近期勒索软件爆发威胁的风头稍有减弱，但IT管理者们还要继续加强防御。备份和灾难恢复是重中之重。

2017年，WannaCry和NotPetya勒索软件爆发占据了整个网络犯罪的头条。来自防病毒供应商Malwarebytes的新报告《网络犯罪攻击与技术——2017年恶意软件情况分析》指出，企业对勒索软件的监测比去年增长了90%。该报告称，到2017年底，随着互联网犯罪把目标转移到其它形式的恶意软件，“针对新勒索软件家族的研发已经有点过时了”。例如：银行家木马（又叫“网银大盗”）就是一种新形式恶意软件，专门盗取金融信息。

也就是说，组织一直在寻求针对勒索软件爆发的保护措施。前端措施一般包括杀毒软件、防火墙和内容扫描程序（拦截看起来可疑的电子邮件附件）。

相比之下，IT部门还在关注加强后端保护，帮助从勒索软件攻击中恢复，通过加密措施保护数据。这个思路主要是强调灾难恢复策略，帮助企业从备份副本中恢复数据。不过即便是这种思路仍然有风险：IT管理者必须确保备份确实可用，并考虑突发情况下恢复数据需要多长时间。

另一个安全级别

美国加州米尔皮塔斯市（Milpitas）为应对勒索软件爆发已经实施了许多安全措施。市政府在前端执行电子邮件过滤，垃圾邮件过滤和邮件附件扫描；在后端使用了备份助手软件。该软件是一款专门针对中小型企业的Windows服务器备份恢复软件。另外，该城市还部署了远程灾难恢复站点，增加了额外的保护防线。

本月初，米尔皮塔斯市启用了另一项备份恢复防御措施。该市信息服务中心主任Mike Luu表示，本市启用了供应商最近增加的模块CryptoSafeGuard，这是备份助手软件的一项新功能特性。

据供应商介绍，CryptoSafeGuard可以防止受感染的文件被备份，也可以防止已备份数据被恶意软件加密（一些勒索软件攻击会对组织内的生产数据和备份数据做加密处理，使组织失去对数据的控制）。

Luu提到CryptoSafeGuard时说：“这是为预防勒索软件尝试的另一种策略。”

他补充说，在备份助手软件用户界面上只需要简单操作打勾选中就可以切换启用CryptoSafeGuard。该功能不需要额外购买。

备份助手软件的数字销售和营销经理Troy Vertigan表示，备份助手软件提供的CryptoSafeGuard功能包含在该供应商BackupCare提供的订购包内。该供应商30%的客户只要运行最新版本的备份助手软件就可以激活CryptoSafeGuard功能。（该功能在2017年9月份发布，之后的版本都支持。）

备份也会出问题

勒索软件攻击时，备份计划可能会出现异常（不执行或不能恢复）。TenCate公司是荷兰一家复合材料和防护品制造商，该公司高级系统工程师Jayme Williams回忆说，他们在几年前CryptoLocker勒索软件爆发的时候就被攻击了。恶意软件通过制造设备进入该公司的美国分部，然后进入公司文件服务器。最后，从车间到前台办公室的数据都被恶意软件加密了。

TenCate公司尝试从线性磁带开放协议（LTO）标准磁带备份恢复数据时发现，该公司的备份软件不能对LTO磁带进行编目——这是恢复文件的必须步骤。Williams说，一些数据已经被复制到了磁盘介质之外，但备份层不可读了。他联系了数据恢复服务，他们可以从磁盘提取数据。

该公司基于磁盘的备份频率并不高，所以部分数据不是最新的。不过，恢复的数据提供了一定的框架可以帮助重建丢失的数据。再次恢复可用的数据用了半个月时间。虽然终于恢复了，但这并不是理想的数据恢复策略，因为恢复数据的周期太长了。

Williams认为，CryptoLocker事件给他们公司的一个关键教训就是，TenCate公司的安全策略对勒索软件的感染和嵌入缺少防护。在此之后，该公司管理者们设计了更严格的安全策略。

另一个教训是：备份并不等同于灾难恢复。Williams的原话是“备份并不代表具备快速恢复的能力。”

现实问题把TenCate公司推到了思考安全新策略的路上。该公司最开始使用VMware体系，考虑使用虚拟化供应商的站点恢复管理软件。但是该公司IT服务合作伙伴推荐选择Zerto公司基于云的备份和灾难恢复服务。该方案会把组织在线数据存储到云端。

该公司选择Zerto公司的驱动因素很简单。Zerto帮助TenCate公司安排了大约半小时的一次POC（验证性测试），展示了复制和故障恢复的过程。公司同意Williams购买Zerto的复制服务的时候，TenCate公司可以直接把POC的环境投入生产环境，不需要重新安装了。

TenCate遭遇第二批勒索软件爆发攻击时，该公司已更新的安全和灾难恢复系统有效地发挥了抵御作用。该公司的虚拟机环境受到Zerto公司虚拟机保护组和日志技术的保护，Williams称之为“虚拟机的Tivo”（Tivo是一种数字录像设备）。Williams表示：Zerto的日志技术可以让管理员把虚拟机回滚到勒索病毒攻击之前的某个时间点，整个操作也就是几秒钟的事。

Frost & Sullivan 公司Stratecast研究部副总裁Michael Suby认为，设计勒索软件防护策略时，数据恢复耗用时间是个关键考虑因素。

Michael Suby表示，如果数据恢复过程太长，组织可能会接受勒索软件的要求。如果漫长的恢复过程会导致更大的收入损失或者危及生命，受到攻击的组织可能会妥协并给勒索方支付费用。例如，勒索软件攻击目标如果是医院就更不能接受等待。

Suby解释说：“如果恢复备份文件的时间太长，受攻击公司仍然可能被利用。我们不只要做好备份文件，我们还要让备份更容易恢复和更可用。”