勒索软件绝非空谈，而是企业在日益数字化的世界中面临的最令人畏惧的挑战之一。勒索软件攻击不仅频发，而且日益复杂，新的勒索软件团伙层出不穷。他们的攻击手段迅速演变，变得比以往任何时候都更加危险和具有破坏性。在最近的一项调查中，几乎所有受访者（99.8%）都表示，他们担心身份信息、会话cookie和其他数据会从感染恶意软件的设备中被提取，而这些活动与未来的勒索软件攻击高度相关。

　　严峻的现实是，勒索软件威胁不会很快消失。尽管组织尽力防止这些攻击，但数据泄露事件仍在发生。因此，备份和灾难恢复（BCDR）成为你抵御这些日益严峻威胁的关键最后一道防线。然而，许多组织忽视了至关重要的灾难恢复实践，使自己容易受到网络攻击和数据灾难的影响。

　　为了有效应对网络威胁，你的组织必须制定全面的灾难恢复计划，并定期测试以确保其有效性和可靠性。组织快速应对网络事件的能力取决于积极主动的准备。以下三个策略是保护你的最后一道防线并确保成功恢复的关键：

　　1. 审核数据：确保分散在多个地方的数据得到保护，确认备份的完整性，并减少盲点。

　　2. 创建韧性：构建强大的系统，通过本地访问控制、加密、不可变性和备份隔离来抵御中断。

　　3. 洞察恢复：通过定期灾难恢复测试、测量恢复有效性和检测备份中的异常，实现明智、高效的恢复，从而将业务影响降到最低。

　　本文将探讨企业在业务连续性和灾难恢复（BCDR）方面犯下的五个错误，这些错误可能导致灾难性的数据泄露和业务中断。

　　让你暴露的5个BCDR疏忽

　　BCDR策略对于保护你的业务免受数据丢失、停机时间和网络威胁至关重要。然而，即使准备充分的组织也往往会忽视使其易受攻击的关键方面。我们将探讨五个常见的BCDR疏忽，这些疏忽可能会使你的业务面临风险，并提供见解以增强你对不断演变的威胁的韧性。

　　1. 认为本地不可变性足够安全

　　尽管本地不可变性增加了一层防御，确保数据无法被更改或修改，但仅依赖本地不可变性会带来重大风险。内部威胁，如凭据泄露、控制配置错误或内部人员行为，可能使威胁者能够禁用不可变性设置。之后，他们可以潜伏等待，直到不可变性标志过期后再加密或删除数据。

　　在物理空间或预算有限的小型环境中，在一台服务器上执行多个备份和恢复任务会增加脆弱性，使备份数据暴露于潜在的系统漏洞或安全漏洞。

　　此外，内部人员通过物理访问可以直接绕过不可变性，通过从活动CD或USB启动来允许备份被窃取、删除或加密。

　　以下是实现真正不可变性并保护你的数据免受勒索软件攻击的一些建议：

　　最有效的方法是将你的备份复制到安全的、不可变的云存储位置（异地）。

　　与Unitrends等备份和灾难恢复解决方案提供商合作，将备份复制到包括Forever Cloud在内的多个云目的地，其中数据以不可变格式存储。

　　Unitrends使用预测分析来检查勒索软件的存在，并在检测到勒索软件迹象时向IT管理员发出警报。

　　使用Unitrends Recovery Assurance等先进技术，该技术自动执行灾难恢复测试，以确定备份是否干净且可恢复。

　　下载《机密案例研究电子书》，通过从真实数据灾难中汲取的教训来掌握数据保护。

　　2.依赖基于Windows的备份软件

　　Microsoft Windows是全球使用最广泛的计算机操作系统，拥有高达67%的操作系统市场份额。由于其广泛使用和受欢迎程度，Windows也成为勒索软件团伙的主要目标。

　　尽管Windows威胁环境因众多版本和发行版而分散，但某些共性构成了风险。许多Windows服务默认配置为运行，使它们成为寻求Windows生态系统中访问向量的网络犯罪分子的频繁目标。

　　威胁者可能会使用Windows管理规范（WMI）脚本、vssadmin.exe命令或PowerShell脚本的组合来自动删除备份。基于Windows的备份基础设施与数据中心内任何其他基于Windows的组件一样容易受到勒索软件攻击。此外，如果备份服务器位于与其保护的基础设施相同的物理空间中，风险会更大。

