勒索软件攻击后影响灾难恢复的方式有三种:传统恢复、基于映像的恢复或基于云的恢复。但对于大多数环境来说,实现大规模恢复自动化的唯一方法是在云中进行恢复。
传统灾难恢复
传统的灾难恢复是指在您遭受损失(在本例中是指在收到赎金请求后)之后开始进行传统的恢复。如果要将虚拟机映像恢复到虚拟机监控程序平台(如VMware、Hyper-V或KVM)或hyperscaler(如AWS、Azure或GCP),则它仍然是传统的恢复。传统的做法是等待事件发生后才开始恢复(正如您将在本文后面看到的,有几种方法可以在需要之前恢复数据。)
这是一种被认为是传统的恢复方式,因为不久前每个人都是这样做的。大多数公司没有维护恢复数据中心的预算,因此他们支付了服务费,以便在需要时为他们提供恢复数据中心。由于他们每次实际使用数据中心时都要付费,因此他们从未想过提前恢复数据。他们一直等到灾难发生,然后联系恢复数据中心并开始恢复。这种方法速度慢,而且很难自动化,因为您不拥有将在其上执行恢复的硬件。
请不要使用这种方法。在整个数据中心被灾难感染或破坏后,对其执行传统的灾难恢复需要很长时间,而在勒索软件的情况下,您将不可避免地面临支付勒索的压力。既然支付赎金是不好的,那么花费太长时间的灾难恢复计划就是你应该拒绝的灾难恢复计划。是时候转向更快、更自动化的流程了。
基于图像的恢复
这里的想法是将操作系统和应用程序的恢复与数据本身的恢复分开。如果您能够做到这一点,就可以通过使用映像解决方案大大简化操作系统和应用程序的恢复。为每个操作系统/应用程序对创建一个映像,以便可以快速轻松地重新映像所需的任意多个服务器。这也可以自动化。
从备份中恢复50台服务器可能需要很长时间,但重新映像50台服务器、VM或容器实际上可能要快得多。这是因为某些映像解决方案可以执行精简配置还原,即允许VM在重新映像过程仍在进行时开始引导。这在某些备份系统中也是可能的,但仅适用于数量有限的虚拟机。因此,与传统的恢复相比,成像系统可能会更快地使您的系统恢复联机。
如果您习惯于使用这种系统,基于图像的恢复也可以在可预测的时间内完成。如果每次升级操作系统时都是通过从已升级的映像重新对其进行映像来完成的,那么您将确切知道这种恢复需要多长时间(这与修补现有操作系统相反。)市场上有各种各样的映像解决方案,可同时处理Linux和Windows服务器以及虚拟机。Kubernetes和Docker也采用这种恢复方法。
基于映像的恢复用于防御通过加密关键系统文件来攻击服务器操作系统或应用程序的勒索软件。它对实际加密文档或数据库文件的勒索软件不是很有用,因为这些文件仍然需要以传统方式恢复。因此,这种方法实际上只比传统的灾难恢复稍微好一点,但仍然更好。
基于云的恢复
云中的恢复可以在您需要它之前进行。它首先自动并定期向IaaS供应商执行计算环境的增量恢复。这意味着您的整个环境(包括结构化和非结构化数据的备份)已在需要之前恢复。是的,根据上一次还原和勒索软件攻击之间的时间间隔,您将丢失一些数据,因此您需要预先确定执行预还原过程的频率,以将丢失降至最低。您还需要就可接受的数据丢失量达成一致,这正式称为恢复点目标(RPO)。
从技术上讲,这种类型的恢复不需要云,但使用云使大多数环境在财务上可行。使用物理数据中心进行此操作需要在需要数据中心之前先为其付费。使用云计算,您只需为与预恢复图像相关联的存储付费。
云友好型备份和灾难恢复产品和服务可以主动将您的整个环境恢复到您选择的云上,每天一次、每小时一次或连续一次。显然,更新的频率越高,成本就越高。
预恢复的美妙之处在于,您可以在几分钟内启动整个计算环境,并且有一些产品和服务可以在几秒钟到几小时内满足任何地方的RTO要求。想象一下,你收到勒索软件的消息,只是笑了笑,因为你只需按下一个按钮,你的整个环境就可以在几分钟内从云端运行。这个过程是完全自动化的。
注意:即使您在几分钟内恢复了您的环境,您仍然需要识别勒索软件并将其清除。一些恢复解决方案可以帮助实现此过程的自动化。
考虑到它能够在需要之前预先恢复数据而无需计算费用,以及它执行实际恢复的速度,基于云的恢复值得考虑。