应对勒索攻击如何做好数据备份？| FreeBuf甲方群话题讨论

近年来，针对于企业的勒索攻击正变得越发频繁，过去常常被边缘甚至忽略的数据备份，其重要性开始显现，比如近期发生的针对用友等用户的勒索攻击，如果企业做好了数据备份，就能恢复被勒索加密的文件，最大限度地减少企业损失。但其实数据备份是一个关键的技术领域，要做好全数据、全维度的备份及迅速恢复也并非易事，不同企业对数据备份采取的措施也参差不齐，这其中有哪些特殊性？该如何为应对勒索攻击做好数据备份？本期我们将以此为话题展开讨论。

 

虽然近些年来数据备份已经被反复强调，但由勒索攻击造成的数据损失情况还是比较严重，这其中有哪些原因？是攻击手段更加防不胜防还是备份工作依旧不到位？

A1：

数据备份很多公司已经做了，但是有可能存在备份被感染情况，更多时候应当准备多份备份进行还原，还有就是数据窃密的问题，数据应当禁止明文存储。

A2：

归根结底还是备份手段不到位吧，就算不攻击，数据也可能会丢失。

A3：

不重视，管理不到位，或者没有成本做异机异地备份。

A4：

上周刚看过的图，备份是最后防线。

A5：

从系统架构上就要做好考虑，主、备不能有共用的系统、数据，不然就是单点故障。

A6：

先说说开头那段话里提到的特殊性。特殊性取决于两个层面：数据的重要性和成本。数据的重要性指的是数据在企业运营过程中的价值，是否值得企业为其投入成本；成本指的是备份的数据量所占用的存储资源，这部分资源在通常情况下都是静默成本，不为企业提供显性收益。

勒索攻击只是破坏数据的一种方式，而数据被破坏的方式有很多，而数据备份是为了保障数据的有效性、及时性和可用性。因此，数据备份应当围绕数据被保护的目的展开，无需为某一特定损坏场景专门制定数据备份策略。当然，制定数据备份方案的时候需要考虑被勒索攻击后的数据有效性和可用性。

A7：

首先，数据备份能够缓解数据损失的程度，降低数据损失的风险，但是无法完全避免数据损失。

其次，数据备份的方式有很多类别和方式：全量备份、增量备份、差量备份；在线备份、离线备份；实时备份、定期备份；磁带库、光盘、存储阵列、本机备份；数据库备份、应用备份、代码备份、配置变更记录等等。至于存在数据备份的情况下仍然导致数据损失的原因，有备份方案不足、备份数据失效、备份周期过长、备份数据被污染或者有效的备份数据与当前应用环境不匹配等等。

攻击手段和备份工作相辅相成吧，本身就是攻防博弈。举个案例：很久很久以前有个业务系统因意外发生数据丢失，最新的有效数据是一年前的，但是，最终导致该系统被废止，原因就是该系统对数据实时行要求很高，即使使用一年前的数据进行恢复，重建业务流程的成本比从零实施和推广该系统成本更高。

Q：大家平时备份数据一般采取什么形式？周期一般是多久？是手动备份还是自动备份？一般保留几份副本？

A1：

我们备份每天增量，一周全备，自动备份；以及异地自动备份。

A2：

我这边是实时手动备份，保留三份副本：本地机房、同城异地、云。

A3：

快照一般至少一周两备，至少一个月，文档的版本管理是尽量一直保存，都是自动。

A4：

每日增量每周全量，根据业务规模和重要性保留一个月到六个月不等最近周期全部数据，本地存储+异地存储两套。

A5:

我们的数据都上天了，基本没有异地备份一说，AWS S3 SLA。

A6:

看看你们的桶有没有做认证。

A7:

有的，独立账号，权限分离，加密存储，还做了基于IP的访问控制。

A8：

我这边重要的系统每小时一次备份，系统挂了可以通过备份30分钟内重新挂起来。

A9：

我前司做到了毫秒级异地备份，后来，运营管理的费用太高，给毙了。

A10：

一般都是设置好规则策略就可以了，不用太高的运营费用的，就是买的时候比较贵。

A11：

如果放心别人的公有云，其实公有云还是很安全的。

A12：

对，备份策略都是自动化的，就是要经常去看看备份有没有异常中断。

A13：

定期查看备份完整性，还好，不用太麻烦，每季度恢复演练，现在都是自动化操作，还是很方便的，直接买一体机。

A14：

离线备份必不可少，还便宜，核心的数据库，代码库必须要离线备份，移动硬盘记得加密，备份恢复一体机确实方便。

A15：

不过一体机还是太贵了，般企业就硬盘离线备份，或者脚本自动备份，一个NAS或者主机+几块硬盘做Raid，几千块钱。

A16：

说之前云上也发生好多不可恢复的，不知现在是个啥状态。

A17：

云上的难免，你注意看他们提供的SLA条款，赔偿非常少。

Q：为了能尽快从勒索攻击中尽快恢复，减少对业务的影响，在数据备份当中需要注意哪些方面以便加快恢复速度？

A1:

定期进行数据验证完整性，并举行数据恢复演练。

A2：

1、从系统架构上就要做好考虑，主、备不能有共用的系统、数据，不然就是单点故障；

2、IT治理等基础安全工作很重要，很多都是基础工作没做好，中了勒索再还债；

3、演练要真做，不能走过场，设计场景要多方参与。

A3：

很多公司都没怎么做演练，基本就是说说，这个真的要落实下来，出了问题，手忙脚乱的。

A4：

先保证备份有效性吧。别没备份成功，也别备份被干掉了（备份得只读，最好是升一个纬度的备份）。

A5：

权限还是得控制好，好多直接权限全开，一旦被攻击，备份服务器就跟着遭。

A6：

所以说得升一个纬度，云上的备份是没法篡改的。

A7：

云上的备份，也可以传到OSS上，同时也可以传到本地，做双重备份。

A8：

OSS是可能有权限篡改的，我直接用快照服务了。

A9：

快照很好用，已经应对了研发n次删库了，顶多丢一天数据。

A10:

验证备份数据的有效性和时间，确认备份数据与业务系统是否匹配，提前整理数据与业务系统的流转交互，制订好恢复流程，避免出现数据恢复和业务使用交叉，导致数据可用性变差。

针对本次话题讨论的重要一点：确认勒索攻击已经被消除，避免在数据恢复过程中再次被攻击和污染。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

号外：攻防复盘星空夜话视频专栏已于8月25日上线FreeBuf视频号，赶紧扫码观看！

关于攻防复盘星空夜话

攻防复盘星空夜话作为《FreeBuf网安智库说》第四季的主题，由网络安全行业门户FreeBuf主办，将共邀8位行业资深嘉宾、共8期节目，围绕红蓝方观点、攻防报告分享、圆桌讨论等主题，全方位切磋各类攻防“技法”，系统盘点攻防期间的得与失，为今年的攻防演练划上一个完美句号。

精彩推荐

原文始发于微信公众号（FreeBuf）：应对勒索攻击如何做好数据备份？| FreeBuf甲方群话题讨论