勒索软件让CIO和管理员寝食难安,担心骇客会加密你的数据,然后强迫你付费来拿回密钥,这种事情确实会发生。而使用加密技术在此时并不起作用,因为勒索软件只对数据进行额外加密,令其无法访问。
虽然Windows Defender等操作系统实用工具能够通过锁定外部更改,保护选定的数据免受袭击,但是这种方法仍有所局限,需要进行详细的设置和监控。并且有可能会将文件遗留在不设防的新建目录中。另外,Linux作为一个开放的系统,在防御能力上更是不如。
我们必须另寻一处安全的避风港。针对勒索软件问题,目前最近流行的一种方案是在关键数据上部署快照备份系统,尤其是永久性的快照。这种基于快照备份方案的好处在于数据永远不会从对象中删除,因此只要勒索软件开始破坏存储系统,就能立刻将系统恢复到之前的某个时刻。
这意味着假如感染勒索软件的起始点是已知的,且所有文件都可以恢复到同一个时间点,那么恢复过程会相对容易。事实上,快照还可以大幅加速恢复过程,因为它只选择较早的数据块进行传输,而非最近那些已经受损的数据。
如果要将恢复应用到单个文件,那么友善的用户界面非常必要,否则整个过程就会变得相当单调乏味。在界面友善的场景中,你可以像使用备份那样轻松找到合适的文件和版本。
仔细考虑针对勒索软件的恢复工作
不过,在这种简单的基于快照的备份系统中仍有一个缺点。我们希望有远程的备份,从而在发生灾难时亦能得到数据保护。这点至关重要,尤其当分布式公有云带来了永续运行的理念。复制存储系统,例如Amazon Web Service的Simple Storage Service (S3)中的快照,虽说是异步,但却实现了远程控制。
在快照环境中,虽然数据是永久性的,但快照本身可能由于多种因素而消失。由于数据在线保存,有可能出现整个文件系统、大量数据和卷都被删除的情况。任何意外都可能会导致快照集合,甚至远程副本被删,结果是所有数据都将丢失。对一位拿到root权限的黑客而言,要做到这些并不困难。
60%的IT部门都会面临的另一项威胁在于骇客想要读取系统中的个人数据,不论是内部系统还是在公有云上。今天管理员知道的最佳实践是加密关键数据,但许多人并没有这样做。
单纯的Amazon的Simple Storage Service和加密功能并不足以预防所有的骇客。这里的关键在于不允许主流的操作进行删除操作,建立一种机制,只允许备份管理员才能删除文件系统或存储池。可以通过密码控制删除操作,并由备份管理员加以控制。这种方式的问题在于需要云服务供应商部署软件,或者托管操作系统,从而实现单独的控制处理。
基于快照的备份选项
我们来了解下市场上第三方的解决方案。如果目标是将数据副本迁移到安全的远程离线存储介质上,那么快照备份软件包或许可以满足需要。这类备份工具根据一定频率,将快照中的任何数据更改迁移到远程备份上。某种程度上,这就像是连续的备份方案,关键区别在于对快照进行备份时,由于传输所需时间,会存在一定的备份时间间隔。尽管如此,快照备份易于设置,而且仅占用很少的系统资源,因此在基于快照的备份方式上,这种折中的方式更为经济有效。
借助第三方软件,你可以添加不同的超级加密等功能,从而进一步保护数据;在删除备份时需要多组身份验证;又或者可以单独控制备份的生命周期,将长时间运行(而又低效)的快照整合到干净的副本中,这项功能非常有用。
有众多快照备份软件提供商:Dell、IBM和HP等大型系统供应商都提供相关产品,而知名的专业备份软件提供商,如Veeam、Druva、CloudBerry Lab和Actifio亦在迎头赶上。Nakivo为各种云服务提供商的虚拟机提供备份和快速恢复,而Rubrik为云提供备份服务,并保持应用一致性。
在选择供应商的过程中,应当着重部署与使用的简易性;是否支持数据压缩; 以及硬件的兼容性,考虑到快照的特有属性,这可能会成为一个主要的问题——尤其是在拥有多种存储平台类型的环境下。记住,借助数据压缩所节省下的大量存储空间,今天的存储已经相当廉价,并在未来会变得更加便宜。综合考虑宕机时间的成本,控制好数据爆发是一个很好的策略。
