如何保護備份資料免受勒索軟體侵害

勒索軟體正成為對資料的頭號威脅，這使得確保不良分子在執行勒索軟體攻擊時不會將您的備份資料和您的主要資料一起加密至關重要。如果他們成功了，你將別無選擇，只能支付贖金，這將鼓勵他們再次嘗試。

不必支付贖金的關鍵是擁有備份以還原勒索軟體已加密的系統。保護這些備份免受勒索軟體攻擊的關鍵是在生產系統和備份系統之間設定儘可能多的障礙。無論做什麼，請確保備份的唯一副本不是簡單地位於要保護的同一資料中心的Windows伺服器上的目錄中。

保護Windows

大多數勒索軟體攻擊是針對Windows主機的，一旦單個主機被感染，它們就會傳播到計算環境中的其他Windows主機上。一旦勒索軟體擴散到足夠多的主機，攻擊者就會啟用加密程式。因此，最明智的做法是使用Windows以外的其他工具作為備份伺服器。

不幸的是，許多流行的備份產品主要在Windows上執行。好訊息是，其中許多還提供了Linux替代方案。即使主備份軟體必須在Windows上執行，它也可能具有Linux介質伺服器選項。介質伺服器是關鍵，因為這就是您要保護的資料所在的位置。如果只能透過基於Linux的媒體伺服器訪問您的備份，則針對Windows伺服器的勒索軟體攻擊將無法對其進行攻擊。

除了將常規備份儲存在基於Linux的媒體伺服器後面之外，請確保主備份伺服器的備份也儲存在其中。如果訪問那些備份所需的資料庫已被勒索軟體加密，那麼對備份進行未加密將無濟於事。

您還應該儘可能加強基於Windows的備份伺服器。瞭解勒索軟體用於攻擊伺服器(例如RDP)的服務並儘可能多的關閉它們。一定要記住，該伺服器是您的最後一道防線，因此請著重考慮安全性，而不是便利性。

從資料中心獲取備份

無論選擇哪種備份解決方案，都應將備份副本儲存在其他位置。這意味著不僅僅是將備份伺服器放置在雲中的虛擬機器中。如果從電子角度來看虛擬機器具有與在資料中心內一樣的可訪問性，則攻擊同樣容易。您需要以一種方式進行配置，以使對資料中心繫統的攻擊無法傳播到雲中的備份系統。這可以透過多種方式來完成，包括防火牆規則，更改作業系統和儲存協議。

例如，大多數雲供應商提供物件儲存，並且大多數備份軟體產品和服務都可以寫入物件儲存。勒索軟體攻擊者可能很老練，但是到目前為止，還沒有弄清楚如何攻擊基於物件的儲存中儲存的備份。此外，此類提供程式通常提供一次寫入，多次讀取選項，這意味著您可以指定一個期限，在該期限內，即使授權人員也無法修改或刪除備份。

還有一些備份服務可以將資料寫入只能透過使用者介面訪問的資料到其儲存中。如果您無法直接看到備份，則勒索軟體也不會。

這樣做的目的是使您的備份(或至少備份的一個副本)儘可能的遠離受感染的Windows系統。將它們放置在受防火牆規則保護的提供商的雲中，為備份伺服器使用其他作業系統，並將備份寫入其他型別的儲存。

刪除檔案系統對備份的訪問

如果您的備份系統正在將備份寫入磁碟，請盡最大努力確保無法透過標準檔案系統目錄訪問它們。例如，放置備份資料的最壞可能的位置是E：\ backups。勒索軟體產品專門針對具有此類名稱的目錄，並將對備份進行加密。

這意味著您需要找出一種將那些備份儲存在磁碟上的方式，以使作業系統不會將那些備份視為檔案。例如，最常見的備份配置之一是備份伺服器將其備份資料寫入到目標重複資料刪除陣列中，該目標重複資料刪除陣列透過伺服器訊息塊(SMB)或網路檔案系統(NFS)安裝到備份伺服器上。如果勒索軟體產品感染了該伺服器，它將能夠對該目標重複資料刪除系統上的備份進行加密，因為可以透過目錄訪問這些備份。您需要研究允許備份產品在不使用SMB或NFS的情況下寫入目標重複資料刪除陣列的方法。所有流行的備份產品均具有此類選項。

利用磁帶進行備份

當然我們還可以使用磁帶進行備份，磁帶真正擅長的一件事是將昨晚或上週的備份複製到另一種介質，然後傳送到異地以防範勒索軟體攻擊。即使是最好的勒索軟體產品也完全無法感染你的備份。有時，原始的方法往往是最好的方法。

設定一些障礙

不要讓勒索軟體輕易看到和加密你的備份。如果可能，不要將它們儲存在Windows伺服器上，至少要將一份複製儲存在資料中心無法透過電子方式訪問的地方。最後，以這樣一種方式配置備份系統，使備份不能被視為備份伺服器上的檔案。