在2004年國(guó)信辦發(fā)布的《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，強(qiáng)調(diào)了重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅(jiān)持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則，充分調(diào)動(dòng)和發(fā)揮各方面的積極性，提高抵御災(zāi)難破壞能力和災(zāi)難恢復(fù)能力。

災(zāi)難備份建設(shè)要統(tǒng)籌規(guī)劃、合理布局，突出重點(diǎn)，避免重復(fù)建設(shè)。要從實(shí)際需求出發(fā)，組織有關(guān)機(jī)構(gòu)和專(zhuān)家針對(duì)信息系統(tǒng)的安全威脅、脆弱性、防護(hù)措施有效性等進(jìn)行分析評(píng)估，根據(jù)信息系統(tǒng)的重要性、面臨的風(fēng)險(xiǎn)大小、業(yè)務(wù)中斷所帶來(lái)的損失等因素，綜合平衡安全成本和風(fēng)險(xiǎn)，確定災(zāi)難備份建設(shè)等級(jí)，選擇合適的災(zāi)難備份方案，嚴(yán)防不顧實(shí)際需求，一哄而上。

圖片

我們很多關(guān)于信息安全的工作，一定程度上以《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)，以下簡(jiǎn)稱《意見(jiàn)》）作為我們的遵循，所以信息（網(wǎng)絡(luò)）安全的災(zāi)備工作其實(shí)國(guó)家層面是一早就做好了頂層設(shè)計(jì)了，而隨著信息化發(fā)展，網(wǎng)絡(luò)安全不斷復(fù)雜化，災(zāi)備在今天顯得尤為重要，當(dāng)網(wǎng)絡(luò)安全威脅到今天，我們不得不面對(duì)可能得勒索軟件攻擊，而備份作為網(wǎng)絡(luò)安全最后一道防線，能否扛得住勒索軟件攻擊，是我們關(guān)心的重要議題之一。

備份是任何可靠的反勒索軟件策略的重要組成部分。事實(shí)上，研究表明，使用備份的勒索軟件受害者的恢復(fù)成本中位數(shù)是支付贖金的受害者的一半。但并非所有數(shù)據(jù)備份方法都是一樣的。

另一份報(bào)告發(fā)現(xiàn)，在 93% 的勒索軟件事件中，威脅行為者會(huì)主動(dòng)瞄準(zhǔn)備份存儲(chǔ)庫(kù)。這導(dǎo)致 75% 的受害者在攻擊期間至少丟失部分備份，并且超過(guò)三分之一 (39%) 的備份存儲(chǔ)庫(kù)完全丟失。

是什么讓一種備份策略比另一種更好？它從不變性開(kāi)始，但故事還有更多內(nèi)容。

勒索軟件繼續(xù)造成嚴(yán)重破壞

根據(jù)最近的國(guó)外Veeam 勒索軟件趨勢(shì)報(bào)告，85% 的組織在過(guò)去 12 個(gè)月內(nèi)至少遭受過(guò)一次網(wǎng)絡(luò)攻擊。該報(bào)告調(diào)查了 1,200 名 IT 領(lǐng)導(dǎo)者，他們的組織在 2022 年至少遭受過(guò)一次勒索軟件攻擊。參與者包括來(lái)自亞太及日本地區(qū)、歐洲、中東和非洲以及美洲 14 個(gè)不同國(guó)家的各種規(guī)模的公司。

該研究中最值得注意的發(fā)現(xiàn)之一是團(tuán)隊(duì)領(lǐng)導(dǎo)者敏銳地意識(shí)到 IT 備份團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的脫節(jié)。事實(shí)上，70% 的備份管理員和 59% 的安全專(zhuān)業(yè)人員認(rèn)為團(tuán)隊(duì)一致性需要“重大改進(jìn)”或“徹底改革”。

為什么這些團(tuán)隊(duì)會(huì)感覺(jué)到巨大的一致性差距？原因之一可能是只有 16% 的調(diào)查受訪者表示他們?nèi)』亓藬?shù)據(jù)并避免支付贖金。此外，21% 的人支付了贖金，但從未恢復(fù)過(guò)數(shù)據(jù)。與此同時(shí)，59% 的人支付了贖金以取回?cái)?shù)據(jù)。

受影響的備份存儲(chǔ)庫(kù)

根據(jù)該報(bào)告，到 2022 年，惡意行為者至少有 93% 的攻擊以備份為目標(biāo)。75% 的攻擊中，對(duì)手成功滲透了備份存儲(chǔ)庫(kù)。根據(jù)研究數(shù)據(jù)，Veeam 得出了以下令人震驚的結(jié)論：

• 備份存儲(chǔ)庫(kù)有 75% 的可能性會(huì)受到網(wǎng)絡(luò)攻擊的影響
• 受影響時(shí)，39% 的存儲(chǔ)庫(kù)將變得無(wú)法使用
• 近三分之一 (29%) 的數(shù)據(jù)恢復(fù)嘗試不可行。

圖片

與此同時(shí)，調(diào)查受訪者估計(jì)，他們平均需要 3.3 周的時(shí)間才能認(rèn)為康復(fù)工作已完成?，F(xiàn)實(shí)情況是，一些恢復(fù)工作可能會(huì)持續(xù)數(shù)月。

使數(shù)據(jù)可恢復(fù)

不到 25% 的勒索軟件受害者表示攻擊并未影響他們的備份存儲(chǔ)庫(kù)。根據(jù) Veeam 的說(shuō)法，這些組織實(shí)現(xiàn)這種級(jí)別的備份保護(hù)的方式始于不變性或網(wǎng)閘。

