在2004年國信辦發(fā)布的《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，強調(diào)了重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則，充分調(diào)動和發(fā)揮各方面的積極性，提高抵御災(zāi)難破壞能力和災(zāi)難恢復(fù)能力。

災(zāi)難備份建設(shè)要統(tǒng)籌規(guī)劃、合理布局，突出重點，避免重復(fù)建設(shè)。要從實際需求出發(fā)，組織有關(guān)機構(gòu)和專家針對信息系統(tǒng)的安全威脅、脆弱性、防護措施有效性等進行分析評估，根據(jù)信息系統(tǒng)的重要性、面臨的風(fēng)險大小、業(yè)務(wù)中斷所帶來的損失等因素，綜合平衡安全成本和風(fēng)險，確定災(zāi)難備份建設(shè)等級，選擇合適的災(zāi)難備份方案，嚴(yán)防不顧實際需求，一哄而上。

圖片

我們很多關(guān)于信息安全的工作，一定程度上以《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號，以下簡稱《意見》）作為我們的遵循，所以信息（網(wǎng)絡(luò)）安全的災(zāi)備工作其實國家層面是一早就做好了頂層設(shè)計了，而隨著信息化發(fā)展，網(wǎng)絡(luò)安全不斷復(fù)雜化，災(zāi)備在今天顯得尤為重要，當(dāng)網(wǎng)絡(luò)安全威脅到今天，我們不得不面對可能得勒索軟件攻擊，而備份作為網(wǎng)絡(luò)安全最后一道防線，能否扛得住勒索軟件攻擊，是我們關(guān)心的重要議題之一。

備份是任何可靠的反勒索軟件策略的重要組成部分。事實上，研究表明，使用備份的勒索軟件受害者的恢復(fù)成本中位數(shù)是支付贖金的受害者的一半。但并非所有數(shù)據(jù)備份方法都是一樣的。

另一份報告發(fā)現(xiàn)，在 93% 的勒索軟件事件中，威脅行為者會主動瞄準(zhǔn)備份存儲庫。這導(dǎo)致 75% 的受害者在攻擊期間至少丟失部分備份，并且超過三分之一 (39%) 的備份存儲庫完全丟失。

是什么讓一種備份策略比另一種更好？它從不變性開始，但故事還有更多內(nèi)容。

勒索軟件繼續(xù)造成嚴(yán)重破壞

根據(jù)最近的國外Veeam 勒索軟件趨勢報告，85% 的組織在過去 12 個月內(nèi)至少遭受過一次網(wǎng)絡(luò)攻擊。該報告調(diào)查了 1,200 名 IT 領(lǐng)導(dǎo)者，他們的組織在 2022 年至少遭受過一次勒索軟件攻擊。參與者包括來自亞太及日本地區(qū)、歐洲、中東和非洲以及美洲 14 個不同國家的各種規(guī)模的公司。

該研究中最值得注意的發(fā)現(xiàn)之一是團隊領(lǐng)導(dǎo)者敏銳地意識到 IT 備份團隊和安全團隊之間的脫節(jié)。事實上，70% 的備份管理員和 59% 的安全專業(yè)人員認(rèn)為團隊一致性需要“重大改進”或“徹底改革”。

為什么這些團隊會感覺到巨大的一致性差距？原因之一可能是只有 16% 的調(diào)查受訪者表示他們?nèi)』亓藬?shù)據(jù)并避免支付贖金。此外，21% 的人支付了贖金，但從未恢復(fù)過數(shù)據(jù)。與此同時，59% 的人支付了贖金以取回數(shù)據(jù)。

受影響的備份存儲庫

根據(jù)該報告，到 2022 年，惡意行為者至少有 93% 的攻擊以備份為目標(biāo)。75% 的攻擊中，對手成功滲透了備份存儲庫。根據(jù)研究數(shù)據(jù)，Veeam 得出了以下令人震驚的結(jié)論：

• 備份存儲庫有 75% 的可能性會受到網(wǎng)絡(luò)攻擊的影響
• 受影響時，39% 的存儲庫將變得無法使用
• 近三分之一 (29%) 的數(shù)據(jù)恢復(fù)嘗試不可行。

圖片

與此同時，調(diào)查受訪者估計，他們平均需要 3.3 周的時間才能認(rèn)為康復(fù)工作已完成?，F(xiàn)實情況是，一些恢復(fù)工作可能會持續(xù)數(shù)月。

使數(shù)據(jù)可恢復(fù)

不到 25% 的勒索軟件受害者表示攻擊并未影響他們的備份存儲庫。根據(jù) Veeam 的說法，這些組織實現(xiàn)這種級別的備份保護的方式始于不變性或網(wǎng)閘。

