不想支付赎金团伙?测试您的备份
浏览有关勒索软件攻击的几乎任何故事的评论,您几乎肯定会遇到这样的观点,即受害者组织只要有适当的数据备份就可以避免向他们的勒索者付款。但丑陋的事实是,即使从数据备份的角度来看,受害者几乎做对了所有事情,但最终还是要付钱的原因有很多。这个故事不是关于组织如何应对网络犯罪分子将他们的数据作为人质,这已成为当今大多数顶级勒索软件犯罪集团的最佳实践。相反,这是关于为什么受害者仍然需要为解密系统所需的密钥付费,即使他们有办法自行从备份中恢复所有内容。专家表示,勒索软件目标和/或其保险提供商在已经拥有可靠备份的情况下仍然付费的最大原因是,受害者组织中没有人愿意提前测试此数据恢复过程可能需要多长时间。 Emsisoft 的首席技术官 Fabian Wosar 说:“在很多情况下,公司确实有备份,但他们以前从未真正尝试过从备份中恢复他们的网络,所以他们不知道这需要多长时间。” “突然,受害者注意到他们有几 PB 的数据需要通过 Internet 恢复,他们意识到即使使用快速连接,下载所有这些备份文件也需要三个月的时间。许多 IT 团队实际上从未真正从数据速率的角度对他们需要多长时间进行恢复计算。” Wosar 表示,下一个最常见的情况是受害者对数据进行了异地加密备份,但发现解密备份所需的数字密钥存储在由勒索软件加密的同一个本地文件共享网络上。受害组织能够依赖其备份的第三大常见障碍是勒索软件提供者也设法破坏备份。 “这仍然有点罕见,”沃萨尔说。 “它确实发生了,但更多的是例外而不是规则。不幸的是,最终以某种形式进行备份仍然很常见,这三个原因之一使它们无法发挥作用。”
Coveware 的首席执行官兼联合创始人比尔·西格尔 (Bill Siegel) 是一家为受害者协商勒索软件付款的公司,他表示,大多数付款的公司要么没有正确配置备份,要么没有测试他们的弹性或恢复备份的能力。勒索软件场景。 “可能 [他们] 有 50 PB 的备份……但它位于……30 英里外的设施中。……然后他们开始[通过铜线从这些远程备份中恢复],但速度真的很慢……有人退出了一个计算器,并意识到这将需要 69 年 [恢复他们需要的],”西格尔告诉 Kim Zetter,一位资深的 Wired 记者,他最近在 Substack 上发布了一份网络安全通讯。 “或者,您实际上使用许多软件应用程序进行恢复,其中一些应用程序在您的网络中 [已] 加密,”Siegel 继续说道。 “所以你会说,‘哦,太好了。我们有备份,数据在那里,但实际进行恢复的应用程序是加密的。因此,所有这些小事情都会让你绊倒,阻止你在不练习时进行恢复。” Wosar 表示,所有组织都需要测试他们的备份并制定计划,以优先恢复重建网络所需的关键系统。 “在很多情况下,公司甚至不知道他们的各种网络依赖关系,因此他们不知道他们应该按照什么顺序恢复系统,”他说。 “他们事先并不知道,‘嘿,如果我们受到打击,一切都出问题了,这些服务和系统是我们可以建立的基本网络的优先事项。’”Wosar 说,组织钻研他们的定期桌面演习中的违规响应计划,并且正是在这些演习中,公司可以开始完善他们的计划。例如,他说,如果组织可以物理访问其远程备份数据中心,则开发将备份物理运送到恢复位置的流程可能更有意义。 “许多受害者认为自己不得不以一种他们没有预料到的方式重建他们的网络。这通常不是制定此类计划的最佳时机。这就是为什么桌面练习非常重要。我们建议您创建一个完整的剧本,以便您了解从勒索软件攻击中恢复所需的操作。”
对于在家的人来说,备份应该容易得多。您可以轻松克隆驱动器,然后将其离线存储。您还可以将文档保存在一个目录中,并只备份该目录和子目录。大多数应用程序不需要备份,除非您使用的是旧的,在这种情况下它可能不安全。公司会遇到大量问题,因为他们经常依赖旧的应用程序(商业产品以及内部构建的应用程序),如果他们丢失了这些应用程序,就很难重新创建它们,并且数据也不容易导入到其他工具中。当然这也是为什么会有这么多安全问题,公司坚持支持旧产品,因为他们不想花钱更新东西。在您访问照片和视频之前,大多数家庭数据不需要太多磁盘空间。人们坚持保留数万张没人真正关心的照片。我从来没有真正想过恢复备份所涉及的时间,这很有趣。我肯定会尝试测试事物(数据恢复),但在生产环境中,人们通常会抵制它,即使它很关键。我从来没有经营过一家大公司/设施,所以我可以理解事情很快就会变得复杂,但这不是假装问题不存在的借口。我不得不从备份中恢复我的家用电脑,这没什么大不了的。我的情况不是勒索病毒。我从来没有过其中之一。我的是硬盘崩溃。我的机器不能运行。所以我买了一个新的硬盘驱动器,并支付了一项技术来恢复我的系统。然后我从谷歌备份恢复了我的文件。那花了几分钟。最后,我不得不重新加载一些我经常使用的程序,这需要更长的时间。但我可以看到,对于拥有更多数据的企业来说,这可能是一个更大的问题。我很高兴我支付了我的 Google 备份费用,100GB 每月花费我大约 2 美元,我想?感谢你的这篇文章。我在国防承包商处运行 IT,并将我的私钥存储在网络存储的加密共享中 – 哎呀!我只是复制了一些我们的私钥并将它们扔到几个 USB 驱动器上。确保您的计算机不会被勒索、运行 Windows 以外的任何东西并停止使用电子邮件处理任何重要事情的最佳方法。
