Official Blog
如何從勒索軟體攻擊中恢復?掌握勒索軟體復原最佳實踐的 7 大要點
Tony Lin - Product Marketing
2024-03-13
Technologybackupransomeware

如何從勒索軟體攻擊中恢復?掌握勒索軟體復原最佳實踐的 7 大要點

勒索軟體可以說是企業當前面臨最嚴峻的資安風險,無論身處哪種產業、規模的 IT 人員,都視其為穩定營運的最大挑戰之一。英國資安廠商 Sophos 公布的報告中,就有一個令人無法忽視的統計數據,勒索軟體在 2023 年平均造成企業產生 154 萬美元損失,幾乎是 2022 年 80 萬美元的兩倍,而這意味著各組織迫切需要加強其防禦措施。

因此,企業是否擁有全面的勒索軟體復原計劃,就成為強化安全性過程中的關鍵,這套計畫必須最小化攻擊帶來的負面影響,同時在最短時間內即可恢復業務營運。而在所有抵禦資安風險的工具當中,Synology 建議企業將「復原能力」視為最優先考量的事項。

我們以資料保護、備份的觀點出發,加上協助超過 15 萬間企業客戶的經驗,歸納出制訂資料保護與復原計畫的重點,讓組織隨時擁有最近版本、安全且經驗證的備份,並提高成功復原的可能性,最終才能做到減少停機時間、極小化資料損失的風險。

勒索軟體復原計劃的關鍵要素

Synology 剖析了勒索軟體的特性,認為復原計畫中應涵蓋這 7 項關鍵要素:

  • 消除備份資料孤島:現今企業營運或開發時,通常會跨足多個平台或工具,這使得某些工作負載被忽略、未被保護到時,等同於將組織曝露於勒索軟體攻擊風險之中。因此,當這些平台和工作負載的資料彼此連動時,企業備份就不能允許有任何資料孤立存在,務必將各種來源、裝置都納入完備的備份規劃中。

  • 高效、快速備份:隨著企業資料量急遽增長,資料不僅需保留供後續分析,還可能要轉移到雲端或應用於 IOT 裝置。因此,備份的資料量將只會更加龐大,代表企業得找到一套能高效、迅速備份資料的系統,不僅能確保所有資料都在規範時間內完整備份,同時極大縮短復原的時間間隔(RPO)。

  • 備份資料的保留天數:新型的勒索軟體有高達 30 天至 90 天的潛伏期,所以備份資料在此期間需要有效、安全地保存,意味著要保存得長久且乾淨,不會輕易被勒索破壞,才有辦法在任何意外發生時,握有可用、可還原的資料,維持企業持續營運。

  • 測試備份的可還原性:組織不會知道何時會遭受勒索軟體的攻擊,處於這樣的不確定性環境中,必須持續測試、演練備份資料的可還原性,確保資料在需要時能正確還原,真正面臨勒索軟體威脅時,也才有辦法快速且有效地復原。

  • 無法竄改的備份架構:常見的勒索軟體會加密企業的原始資料,同時刪除組織現有的備份副本。因此,企業備份資料必須保持足夠的安全性,像是最初就以不可竄改的機制備份,等於駭客也無法修改或刪除。同時,應具備在網路或實體環境中,直接隔離勒索軟體的能力,組織才會永遠擁有一份乾淨可還原的資料。

  • 快速、彈性的還原機制:企業如果真的不幸遭受攻擊,首要目標就是要確保營運不中斷,這就分別涉及到「時間」與「彈性」兩個關鍵點。為了最小化停機時間,必須實現即時還原以縮短復原時間目標(RTO)。此外,鑑於勒索軟體常針對單一平台進行攻擊,因此備份應具備跨平台、跨 hypervisor 的還原功能,以分散還原所面臨的風險。

  • 易於操作、集中管理:企業的 IT 環境複雜度日益增加,如果僅用各工具和服務自帶的備份功能,經常因不易管理而產生人為疏失,勒索軟體當然就會有機可乘。因此,用於勒索軟體復原計劃的備份工具,必須具備集中管理的功能,操作起來也應該簡單、好上手,就會大幅降低 IT 人員的負擔,進而減少發生遺漏的可能性。

延伸了解 | 杰鑫物流靠 Synology 打造災害復原計畫,RTO 表現優於合規目標

Synology 如何協助企業實踐勒索軟體復原計劃?

Synology 提供了多種資料保護解決方案,就能滿足上述企業對抗勒索軟體的關鍵要素。

首先,Synology 的保護範圍得以涵蓋多種來源端資料。從員工筆電、組織的核心基礎架構到雲端應用程式,確保企業架構和系統內的所有資料都能妥善守護,不再出現資料孤島。同時 Synology 亦提供多層次的保護機制,可以二次備份資料到多元目的地,包含複寫到異地備份伺服器或雲端儲存空間,確保備份資料的可用性。

下一個優勢在於我們提供 3 種方式,確保備份資料本身的安全性第一是支援不可竄改備份,有效防止未經授權的更改或刪除,進而保護企業的備份資料,免受勒索軟體和其他惡意攻擊的影響。第二個是基於美國網路安全與基礎設施安全局「避風港計畫」的原則,我們實現了離線備份技術,使備份部署的環境,能與潛在的勒索軟體攻擊隔離。第三個是擁有多層次的身分驗證,涵蓋了 Active Directory、LDAP 和 SAML 2.0,組織得以嚴格規範備份伺服器的存取權限,進一步保證資料完整性和機密性。

最後,既然還原能力是規劃復原計畫的重點,Synology 解決方案中當然也具備相關功能。從還原演練開始,組織得以定期將資料還原到備份伺服器內建的 HyperVisor 當中,以沙盒的環境做測試,就能在不影響營運的情況下進行演練,避免未來手忙腳亂、無法迅速應對勒索軟體的攻擊。

延伸了解 | 看春源鋼鐵如何打造 5 分鐘即可恢復運作的營運持續計畫

而當意外發生時,我們提供多樣化、彈性的還原選項,包括裸機還原、檔案層級還原和資料庫的還原,更可以在 VMware 或 Hyper-V 的虛擬化環境中快速掛載備份映像檔,達成 實體轉虛擬(Physical to Virtual, P2V),以及虛擬轉虛擬(Virtual to Virtual, V2V) 的跨平台即時還原,讓企業根據特定需求,選擇最適合的復原方法。

勒索軟體攻擊在近年來以驚人的速度增加,對企業和組織造成了重大損害,資料保護因此成為企業達成永續營運的重中之重。Synology 資料保護解決方案遵循最佳實踐,定義最合適企業的「勒索軟體復原計畫」,強化組織面對勒索軟體攻擊的防禦能力,有效協助企業實現營運不中斷的目標。

想了解更多對抗勒索軟體的資料保護實務?立刻預約免費諮詢,由專家為你規劃服務