Ransomware是从IT环境发展到公共互联网的一种新现象。黑客获得了计算机系统和加密数据,只有在支付赎金后才提供加密密钥或解锁数据。
即使使用最严格的安全规则,总是存在通过其他途径(通常为社会工程)获取的真实凭证来破坏系统的风险。这意味着需要额外的保护层,以确保数据可以恢复,而不是支付数据以获取数据。
考虑到这一点,这里有一些关于ransomware备份的该做和不该做的事情。
定期备份所有数据。任何备份系统都应以业务需求为依据。还应该确保在ransomware攻击后丢失的数据量尽可能地最少。
检查备份的状态。确保备份成功完成,并尽快解决任何问题。不要等到在发生故障后重新运行ransomware备份。
有一些离线备份副本。存储在磁带或其他离线媒体上的数据并不像在线备份那样容易受损。如果主数据被破坏,黑客也可能尝试破坏ransomware备份系统以防止恢复。离线备份可以降低这种风险。
执行定期恢复测试。了解数据备份是非常好的,但你应该验证恢复是否正常工作。不要等到需要恢复时才知道它是否有效。
构建数据验证测试以恢复检查。恢复后如何确保数据仍然有效?一种方法是创建位于文件系统中的虚拟或代理数据,并作为检查内容的控件。如果虚拟文件与已知的良好值相比发生了更改,则应怀疑数据已被泄露。
不要在任何事情上使用相同的凭证。备份凭据应仅用于此目的。获得凭证的人越多,他们越有可能受到威胁。
查看跟踪可疑行为。除了验证恢复之外,还有其他的功能。例如,如果数据被加密,增量备份大小会大大增加。这可能表示数据已被破坏。
在ransomware备份和恢复过程中设计弹性,并对环境中的变化保持警惕,因为早期检测是关键。
本文转自d1net(转载)
时间: 2024-09-23 15:36:22