪種備份解決方案，都應(yīng)將備份副本存儲在其他位置。這意味著不僅僅是將備份服務(wù)器放置在云中的虛擬機(jī)中。如果從電子角度來看虛擬機(jī)具有與在數(shù)據(jù)中心內(nèi)一樣的可訪問性，則攻擊同樣容易。您需要以一種方式進(jìn)行配置，以使對數(shù)據(jù)中心系統(tǒng)的攻擊無法傳播到云中的備份系統(tǒng)。這可以通過多種方式來完成，包括防火墻規(guī)則，更改操作系統(tǒng)和存儲協(xié)議。

例如，大多數(shù)云供應(yīng)商提供對象存儲，并且大多數(shù)備份軟件產(chǎn)品和服務(wù)都可以寫入對象存儲。勒索軟件攻擊者可能很老練，但是到目前為止，還沒有弄清楚如何攻擊基于對象的存儲中存儲的備份。此外，此類提供程序通常提供一次寫入，多次讀取選項，這意味著您可以指定一個期限，在該期限內(nèi)，即使授權(quán)人員也無法修改或刪除備份。

還有一些備份服務(wù)可以將數(shù)據(jù)寫入只能通過用戶界面訪問的數(shù)據(jù)到其存儲中。如果您無法直接看到備份，則勒索軟件也不會。

這樣做的目的是使您的備份（或至少備份的一個副本）盡可能的遠(yuǎn)離受感染的Windows系統(tǒng)。將它們放置在受防火墻規(guī)則保護(hù)的提供商的云中，為備份服務(wù)器使用其他操作系統(tǒng)，并將備份寫入其他類型的存儲。

刪除文件系統(tǒng)對備份的訪問

如果您的備份系統(tǒng)正在將備份寫入磁盤，請盡最大努力確保無法通過標(biāo)準(zhǔn)文件系統(tǒng)目錄訪問它們。例如，放置備份數(shù)據(jù)的最壞可能的位置是E：\ backups。勒索軟件產(chǎn)品專門針對具有此類名稱的目錄，并將對備份進(jìn)行加密。

這意味著您需要找出一種將那些備份存儲在磁盤上的方式，以使操作系統(tǒng)不會將那些備份視為文件。例如，最常見的備份配置之一是備份服務(wù)器將其備份數(shù)據(jù)寫入到目標(biāo)重復(fù)數(shù)據(jù)刪除陣列中，該目標(biāo)重復(fù)數(shù)據(jù)刪除陣列通過服務(wù)器消息塊（SMB）或網(wǎng)絡(luò)文件系統(tǒng)（NFS）安裝到備份服務(wù)器上。如果勒索軟件產(chǎn)品感染了該服務(wù)器，它將能夠?qū)υ撃繕?biāo)重復(fù)數(shù)據(jù)刪除系統(tǒng)上的備份進(jìn)行加密，因為可以通過目錄訪問這些備份。您需要研究允許備份產(chǎn)品在不使用SMB或NFS的情況下寫入目標(biāo)重復(fù)數(shù)據(jù)刪除陣列的方法。所有流行的備份產(chǎn)品均具有此類選項。

利用磁帶進(jìn)行備份

當(dāng)然我們還可以使用磁帶進(jìn)行備份，磁帶真正擅長的一件事是將昨晚或上周的備份復(fù)制到另一種介質(zhì)，然后發(fā)送到異地以防范勒索軟件攻擊。即使是最好的勒索軟件產(chǎn)品也完全無法感染你的備份。有時，原始的方法往往是最好的方法。

設(shè)置一些障礙

不要讓勒索軟件輕易看到和加密你的備份。如果可能，不要將它們存儲在Windows服務(wù)器上，至少要將一份拷貝存儲在數(shù)據(jù)中心無法通過電子方式訪問的地方。最后，以這樣一種方式配置備份系統(tǒng)，使備份不能被視為備份服務(wù)器上的文件。
責(zé)編AJX