勒索软件是一种恶意软件,它会加密文件,阻止用户访问或使用计算机系统。勒索软件攻击通常会提出赎金要求,使受感染的计算机、服务器和文件瘫痪。攻击屡见不鲜— Veeam《2023 年全球勒索软件趋势 报告》显示,在过去 12 个月中,85% 的组织遭受过至少一次网络攻击。尽管 80% 的组织支付了赎金,但只有 75% 的组织恢复了对其数据的访问权限,平均而言仅恢复了 66% 的数据。黑客在 75% 的时间内专门针对备份存储库。
另一方面,16% 的被攻击组织在不支付赎金的情况下恢复了数据。这些组织拥有干净、不可变和可靠的备份,以及可按预期运行的集成式勒索软件响应策略。需要强调的是,如果您制定了一个强大的计划来应对勒索软件攻击,则能够从勒索软件攻击中恢复。
由于攻击非常普遍,因此,了解如何从勒索软件攻击中恢复快速至关重要。勒索软件恢复计划的关键方面应包括强化系统、严格的预防措施、勒索软件检测和响应、恢复和还原措施,以及通知相关机构和受影响方的计划。务必进行事后分析,以帮助防止未来的攻击。
您可以采取多项措施来防止和缓解勒索软件攻击。其中包括员工培训、风险评估、强化软硬件解决方案、网络分段以及安全的数据备份:
对员工进行培训:您的员工是抵御恶意软件攻击的第一道防线,因此您应该培训他们识别攻击,并向他们介绍勒索软件威胁,以及如何发现系统遭到入侵的迹象。
执行风险评估:让专家团队执行风险评估,以确定恶意软件和勒索软件防御中的弱点。
强化端口和终端设置:禁用未使用的远程桌面端口(RDP),并将 RDP 和其他远程访问协议端口限制为受信任的主机。同样,还要使用安全配置设置来强化终端。
对网络进行分段并实施访问控制:使用虚拟专用网络和硬件工具对网络进行分段。将网络中面向客户的部分与面向内部的部分分开。授予访问权限时采用零信任原则。
实施所有软件更新和补丁:通过精心实施更新和安全补丁来限制入侵风险。
采用安全备份和数据冗余策略:仔细规划备份策略,因为这代表了您的最后一道防线。经常备份,确保您拥有无法更改的不可变副本。保持至少一组完全离线备份。定期检查备份完整性。
对任何勒索软件事件做出及时反应至关重要。借助合适的监控工具,通常可以在攻击进行时阻止攻击。您应该采用 24/7 全天候监控和在线勒索软件检测工具进行监控和检测。通过这种方式,您可以减轻损害并更快地清理系统,如下所示:
确定受影响的系统:确定受影响的系统,并立即将其与网络其他部分隔离。如果攻击影响了多个系统,并且无法初步核实其影响范围,请将网络断开连接。如果您无法轻松使系统脱机,请通过拔下以太网电缆和禁用 Wi-Fi 来限制感染范围。
关闭设备电源:如果无法断开设备与网络的连接,请关闭受影响的设备电源。请注意,此步骤可能会删除保存在丢失易失性内存中的证据。
对受影响的系统进行分类:确定对组织至关重要的系统,并根据组织的优先级按重要性顺序列出它们。
检查日志:查看系统日志,以识别诸如释放器恶意软件、早期攻击和受损网络等前兆。
确定发生了什么:确定导致攻击的事件的顺序,以及攻击者如何能够渗透到您的网络中。
发现威胁:识别勒索软件、其变种以及系统上的任何其他恶意软件。
报告事件并与受影响的各方透明地沟通所发生的情况。及时的沟通将有助于减轻长期后果,例如信誉损失和惩罚性赔偿。要采取的措施包括:
内部沟通:立即通知所有受影响的员工和职能部门,并通知他们为控制事件而采取的措施。发布定期更新。
通知有关部门:根据当地法令的要求,向地方或国家执法官员报告事件。确保您履行与特定隐私和数据保护法规有关的所有法律义务。
对外沟通:将事件告知客户和业务合作伙伴,并发布有关损失程度的适当信息。请注意,犯罪分子通常会威胁公布机密信息以胁迫受害者支付赎金。
保持透明:虽然公司想要隐藏破坏性信息是很自然的,但网络攻击的消息不可避免地会传出去。透明度可以最大限度地减少对声誉的损害,帮助调查人员,并为受影响的各方提供采取措施保护敏感数据的机会。
在采取措施从系统中根除勒索软件之前,请捕获所有受感染设备的系统映像和易失性内存内容。此信息有助于在取证调查过程中确定发生了什么以及您的系统是如何被侵入的。保留存储在系统内存、安全日志和防火墙日志缓冲区中的易失性信息至关重要。