對于不變性，82% 的受訪者使用不可變云，64% 使用不可變磁盤。不可變云備份是指在指定時間內(nèi)備份數(shù)據(jù)無法修改、更改或刪除的備份策略。它確保備份數(shù)據(jù)保持完整且防篡改，防止意外或惡意更改。嚴(yán)格的訪問控制和寫保護機制可以幫助防止對備份文件的修改。

網(wǎng)閘可以將計算機或網(wǎng)絡(luò)與不安全或可能受到威脅的網(wǎng)絡(luò)隔離。涉及從物理上斷開系統(tǒng)或網(wǎng)絡(luò)與任何外部連接（例如互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)）的連接。隔離系統(tǒng)或網(wǎng)絡(luò)會形成一道屏障，使攻擊者難以滲透或泄露數(shù)據(jù)。這意味著將備份數(shù)據(jù)存儲在獨立的離線存儲介質(zhì)上，例如外部硬盤驅(qū)動器、磁帶或光盤。

即使數(shù)據(jù)備份沒有丟失，但如果被污染怎么辦？Veeam 報告還指出，即使使用了不變性工具，56% 的組織在恢復(fù)過程中也面臨著再次感染的風(fēng)險。

數(shù)據(jù)備份不變性加掃描

不可變數(shù)據(jù)備份支持創(chuàng)建具有網(wǎng)絡(luò)彈性的時間點數(shù)據(jù)副本，副本無法因用戶錯誤、惡意操作或勒索軟件攻擊而更改或刪除。不變性可以將備份副本與生產(chǎn)數(shù)據(jù)隔離，因此如果發(fā)生網(wǎng)絡(luò)攻擊，可以快速從副本中恢復(fù)數(shù)據(jù)。

真正全面的數(shù)據(jù)不變性還會自動掃描數(shù)據(jù)副本，以查找惡意軟件或勒索軟件引起的損壞跡象。掃描可以幫助在勒索軟件攻擊發(fā)起后立即識別它。數(shù)據(jù)掃描還可以識別未受攻擊影響的數(shù)據(jù)副本。有了這些信息，備份團隊就可以快速識別正在進行的攻擊并恢復(fù)干凈的數(shù)據(jù)副本。

數(shù)據(jù)不變性和掃描還可以幫助 IT 人員執(zhí)行事件評估所需的取證分析。在此基礎(chǔ)上，團隊可以制定最佳恢復(fù)計劃并確定文件、數(shù)據(jù)庫或整個系統(tǒng)的恢復(fù)范圍。

減少違規(guī)時間和影響

Veeam 報告強調(diào)了這樣一個事實：數(shù)據(jù)備份只是可靠的網(wǎng)絡(luò)彈性計劃的一部分。事實上，強大的備份框架有四個關(guān)鍵要素：

• 數(shù)據(jù)復(fù)制不變性：這會創(chuàng)建無法更改或刪除（不可變）的活動生產(chǎn)數(shù)據(jù)的安全、時間點副本或快照。數(shù)據(jù)副本通常是在與生產(chǎn)環(huán)境不同的存儲環(huán)境中創(chuàng)建的。
• 主動監(jiān)控：利用多種數(shù)據(jù)源以及分析工具和技術(shù)檢測惡意模式。這包括訪問日志、啟發(fā)式、與其他系統(tǒng)的日志（例如網(wǎng)絡(luò)日志或服務(wù)器日志）的關(guān)聯(lián)、網(wǎng)絡(luò)流和數(shù)據(jù)包數(shù)據(jù)。
• 數(shù)據(jù)副本的測試/驗證：主動檢測數(shù)據(jù)損壞或確保在執(zhí)行任何進一步操作之前副本已驗證干凈。
• 快速恢復(fù)：包括對問題進行取證調(diào)查，以確定識別攻擊原因和范圍所需的恢復(fù)操作、工具和程序?；謴?fù)工具從備份副本中提取數(shù)據(jù)并邏輯地將其恢復(fù)到生產(chǎn)環(huán)境。如果出現(xiàn)有意或無意的數(shù)據(jù)丟失，此操作對于將數(shù)據(jù)、文件或系統(tǒng)恢復(fù)到生產(chǎn)用途至關(guān)重要。

真正有效的數(shù)據(jù)備份

如果組織要投資備份策略，應(yīng)該是完全不可變的，并且能夠從攻擊中快速恢復(fù)。數(shù)據(jù)掃描和監(jiān)控是這個方程的關(guān)鍵部分。任何數(shù)據(jù)污染都應(yīng)該是可檢測的，這使得違規(guī)解決更快、更容易。這樣，就可以更快地啟動和運行運營，有時甚至在幾小時內(nèi)而不是幾周內(nèi)。

有效的備份，自是安全可靠的保障，無效的備份，只是一堆設(shè)備的空耗，浪費人力與金錢的同時，增加了風(fēng)險。