勒索软件已演变为一种具有欺骗性、高度协调且危险复杂的威胁，足以使任何规模的组织陷入瘫痪。如今，网络犯罪分子甚至利用合法的 IT 工具渗透网络并发动勒索软件攻击。比如，微软最近就披露了威胁行为者如何滥用其 Quick Assist 远程协助工具部署破坏性的 Black Basta 勒索软件变种。

更糟糕的是像勒索软件即服务（RaaS）这样的创新降低了进入门槛，使得勒索软件攻击比以往任何时候都更为频繁和广泛。据网络安全部门预测，到 2031 年，每 2 秒就将发生一次新的勒索软件攻击，预计年损失将达到天文数字般的 2750 亿美元。

没有哪个组织能够免受勒索软件的侵害，而构建强大的恢复策略，与一开始就试图阻止所有攻击同等重要，甚至更为重要。

坚实的 BCDR 策略可以成为勒索软件突破防御时的最后一道也是最关键的防线，使您能够迅速从攻击中恢复，恢复运营并避免支付赎金。值得注意的是，与长时间停机或数据丢失可能造成的毁灭性后果相比，投资于 BCDR 的成本微不足道。

在本文中，我们将详细解读为有效从勒索软件攻击中恢复，您应具备的五大 BCDR 能力。这些策略关系到在遭受攻击后是能够迅速恢复还是导致业务失败。让我们共同探索每个组织必须立即采取的行动。

一、遵循 3-2-1（以及更多！）备份规则

3-2-1 备份规则长期被视为黄金标准：保留三份数据副本，将其存储在两种不同的介质上，并将一份副本存放在异地。但在勒索软件时代，这已不再足够。

专家现在推荐 3-2-1-1-0 策略。额外的 1 代表一个不可变副本——一个无法被更改或删除的备份。0 则表示对恢复能力的零怀疑，具备经过验证和测试的恢复点。

为何要升级？因为勒索软件不再仅仅针对生产系统，它还会积极寻找并加密备份。这就是隔离、不可变性和验证至关重要的原因。基于云安全隔离的备份存储提供了必要的保护层，使备份远离威胁，即使这些威胁利用了被盗的管理员凭据。

拥有此类不可变备份确保无论发生什么，恢复点都保持未被篡改。当所有其他防护措施都被攻破时，它们就是您的安全网。此外，这种级别的数据保护有助于满足日益严格的网络保险标准和合规要求。

额外提示：寻找提供加固型 Linux 架构的解决方案，将备份伪装并隔离在常见的 Windows 攻击界面之外。

二、持续自动化并监控备份

自动化功能强大，但如果没有主动监控，它可能成为最大的盲点。虽然安排备份和自动化验证可以节省时间，但同样重要的是要确保这些备份实际上正在执行，并且是可用的。

使用内置工具或自定义脚本来监控备份作业，触发失败警报并验证恢复点的完整性。很简单：要么持续监控，要么冒着过晚发现备份从未提供支持的风险。定期测试和验证恢复点是信任您的恢复计划的唯一途径。