请咨询联邦执法机构、多州信息共享和分析中心(MS-ISAC)以及您的安全供应商,以确定研究人员是否开发了解密工具或确定了可用于解密数据的加密漏洞。这些资源还可能提供有关识别受影响系统以及如何关闭勒索软件二进制文件的步骤的其他信息。其他步骤包括:
识别所涉及的系统
禁用虚拟专用网络、基于云的终端和公开的终端
关闭服务器端数据加密
识别内部和外部持久性机制
消除策略的主要目标是从您的系统(与数据不同)中删除勒索软件和恶意软件的所有痕迹。虽然有时可以对系统进行消毒,但通常来说,擦除系统并使用模板和干净的镜像从头重建系统更为直接、更安全。步骤包括:
擦除或清理所有受感染的系统
重建企业系统,从关键系统开始
重置所有密码
处理并阻止确定的漏洞、网站和恶意软件
在清除勒索软件的所有痕迹并重建系统后,由指定的 IT 部门发布声明,以确认勒索软件事件已经结束
此时,您便可还原数据并恢复工作。您的远见卓识会促使您使用创新的解决方案快速从勒索软件攻击中恢复,此时,您还将从中受益。Veeam 提供多种解决方案,包括用于创建可快速启动和运行的虚拟机的备份复制副本。恢复和还原步骤包括:
使用安全备份还原系统
确保您的备份是干净的,这样,就不会在恢复过程中再次感染干净的系统
实施从攻击中吸取的经验教训以加强安全措施
部署持续勒索软件监控解决方案
完成事后评估
鉴于勒索软件攻击频繁发生,您应将其与其他业务连续性管理计划归为一类。其中包括关于处理重大事件、自然灾害和灾难恢复的策略。
勒索软件 事件响应计划的 起点是经过全面研究并记录在案的恢复计划。通常,该计划包括所有利益相关者,明确说明恢复目标和沟通策略。该计划确定了责任方,并明确定义了遭受勒索软件攻击时应采取的措施。
需要考虑的要点包括:
响应团队:确定响应团队的所有成员及其职责和职能。任命一名指定的领导者负责协调活动。
清单:编制一份包含所有物理和云硬件和软件资产的完整清单,并附上关于这些资产的相互关系的图表,包括虚拟专用网络、虚拟私有云、WAN 和 API 等特殊功能。
关键功能:列出关键的业务功能、应用程序、数据集及备份并确定其优先级。
紧急联系人名单:包括可能受到勒索软件事件影响的所有员工、服务提供商、供应商和客户。
训练:对团队成员进行角色和职责方面的培训,并使用勒索软件防御套件来模拟事件,以确保每个人都熟悉并适应自己的角色。
勒索软件行动计划:准备一份详细的勒索软件响应行动计划。
经验教训:记录在训练模拟和实际攻击中吸取的经验教训。
正式制定和采用这些勒索软件防护最佳实践将有助于贵公司在受到攻击时快速有效地做出响应,并确保您拥有干净的备份来还原和重新连接服务。
尽管重建 IT 结构总是可能的,但如果企业无法访问干净数据,则无法在勒索软件攻击中幸免于难。Veeam 的在线备份解决方案可解决这个问题。Veeam 提供的单个解决方案具有多层不可变性、全面监控和自动化功能,可帮助您全面控制恢复。Veeam 可使用常见的云端解决方案以及适用于 Windows、Linux 和 Mac 的本地解决方案。
请致电我们的销售部门,详细了解我们的勒索软件数据恢复解决方案,或下载我们的构建强大的网络弹性数据恢复策略专用白皮书,获取关于实现网络弹性的更多提示。
Josh Druck 在 9 月 14 日的博客中指出,Veeam 与 Cisco HyperFlex 和 Nutanix 都有着长期的技术合作关系。在这篇博文中,我想从技术角度探讨思科和 Nutanix 最近宣布建立全球战略合作伙伴关系对 Veeam 客户或潜在 Veeam 客户的意义。
您可能知道,Veeam 与 Cisco 合作已有十多年之久,Veeam Data Platform 能够保护和恢复 Cisco HyperFlex 工作负载。2023 年 9 月 12 日,思科宣布 Cisco HyperFlex 数据平台停止销售并且生命周期结束。Cisco 的 HyperFlex 客户将有一年的时间购买更多的 HyperFlex 设备,并有更多年的时间继续运行他们的 HyperFlex 集群。对于希望继续运营 HyperFlex 的客户,Veeam Data Platform 将继续为他们提供相关环境支持。