我只是一个普通的乔,总是花时间阅读克雷布斯。如果有的话,在我们尝试确保我们的“资料”安全时,总有一些东西需要学习和改进。再次感谢这些“金块”。 @Christian,虽然您的建议是准确的,但我认为这两个建议都不现实。但是,如果我要扩展您的主题:完全远离互联网是确保您的计算机不会被勒索赎金的最有效方法。对我来说听起来不合理,因为此时此刻,我在互联网上。对于企业而言,这 3 条建议都不好。保护您自己(和您的组织)的更好方法是制定一个经过深思熟虑、经过审查和操作的安全计划,该计划符合深思熟虑的风险接受态度。测试备份恢复是安全程序的一个组成部分,由于时间、金钱和资源等缺陷(借口),它经常被忽视。正如本文所指出的,每个人都应该制定一个端到端的恢复计划,经常测试,根据需要修改计划;像往常一样冲洗泡沫。 “会计师现在报税了吗?我们应该测试和完善我们的事件响应计划。现在也是”我想这一切都归结为利润而不是原则。如果支付密钥比恢复更便宜,他们会吞下不那么苦的药丸。我运行照片 - 电影 - 音频 - VHS 存档。我也是一名摄影师,有很多自己的数据。我决定不再使用 LTO 磁带并不断备份相同的数据,而是使用光盘来形成一个库。当一个项目完成时,我将数据存档在 M-Disc 上,并且在将其复制到磁带上无数次之后,不必继续愚弄它,也不必在翻译中丢失某些东西。没有一个项目大到足以证明他们自己的磁带是合理的,因此如果我使用磁带,数据将不得不不断地重新复制并与新数据合并。由于项目正在开发中,我将它放在 AZA DVD 或 BD-R 上作为临时备份。我一直在使用各种尺寸的 M-Disc,但 4.7GB M-Disc 已停产。在过去的几个月里,M-Disc 系列的其他产品价格飞涨。 (100GB M-Disc 从 241 美元涨到 298 美元)我使用 4.7GB 的大小主要用于 VHS 收藏——每个用 DVD 刻录机转录的数字化磁带都有自己的 M-Disc。更糟糕的是,新的 DVD 刻录机现在也几乎绝迹了。我很幸运,因为我可以让我的主计算机离线并且不用太担心受到攻击。在听说 Microsoft 的强制更新删除了其中一个更新的数据后,我开始这样做。第二台计算机不用于电子邮件或网上冲浪,除非在我之前处理过的已知实体上使用互联网。第三台计算机用于处理所有事情,数据不断从中备份并最终传输到其他机器。
但我的最终目标是将大量数据放在 M-Disc 上并将其归档到库中。为了备份 M-Disc,我也使用 BD-R,因此至少有 2 个光盘副本。随着项目的进行,在不同的完成阶段会有更多的数据副本。有时有十几个或更多的备份。 BD-R 非常适合存档,每个售价约 0.40,所以没什么大不了的。我确信我的系统对大公司没有好处,但我就是这样做的。对于日常快速备份,它是 HDD、SDD 和一些拇指驱动器。但这些东西不是档案,它们只是短期的。我希望他们推出激光雕刻的石英备份。我测试过的所有 AZO DVD 都会随着时间的推移而变质并变得毫无用处。如果您将 AZO 或 Gold MAM-A DVD 放在阳光下,它会在 3 周后损坏。如果将 M-Disc 放在阳光下,在阳光下晒一年后就好了。数据必须刻在坚硬的基材上才能保存存档。那么你所需要担心的就是为它找到一个读者。备份系统的第一条规则:“任何未经定期测试的备份系统都不是备份系统。”无论我们是在谈论计算机、发电机、污水泵还是其他任何东西,都是如此。任何不理解和实践这一概念的 IT 组织都应该质疑他们的能力。这就是人们遇到麻烦的地方:没有备份软件许可证代码!把它放在一个文本文档中,这样任何程序都可以打开它们,然后打印出来并保存在一个安全的地方。使用大数据的公司,如银行,称之为“灾难恢复”。那些头部直接拧紧的人将定期进行 DR 练习。这涉及模拟实际的灾难,然后查看他们可以多快和多准确地使系统重新启动并运行。这通常还涉及使用操作系统和软件的冷安装版本以及数据备份从头开始启动系统。他们负担不起为了这次测试而关闭生产系统,所以他们使用冗余系统,这是一个公平的测试,因为那是他们在真正的灾难之后可能实际必须使用的系统。关键是你从这些练习中学到了很多东西,包括你的 DR 计划是否真的会成功地产生一个工作的恢复系统,你的备份过程是否保留了完整系统恢复所需的一切,以及整个混乱持续了多长时间去拿。如果您只是在备份数据并交叉手指,那么您就在与墨菲打赌,您将能够及时恢复。墨菲通常会赢。非常正确。我的公司做到了这一点,甚至在“大数据”一词被发明之前就已经做到了。
有时,墨菲会被派去进行数据中心灭火系统重新认证,启动它,然后您就可以测试您的业务连续性故障转移计划的启动速度。这是一个巨大的贡献。我也在我的个人博客中分享了这一点,继续做你正在做的事情。
