勒索软件攻击持续增长，企业视备份为最后一道防线

随着企业业务变得更加分散，员工队伍永久演变为更加混合的工作模式，当前的趋势表明，攻击和漏洞将继续以更高的频率出现。

根据《Veeam® 2022数据保护趋势报告》显示，76%的中国组织遭受过勒索病毒攻击，网络攻击连续第二年成为造成中断的最大原因。在全球接受调查的3,393家组织中，有24%的组织要么避免了攻击，或是不知道遭到了攻击。由于大多数组织都是此类攻击的受害者，很明显，即使过去发生过此类攻击事件，企业仍然很脆弱，并对恶意威胁没有充分的抵御能力。

Veeam最近的勒索软件研究强调，在2021 年，包括亚太地区 200 家领先企业在内的受访组织承认，他们只能恢复 69% 的数据。进一步的分析显示，几乎一半的受影响组织通过支付赎金来恢复他们数据。不过，有四分之一（24%）的组织，虽然支付了赎金，却未能成功恢复数据。

赎金以外的解决方案

然而，一个积极的趋势是，有19%没有支付赎金的企业能够恢复他们的数据。这更加证明了，支付赎金并不能保证数据恢复。组织应该将更多的重点放在寻找更多方法来保护和恢复关键业务数据。

备份，如今成为了所有勒索软件恢复战略和计划中越来越关键的组成部分。数据显示，亚太地区97%的勒索软件攻击也试图感染备份库，并且其中有73%的攻击是成功的，这证明了，即使做好了备份也不能完全保护和恢复数据。

众所周知，现代恶意软件会攻击备份层，因此企业必须有一个流程来确保弹性。在Veeam，我们提倡3-2-1-1-0规则，即在至少两种不同类型的媒介上保存至少三份重要数据的副本，其中至少有一份副本存放在异地。随着勒索软件威胁的发展，我们还建议至少有一份数据副本应该是隔离的、离线存储的，或不可更改的。这对于有效防御勒索软件必不可少。我们还在规则中添加了一个零，即零备份错误，也就是说会进行自动备份验证，从而确保数据是有效的且可用于恢复。被错误捕获的数据是无法恢复的，所以是否遵循3-2-1-1-0原则可能就是数据丢失和恢复之间的区别。

把数据放到攻击者无法触及的地方

不可变性是这里的关键。虽然仍有5%的组织在他们的数据保护框架内只有不到一个的不可变层，但大多数的组织使用多个不可变层来增加保护。这确保了他们的备份数据在整个生命周期内是不可变的：

• 74%使用提供不可变性的云存储库

• 67%使用具有不变性或锁定功能的本地磁盘存储库

• 22%使用物理隔离磁带

在确保组织的存储库不太可能被破坏后，下一步是确保只有干净的数据可以恢复到生产环境。在这些受访组织中，有近一半的组织通过将数据恢复到沙盒或隔离区来测试其安全性。这种隔离和“分阶段恢复”的做法只出现在全球46%的组织中，在亚太地区的组织中也只占41%，这是IT决策者应该重视的差距。现代勒索软件保护需要一个综合的安全架构，能够从端点延伸到网络和云端，以检测、关联和补救攻击。很多人寄希望于支付赎金来解决问题，事实通常令人失望，无休止的赎金要求让用户得不偿失。

从“备份中恢复”是用户的另外一个选项，而真正可行的方法是从“安全备份中恢复”。仅仅 “从备份中恢复” 过度简化了“恢复”这一过程，导致许多组织对其备份和恢复能力做出不当的假设，这往往会导致数据丢失。为避免出现最坏的情况，Veeam 认为，制定一个计划，其中包括经过验证、测试和可以快速恢复的安全备份，是抵御勒索软件等现代攻击的关键。

作者：Veeam中国区总裁张弘