对于希望从 HyperFlex 迁移到 Cisco UCS 服务器上的 Nutanix 云平台(称为思科计算与 Nutanix 超融合解决方案)的思科客户,Veeam Data Platform 不仅可提供出色的数据保护,而且还可帮助简化虚拟机从 HyperFlex 到 Nutanix 的迁移。采用思科计算与 Nutanix 超融合解决方案的客户将需要选择他们希望在其 Nutanix 群集上运行的虚拟机管理程序,即选择 VMware vSphere 还是 Nutanix 自己的 AHV 虚拟机管理程序。
无论您选择继续使用 vSphere 还是希望更改为 AHV,您都可以将 Veeam Data Platform 用于以下两种不同的迁移用例:
从 HyperFlex vSphere 迁移到 Nutanix vSphere(图 1)将工作负载从 vSphere 迁移到 Nutanix AHV(图 4)针对此用例,Cisco 发布了一份出色的白皮书,标题为“将工作负载从 Cisco HyperFlex ... Read more
随着各行各业收紧数据隐私和保留法律,实现合规性似乎是一项艰巨的任务。输入“一次写入,多次读取”(WORM) 存储:这是一款简单的解决方案,旨在将您的数据牢固地固定到位,并保护其免受意外更改和蓄意威胁。
本指南将重点介绍 WORM 存储的基本要素及其关键特性、实际应用以及特定数据策略中的必要性指标。提供所需知识,帮助您自信地保护数据并实现合规性。
基于磁盘的软件强制 WORM 使用磁盘存储硬件和防止数据覆盖或修改的软件,软件设置数据不可更改标志以锁定写入的数据。
光学 WORM 使用一次性写入的光学介质(如 DVD-R 和蓝光)来存储无法修改的数据。光学 WORM 是经济高效的数据存档和长期保留选项。
专用磁带盒用于基于磁带的 WORM 存储,以实现一次性写入功能。在这三种存储方法中,磁带 WORM 的成本最为低廉,是数据存档和备份的首选。磁带介质的使用寿命还很长,如果存储得当,可以在数十年内保持可读性。
WORM 存储的目标是保护数据完整性,并确保遵守严格的合规性标准,这些标准要求以不可更改或删除的格式存储数据。这种不可更改的数据存储能力对于防止意外错误和故意篡改至关重要。因此,这是维护敏感信息的真实性和安全性的关键工具。
WORM 存储可在必要的时间内为您提供可审计的存储数据记录,并适用于一系列行业法规,包括 SEC 17a-4(f)、FINRA Rule 4511 和 HIPAA。
WORM 技术专为确保数据安全性和可访问性而构建。它可增强财务记录、医疗文件和知识产权等关键业务数据的安全性和弹性,并实现长期保存。多个数据副本可以存储在地理位置分散的位置,以防止数据在灾难中丢失。
使用 WORM 存储解决方案保留和管理您的数字记录可降低风险,让您高枕无忧,您的数据将保持不变,并可在需要时进行访问。有了合适的 WORM 存储平台,您就能以支持安全和合规目标的方式控制和监督数据。
WORM 存储通常用于医疗保健领域,以保存受 HIPAA 保护的医疗记录。WORM 存储的不可变性可确保您的数据不被更改和篡改,从而满足保留和保护敏感患者健康信息的严格合规性规定。
WORM 存储有助于确保符合法律和财务文件的记录保存标准和规定。例如,WORM 可用于以不可变格式存储合同、会计记录和交易数据,以满足法律和监管义务所要求的保留期限。
WORM 存储是维护准确的历史业务记录和保护数据免受安全威胁的理想选择,因为其不可变的特性可防止恶意行为者篡改或删除关键业务数据。WORM 存储用于定期备份,可为关键的组织记录和知识产权提供额外保护。
WORM 存储非常适合长期数据存档,在这种情况下,信息需要以不可篡改的状态无限期地保留。重要的历史记录、文物和其他必须长期保存或永久保存的数据也可以存储在 WORM 介质上。WORM 存储具有不可擦除和不可重写的特性,可确保数据完整性和长期归档使用寿命。
WORM 存储有几种关键用例,在这些用例中,需要保留不可变和防篡改的数据。医疗保健、法律、金融和长期归档都是可以从 WORM 存储解决方案提供的安全合规数据保存中受益的领域。WORM 可保护敏感信息,满足法规要求,防止数据丢失,并允许对必须经得起时间考验的记录进行永久存档。
WORM 代表“一次写入,多次读取”。
WORM 存储使用磁盘、光学或磁性介质,允许永久记录数据。可以重复读取此介质以访问数据,但它仍然不可更改。一些 WORM 存储器使用 DVD 或蓝光等光学介质,而其他类型则使用磁性或磁盘介质以及软件,以防止数据存储后被覆盖。