额外提示：选择与专业服务自动化（PSA）工单系统集成的解决方案，以便在出现任何备份问题时自动触发警报和工单。

三、保护备份基础设施免受勒索软件和内部威胁的侵害

您的备份基础设施必须被隔离、强化并严格控制，以防止未经授权的访问或篡改。您必须做到以下几点：

• 锁定备份网络环境。

• 将备份服务器托管在安全的局域网（LAN）段中，不允许入站互联网访问。

• 仅允许备份服务器向获批的供应商网络发出出站通信。使用严格的防火墙规则阻止所有未获批的出站流量。

• 仅允许受保护的系统与备份服务器之间进行通信。

• 使用网络交换机上的防火墙和基于端口的访问控制列表（ACL）来实施细粒度的访问控制。

• 应用代理级加密，使数据在静态时受到保护，使用只有您控制的安全密码短语生成的密钥。

• 强制执行严格的访问控制和认证。

• 实施基于角色的访问控制（RBAC），为一级技术支持人员分配最小权限角色。

• 确保对备份管理控制台的所有访问都使用多因素认证（MFA）。

• 持续监控审核日志，查找权限提升或未经授权的角色更改。

• 确保审核日志不可变。

• 定期审查以下内容：

• 与安全相关的事件，如登录失败、权限提升、备份删除和设备移除。

• 管理操作，如备份计划更改、保留设置更改、新用户创建和用户角色更改。

• 备份及备份副本（复制）的成功 / 失败率和备份验证的成功 / 失败率。

保持警惕，关注重大风险。配置自动警报，以应对策略违规和高严重性安全事件，例如未经授权更改备份保留策略。定期测试恢复并将其纳入您的灾难恢复计划（DRP）

如果无法快速、完整地从备份中恢复，备份就毫无意义，因此定期测试至关重要。恢复演练必须被安排并纳入您的灾难恢复计划（DRP）。目标是建立肌肉记忆，揭示弱点，并确保您的恢复计划在压力下确实可行。

首先，为每个系统定义恢复时间目标（RTO）和恢复点目标（RPO）。这些决定了您可恢复数据的速度和时间点。针对这些目标进行测试有助于确保您的策略符合业务期望。

重要的是，不要将测试限制在一种恢复类型上。模拟文件级恢复、完整的裸机恢复和大规模的云故障转移。每种场景都能揭示不同的漏洞，如时间延迟、兼容性问题或基础设施缺口。

此外，恢复不仅仅是一项技术任务。让跨部门的利益相关者参与进来，以测试沟通协议、角色职责和面向客户的影响。谁与客户沟通？谁触发内部指挥链？当每一秒都至关重要时，每个人都应清楚自己的角色。

四、通过备份级可见性及早检测威胁

对于勒索软件，检测速度至关重要。尽管终端和网络工具经常受到关注，但备份层也是一种强大但常被忽视的防线。监控备份数据中的异常可以揭示勒索软件活动的早期迹象，为您在广泛损害发生前提供关键的提前预警。

备份级可见性使您能够检测加密、大规模删除或异常文件修改等明显迹象。例如，如果一个进程开始用随机数据覆盖文件内容，同时保持所有修改时间戳不变，那就是一个重大危险信号。没有合法程序会这样运作。通过智能的备份层检测，您可以捕捉到这些行为并立即收到警报。

这种能力并不是取代您的终端检测与响应（EDR）或防病毒（AV）解决方案；而是为它们提供增强。它加快了初步评估，帮助更快地隔离受感染的系统，并减少攻击的整体影响范围。

为了获得最大影响，选择提供实时异常检测并支持与您的安全信息与事件管理（SIEM）或集中日志记录系统集成的备份解决方案。您越早看到威胁，就能越快采取行动 —— 这可能是轻微中断和重大灾难之间的区别。

额外提示：培训终端用户识别和报告可疑活动

如果 BCDR 是最后一道防线，那么终端用户就是第一道防线。

如今，网络犯罪分子越来越多地将目标对准终端用户。根据微软 2024 年数字防御报告，威胁行为者正在通过各种方法尝试获取用户凭据，如网络钓鱼、恶意软件和暴力破解 / 密码喷洒攻击。在过去一年中，仅在 Entra ID 上就每秒阻止约 7,000 次密码攻击。

事实上，勒索软件攻击通常以一次点击开始，通常是通过网络钓鱼电子邮件或被泄露的凭据。定期进行安全培训，特别是模拟网络钓鱼练习，有助于提高对危险信号和风险行为的认识。为您的团队配备识别勒索软件警告信号、识别不安全数据操作并做出适当响应的知识。

鼓励立即报告任何看起来不对劲的事情。营造一种赋权而非指责的文化氛围。

当人们感到可以安全发声时，他们更有可能采取行动。您甚至可以更进一步，启动内部计划，奖励警惕性，例如开展网络安全英雄计划，以表彰和庆祝早期报告潜在威胁的行为。

综上所述，勒索软件并非需要恐惧，而是需要规划。我们讨论的五大 BCDR 能力将使您能够抵御最复杂的勒索软件威胁，并确保您的组织能够迅速、完整、自信地恢复。

原文始发于微信公众号（独角鲸网络安全实验室）：有效防御勒索软件的5个BCDR必备要素