防禦勒索軟體，Quest 提供的備份和復原策略

如今已能合理假設大多數組織已經或將要遭受勒索軟體攻擊，雖然統計數字已經令人有所警覺，但最近的資料顯示，威脅形勢更加嚴峻。

可以理解的是，對許多組織來說，著重的關鍵點已經發生了轉變。雖然組織仍持續尋求解決方案來預防勒索軟體和資安攻擊，但當勒索攻擊已發生時，該採取怎樣的行動也是一項重要的措施，且在勒索軟體攻擊解決之前，組織的營運通常會被迫停擺。

為此，資料庫、系統和安全軟體供應商 Quest Software 提供了一解決方案 – Recovery Manager for Active Directory Disaster Recovery Edition （RMAD DRE）10.2，其目的在保護 Microsoft Active Directory 備份免受惡意軟體的影響，並將勒索軟體攻擊的影響降到最低。

Quest Software 的資訊系統安全專家（CISSP）和顧問 Bryan Patton 表示 “ 不僅要對你的 AD 進行定期和可靠的備份，而且要將它們保存在實體隔離的儲存區中，這一點非常重要。”， “ 這意味著它們在一個離線的環境，與互聯網和內部網路斷開連接，無法進行存取。”

Datastore

防止勒索軟體攻擊的最明顯的第一道防線之一是維護備份，一旦資料被歸檔，就無法透過網路連接存取。過往的傳統方式通常是在磁帶上進行備份，並定期將磁帶運送到一個安全的異地位置。然而，必須每小時將歸檔的資料運往異地（其時間可能根據行業的不同而更短）的作法在當今幾乎是不可行的。

Patton 表示 “ 舊式的解決方案是把備份寫到磁帶上，然後把它們送到像 Iron Mountain 等的異地儲存中心”。“ 然而，這種方法不僅麻煩，而且成本高，還大大降低了復原速度，因為擷取、運輸、安裝和讀取磁帶必然耗費大量的時間。”

此外，備份的資料極有可能含有漏洞，這些漏洞首先被視為攻擊的攻擊點。另外，一旦發生攻擊，企業必須有一個非常有效的資料復原流程，若訂定的流程沒有經過適當的測試，往往會導致慘痛的失敗。

由於大多數組織使用 Microsoft Active Directory（AD）來管理身分，並提供對業務資源（如：資料庫、檔案、應用程式和端點）的存取，在 AD 進行備份並恢復運行之前，任何東西都無法復原。

Patton 表示 “ 如果你的備份已損壞，就無法從備份中復原 ”，“ 現今的勒索軟體攻擊會尋找並破壞任何與網路連接的備份，以最大限度地提高你必須支付贖金來復原的機會。”

使用 RMAD DRE 10.2 可以加快復原的過程，而 Active Directory 繼續作為 “ 整個企業的中樞神經系統 ”。RMAD DRE 10.2 支援復原工作，以便：

Patton 表示 “ 復原過程包括確定哪些應用程式對業務營運最關鍵，以便 DevOps 團隊可以首先專注於復原它們。”， “ 隨後，確定哪些網域控制站（DCs）對這些應用程式至關重要，並首先復原這些網域控制站，儘快啟用登入和關鍵的業務功能。”

Patton 表示 “ 關鍵的網域控制站通常是在資料中心的，而不是在遠端辦公室。”，“ 一旦將它們復原，應用程式團隊、資料庫團隊和其他團隊就可以開始他們的復原過程，而 Active Directory 團隊則繼續將其他的 DC 進行復原。”