　　以下是你可以加强针对基于Windows的软件攻击的防御的几种方法：

　　常见漏洞和暴露（CVE）是公开披露的信息安全问题。跟踪CVE对于识别你软件堆栈中的潜在漏洞以及及时了解供应商咨询至关重要。

　　使用加固的、基于Linux的备份设备将备份与虚拟基础设施隔离，并使其保持在Windows攻击范围之外。

　　未保护SaaS数据

　　随着软件即服务（SaaS）应用已成为现代业务运营不可或缺的一部分，保护您的SaaS数据已成为不容商榷之事。如今，Google Workspace、Microsoft 365和Salesforce等SaaS应用存储着大量业务关键数据。与传统存储在公司防火墙后的数据不同，SaaS数据位于云端，不受组织直接控制。此外，在勒索软件攻击的情况下，如果仅依赖原生云恢复选项，可能会因缺乏快速恢复所需的强大、细粒度的恢复能力而导致严重后果。

　　威胁行为者了解这些变化，并越来越多地瞄准云用户。根据IBM X-Force 2024年威胁情报指数，涉及有效被盗或受损凭证的网络攻击同比增长了70%以上。[3]

　　为更好地保护您的SaaS数据免受勒索软件攻击，请考虑实施以下关键建议：

　　采用专为SaaS环境设计的第三方备份解决方案。遵循3-2-1备份规则，寻找提供生产云环境外数据存储的供应商。实施多因素认证（MFA），以降低通过被盗凭证进行未授权访问的风险。确保数据在传输和存储时均被加密。投资采用能够定期进行备份和恢复测试的SaaS备份解决方案，以确保在勒索软件攻击的情况下能够高效恢复数据。行业领导者如Unitrends提供针对Google Workspace和Microsoft 365的暗网监控服务，扫描暗网以查找被盗或受损的员工凭证。

　　3.恢复测试不足

　　恢复测试不足或仅进行部分测试，会因在灾难恢复（DR）准备方面存在漏洞而使您的组织面临重大风险。如果恢复测试频率低或缺乏深度，那么只能为系统在危机中完全恢复提供有限保障。例如，仅进行高级别或屏幕截图验证，可能只能确认备份可启动，但可能无法发现登录后才可能出现的问题，如数据损坏或应用程序配置错误。

　　当勒索软件影响多个系统时，缺乏全面测试尤其危险。服务器之间的相互依赖（如Active Directory支持SQL、Web服务和其他应用程序）意味着，即使正确恢复了一个系统，也无法保证其他所有系统都能按预期运行。

　　恢复测试不足可能导致停机时间延长、恢复失败、关键数据丢失和业务中断，进而影响业务连续性和增加恢复服务所需成本。

　　请遵循以下步骤，确保您的DR计划在关键时刻能够发挥作用：

　　进行详细的应用级恢复测试，以确保所有关键应用及其依赖项在恢复后能够正确运行。应用级测试不仅验证服务器是否可启动，还确认每个应用及其互联系统是否按预期运行。定期的应用级恢复测试有助于发现隐藏问题，如数据损坏、配置错误或依赖项故障，这些问题可能会阻碍应用在恢复后顺利运行。许多组织因恢复测试耗时且耗资巨大而无法定期进行。请寻找支持自动化DR测试的供应商，如Unitrends Recovery Assurance，该服务能够在本地和Unitrends云中自动化恢复测试，且不影响生产工作负载。它不仅能验证服务器恢复，还能测试应用级恢复。

　　4.依赖手动恢复流程

　　手动恢复流程耗时且增加人为错误的风险。您的IT管理员可能会遗漏关键步骤、配置错误系统或以错误顺序恢复文件。在勒索软件攻击中，如果多个系统受到影响，恢复流程中的小错误也可能导致重大挫折，进一步损坏数据或延长停机时间。

　　在勒索软件场景中，每一分钟都至关重要，依赖手动恢复可能会增加数据暴露风险并加剧攻击造成的损害。由于勒索软件能够迅速加密数据，手动恢复系统所需时间往往无法与之匹敌，从而影响恢复。

　　请寻找能够让您自动化和编排用于测试和DR的分层恢复工作流程的BCDR解决方案。在Unitrends BCDR解决方案中，您可以在发生灾难时，从经过认证的恢复点向预定义的恢复目标编排应用和系统的故障转移。