WORM 存储可用于归档必须以未更改状态保留以满足法规遵从性要求的数据。WORM 存储的不可更改性还有助于防止意外或恶意数据删除或修改。WORM 的持久性和安全性使其成为存储必须保存多年的关键业务、财务、医疗或法律记录的理想选择。
受严格保留和安全策略约束的数据应使用 WORM 技术进行存储。其中包括:
审计所需的财务记录
病历和患者数据
商业合同和法律文件
软件源代码
必须保留的电子邮件记录
CCTV 安全录像
WORM 存储使组织能够根据需要长期安全地保留这些关键数据,以满足内部政策和外部法规要求。
在确定 WORM 是否适合您的存储需求时,请仔细评估您的数据保留策略、备份策略和预算。如果实施得当,WORM 可以成为长期保存重要记录的重要数据保存工具。同时还能为您提供可靠的长期存档功能、合规性、法律可采性以及增强的数据弹性。
借助 Veeam Data Platform,企业可以充分灵活地利用 WORM 功能,并确保其关键数据以不可变状态保存。
Veeam 通过提供在磁带介质上创建专用 WORM 和 WORM GFS 介质池的基础架构,以及与兼容 WORM 的对象存储(如基于软件的 S3 对象锁)和具有基于软件的数据不变性控制的 Veeam 强化存储库集成,专门支持 WORM 存储。这些专用技术遵循 WORM 基本原则,即数据一旦写入,就无法修改或删除。这可确保您的归档数据的完整性和持久性,并使您的组织能够满足严格的法规和公司要求。
随着数据存储标准的进步和对始终不变的数据保存的需求不断增长,Veeam 对 WORM ... Read more
Veeam 强化存储库是 Veeam 的本地解决方案,可为 Linux 服务器上的 Veeam Backup & Replication 备份提供可信的不可变性。通过支持通用 Linux 服务器,Veeam 确保客户始终可以选择其硬件,而不会受到供应商限制。Veeam 还允许客户使用其值得信赖的 Linux 发行版(Ubuntu、Red Hat、SUSE),而不是被迫使用“自定义 Veeam Linux”。
强化存储库有助于确保 Veeam 备份的不变性,同时满足 3-2-1 规则,并将强化存储库与其他不可变选项(如对象存储或 WORM 磁带上的对象锁定)相结合。本博文将介绍如何为物理服务器选择和准备环境,该服务器稍后将用作“强化存储库”。未来的博客文章将涵盖诸如准备和规划、保护 Linux 系统以及集成到 Veeam Backup & Replication 等主题。
如果缺乏耐心,请使用带有内部磁盘的(高密度)服务器。这种方法可以线性扩展,因为每个新的 Hardened Repository 节点都会有更多的 CPU、RAM、RAID、网络、磁盘空间和 IO 性能。满机架的高密度服务器可提供约 8 PB 的原始容量。借助 Veeam 原生数据缩减和 XFS 空间节省(块克隆),一个机架中可存储高达 100 PB 的逻辑数据,备份速度高达 420 TiB/h。
如果您的环境较小,请不要担心。从 2 个机架单元、12 个数据磁盘和 2 个用于操作系统的磁盘开始。
网络是确保“强化存储库”有助于实现恢复点目标(RPO,最大可丢失多少数据)和恢复时间目标(RTO,恢复需要多少时间)的关键因素。在“永久增量”备份的世界里,网络有时会被遗忘,因为“永久增量”方法对带宽的要求很低。建议设计“完全恢复”方案。使用自己喜欢的计算工具,根据还原要求估算带宽。
通过不同网速复制 10 TB 数据需要多长时间的几个示例:
1 Gbit/s 22 小时 45 分钟
10 Gbit/s 2 小时 15 分钟
20 Gbit/s 1 小时 8 分钟
40 Gbit/s 34 分钟
100 Gbit/s 不到 14 分钟
100 Gbit/s 是当今客户在存储库服务器中实际应用的最快速度。HPE 在 2021 年通过其 Apollo 4510 服务器表明,单台服务器就能达到这样的速度。
但这不仅仅是带宽。这也与冗余有关。如果只有一根网线连接到交换机基础设施,则意味着单点故障。建议为 Hardened Repository 建立冗余网络连接。根据所具备的网络功能,这可能是具有负载平衡功能的主动/主动链路(如 ... Read more
