作者：Veeam中國區總裁張弘

　　隨著企業業務變得更加分散，員工隊伍永久演變為更加混合的工作模式，當前的趨勢表明，攻擊和漏洞將繼續以更高的頻率出現。

　　根據《Veeam®2022數據保護趨勢報告》顯示，76%的中國組織遭受過勒索病毒攻擊，網絡攻擊連續第二年成為造成中斷的最大原因。在全球接受調查的3,393家組織中，有24%的組織要么避免了攻擊，或是不知道遭到了攻擊。由于大多數組織都是此類攻擊的受害者，很明顯，即使過去發生過此類攻擊事件，企業仍然很脆弱，并對惡意威脅沒有充分的抵御能力。

　　Veeam最近的勒索軟件研究強調，在2021年，包括亞太地區200家領先企業在內的受訪組織承認，他們只能恢復69%的數據。進一步的分析顯示，幾乎一半的受影響組織通過支付贖金來恢復他們數據。不過，有四分之一（24%）的組織，雖然支付了贖金，卻未能成功恢復數據。

　　贖金以外的解決方案

　　然而，一個積極的趨勢是，有19%沒有支付贖金的企業能夠恢復他們的數據。這更加證明了，支付贖金并不能保證數據恢復。組織應該將更多的重點放在尋找更多方法來保護和恢復關鍵業務數據。

　　備份，如今成為了所有勒索軟件恢復戰略和計劃中越來越關鍵的組成部分。數據顯示，亞太地區97%的勒索軟件攻擊也試圖感染備份庫，并且其中有73%的攻擊是成功的，這證明了，即使做好了備份也不能完全保護和恢復數據。

　　眾所周知，現代惡意軟件會攻擊備份層，因此企業必須有一個流程來確保彈性。在Veeam，我們提倡3-2-1-1-0規則，即在至少兩種不同類型的媒介上保存至少三份重要數據的副本，其中至少有一份副本存放在異地。隨著勒索軟件威脅的發展，我們還建議至少有一份數據副本應該是隔離的、離線存儲的，或不可更改的。這對于有效防御勒索軟件必不可少。我們還在規則中添加了一個零，即零備份錯誤，也就是說會進行自動備份驗證，從而確保數據是有效的且可用于恢復。被錯誤捕獲的數據是無法恢復的，所以是否遵循3-2-1-1-0原則可能就是數據丟失和恢復之間的區別。

　　把數據放到攻擊者無法觸及的地方

　　不可變性是這里的關鍵。雖然仍有5%的組織在他們的數據保護框架內只有不到一個的不可變層，但大多數的組織使用多個不可變層來增加保護。這確保了他們的備份數據在整個生命周期內是不可變的：

　　•74%使用提供不可變性的云存儲庫

　　•67%使用具有不變性或鎖定功能的本地磁盤存儲庫

　　•22%使用物理隔離磁帶

　　在確保組織的存儲庫不太可能被破壞后，下一步是確保只有干凈的數據可以恢復到生產環境。在這些受訪組織中，有近一半的組織通過將數據恢復到沙盒或隔離區來測試其安全性。這種隔離和“分階段恢復”的做法只出現在全球46%的組織中，在亞太地區的組織中也只占41%，這是IT決策者應該重視的差距。現代勒索軟件保護需要一個綜合的安全架構，能夠從端點延伸到網絡和云端，以檢測、關聯和補救攻擊。很多人寄希望于支付贖金來解決問題，事實通常令人失望，無休止的贖金要求讓用戶得不償失。從“備份中恢復”是用戶的另外一個選項，而真正可行的方法是從“安全備份中恢復”。僅僅“從備份中恢復”過度簡化了“恢復”這一過程，導致許多組織對其備份和恢復能力做出不當的假設，這往往會導致數據丟失。為避免出現最壞的情況，Veeam認為，制定一個計劃，其中包括經過驗證、測試和可以快速恢復的安全備份，是抵御勒索軟件等現代攻擊的關鍵。