作者：EdwinWeijdema,，Veeam歐洲、中東及非洲地區首席技術官兼首席網絡安全技術專家

　　隨著攻擊者將目標對準個人、企業和政府，勒索軟件已經成為當今最嚴重的網絡安全威脅之一。網絡犯罪分子加密重要數據并索要高額贖金的同時，會造成業務癱瘓，以及嚴重的財務和聲譽損失。在以前，一些攻擊事件還曾一度成為頭條新聞，但不幸的是，如今來自勒索軟件的威脅已經演變成幾乎每家企業都必須面對的現實。據《Veeam2023數據保護趨勢報告》顯示，85%的企業去年至少遭受過一次的勒索軟件攻擊，其中大約一半（48%）的企業甚至遭受過兩到三次攻擊。

　　因此，隨著網絡犯罪分子不斷改進其戰術并找到繞過安全措施的新方法，情況已經演變成何時會被攻擊，而非是否會被攻擊。防火墻和殺毒軟件等傳統預防措施固然重要，但僅靠這些方法還不足以應對高級勒索軟件的攻擊。企業必須優先考慮強有力的恢復策略，以最大限度地減少對運營、業務連續性和聲譽的影響。盡管許多人都已認識到這一情況的重要性，但要想建立起應對勒索軟件攻擊的實質性恢復能力，還需更加注重強化事件響應和災難恢復計劃和流程。

　　支付贖金不等于恢復

　　支付贖金不是一種恢復策略，同樣，簡單地備份數據也不是。據我們的《Veeam2023勒索軟件趨勢報告》顯示，去年大部分（80%）企業為了終止攻擊并恢復數據，最終選擇支付贖金，這一比例與前年相比增長了4%。盡管有41%的企業對勒索軟件采取了“不支付贖金”的政策，但還是出現了這種情況。然而，在那些支付了贖金的企業中，只有59%成功地恢復了數據，而21%支付了贖金的企業仍然遭受了數據的丟失。同樣，雖然您可能認為已經做好了充足的數據備份，可以避免支付贖金，然而超過93%的攻擊者會將備份作為網絡攻擊的目標，而且在其中75%的攻擊事件里成功削弱了受害者的恢復能力。

　　可靠的災難恢復流程由三個階段組成：準備、響應和恢復。準備工作包括備份到位（但并非所有備份都以相同方式創建，這一點稍后詳述），同樣重要的是，需要提前準備好恢復位置。許多企業想到這一點時已為時已晚。您無法將系統還原至初始環境，因為系統已經受損，同時已經成為了一個活躍的犯罪現場。而且您肯定也不希望在勒索軟件攻擊持續不斷的情況下，才開始第一次準備和學習掌握新的云環境。有效的災難響應措施，包括報告和控制事件，預先準備好的操作響應和取證，這些能夠確保您知道什么受到了影響以及環境（尤其是備份）是否受到了破壞。只有擁有有效的災難響應措施，您才能充滿信心地進行恢復。

　　從對的地方開始

　　只有當你所計劃的備份無懈可擊時，為災難恢復做好準備才是有效的。如果您只有一個數據備份，而它在攻擊中被擊中，那么您就又回到了原點。相反，企業需要遵循幾條黃金法則來提高網絡彈性：

　　安全團隊必須確保擁有關鍵任務數據的不可更改副本，防止黑客篡改或加密數據。

　　數據加密至關重要，它可以確保黑客無法訪問、盜取或泄露數據，從而讓他們束手無策。

　　加強戰略最關鍵的一點在于遵循3-2-1-1-0備份規則。面對勒索軟件攻擊等潛在威脅，這一規則對于確保可靠的數據保護和恢復至關重要。它包括保留至少三份數據副本，確保即使兩臺設備受到威脅或發生故障，也有額外的副本可用。因為三臺設備同時發生故障的可能性很低。企業應將這些備份存儲在兩種不同類型的介質上，如一份存儲在內部硬盤上，另一份存儲在云中。一個副本應始終存儲在安全的異地，而另一個副本應保持離線狀態（物理隔離），不與主IT基礎設施連接。最后，"0"階段至關重要，備份中應保持零錯誤。要做到這一點，需要定期進行無差錯測試，最好結合持續監測和恢復流程培訓。

　　擺脫勒索軟件

　　毫無疑問，勒索軟件攻擊在規模、復雜度和影響方面一直在不斷顯著升級演變。現在的問題已不再是企業是否會成為網絡攻擊的目標，而是企業遭受攻擊的頻率。這種轉變意味著擺脫勒索軟件的措施，正在從預防變為攻擊后的恢復。

　　雖然安全和預防措施固然重要，但攻擊后的恢復才是對抗勒索軟件的新前沿領域，確保有一個完善的災難恢復計劃尤為關鍵。通過優先考慮數據備份、投資于現代恢復技術和建立健全的災難恢復計劃，企業可以加強其網絡彈性，提高攻擊后恢復的能力，并擺脫勒索軟件風險。