對(duì)于不變性，82% 的受訪者使用不可變?cè)疲?4% 使用不可變磁盤(pán)。不可變?cè)苽浞菔侵冈谥付〞r(shí)間內(nèi)備份數(shù)據(jù)無(wú)法修改、更改或刪除的備份策略。它確保備份數(shù)據(jù)保持完整且防篡改，防止意外或惡意更改。嚴(yán)格的訪問(wèn)控制和寫(xiě)保護(hù)機(jī)制可以幫助防止對(duì)備份文件的修改。

網(wǎng)閘可以將計(jì)算機(jī)或網(wǎng)絡(luò)與不安全或可能受到威脅的網(wǎng)絡(luò)隔離。涉及從物理上斷開(kāi)系統(tǒng)或網(wǎng)絡(luò)與任何外部連接（例如互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)）的連接。隔離系統(tǒng)或網(wǎng)絡(luò)會(huì)形成一道屏障，使攻擊者難以滲透或泄露數(shù)據(jù)。這意味著將備份數(shù)據(jù)存儲(chǔ)在獨(dú)立的離線存儲(chǔ)介質(zhì)上，例如外部硬盤(pán)驅(qū)動(dòng)器、磁帶或光盤(pán)。

即使數(shù)據(jù)備份沒(méi)有丟失，但如果被污染怎么辦？Veeam 報(bào)告還指出，即使使用了不變性工具，56% 的組織在恢復(fù)過(guò)程中也面臨著再次感染的風(fēng)險(xiǎn)。

數(shù)據(jù)備份不變性加掃描

不可變數(shù)據(jù)備份支持創(chuàng)建具有網(wǎng)絡(luò)彈性的時(shí)間點(diǎn)數(shù)據(jù)副本，副本無(wú)法因用戶錯(cuò)誤、惡意操作或勒索軟件攻擊而更改或刪除。不變性可以將備份副本與生產(chǎn)數(shù)據(jù)隔離，因此如果發(fā)生網(wǎng)絡(luò)攻擊，可以快速?gòu)母北局谢謴?fù)數(shù)據(jù)。

真正全面的數(shù)據(jù)不變性還會(huì)自動(dòng)掃描數(shù)據(jù)副本，以查找惡意軟件或勒索軟件引起的損壞跡象。掃描可以幫助在勒索軟件攻擊發(fā)起后立即識(shí)別它。數(shù)據(jù)掃描還可以識(shí)別未受攻擊影響的數(shù)據(jù)副本。有了這些信息，備份團(tuán)隊(duì)就可以快速識(shí)別正在進(jìn)行的攻擊并恢復(fù)干凈的數(shù)據(jù)副本。

數(shù)據(jù)不變性和掃描還可以幫助 IT 人員執(zhí)行事件評(píng)估所需的取證分析。在此基礎(chǔ)上，團(tuán)隊(duì)可以制定最佳恢復(fù)計(jì)劃并確定文件、數(shù)據(jù)庫(kù)或整個(gè)系統(tǒng)的恢復(fù)范圍。

減少違規(guī)時(shí)間和影響

Veeam 報(bào)告強(qiáng)調(diào)了這樣一個(gè)事實(shí)：數(shù)據(jù)備份只是可靠的網(wǎng)絡(luò)彈性計(jì)劃的一部分。事實(shí)上，強(qiáng)大的備份框架有四個(gè)關(guān)鍵要素：

• 數(shù)據(jù)復(fù)制不變性：這會(huì)創(chuàng)建無(wú)法更改或刪除（不可變）的活動(dòng)生產(chǎn)數(shù)據(jù)的安全、時(shí)間點(diǎn)副本或快照。數(shù)據(jù)副本通常是在與生產(chǎn)環(huán)境不同的存儲(chǔ)環(huán)境中創(chuàng)建的。
• 主動(dòng)監(jiān)控：利用多種數(shù)據(jù)源以及分析工具和技術(shù)檢測(cè)惡意模式。這包括訪問(wèn)日志、啟發(fā)式、與其他系統(tǒng)的日志（例如網(wǎng)絡(luò)日志或服務(wù)器日志）的關(guān)聯(lián)、網(wǎng)絡(luò)流和數(shù)據(jù)包數(shù)據(jù)。
• 數(shù)據(jù)副本的測(cè)試/驗(yàn)證：主動(dòng)檢測(cè)數(shù)據(jù)損壞或確保在執(zhí)行任何進(jìn)一步操作之前副本已驗(yàn)證干凈。
• 快速恢復(fù)：包括對(duì)問(wèn)題進(jìn)行取證調(diào)查，以確定識(shí)別攻擊原因和范圍所需的恢復(fù)操作、工具和程序。恢復(fù)工具從備份副本中提取數(shù)據(jù)并邏輯地將其恢復(fù)到生產(chǎn)環(huán)境。如果出現(xiàn)有意或無(wú)意的數(shù)據(jù)丟失，此操作對(duì)于將數(shù)據(jù)、文件或系統(tǒng)恢復(fù)到生產(chǎn)用途至關(guān)重要。

真正有效的數(shù)據(jù)備份

如果組織要投資備份策略，應(yīng)該是完全不可變的，并且能夠從攻擊中快速恢復(fù)。數(shù)據(jù)掃描和監(jiān)控是這個(gè)方程的關(guān)鍵部分。任何數(shù)據(jù)污染都應(yīng)該是可檢測(cè)的，這使得違規(guī)解決更快、更容易。這樣，就可以更快地啟動(dòng)和運(yùn)行運(yùn)營(yíng)，有時(shí)甚至在幾小時(shí)內(nèi)而不是幾周內(nèi)。

有效的備份，自是安全可靠的保障，無(wú)效的備份，只是一堆設(shè)備的空耗，浪費(fèi)人力與金錢(qián)的同時(shí)，增加了風(fēng)險(xiǎn)。