Veeam是一家備份和恢復公司，因此人們可能想知道它為什么要發(fā)布網(wǎng)絡安全研究。事實上，勒索軟件恢復已經(jīng)成為備份和恢復的首要用例。

盡管企業(yè)將持續(xù)投資資金在安全工具上以抵擋攻擊，但當他們遭到破壞并且數(shù)據(jù)被鎖定的時候，他們快速恢復數(shù)據(jù)的能力可能卻是有差異的，有些企業(yè)把給業(yè)務造成的中斷影響降至了最低，有些則是將比特幣傾囊而出希望能夠得到最好的結果。Veeam 2023勒索軟件趨勢報告對日益增加的勒索軟件威脅，以及企業(yè)如何應對提供了很好的現(xiàn)實檢驗。

一家獨立研究公司對1200名IT領導者進行了調研，這些IT領導者所在的組織遍布14個國家/地區(qū)，2022年他們至少經(jīng)歷了一次勒索軟件攻擊。重要的是，Veeam是在廣泛企業(yè)基礎上進行的普遍調查，而不是僅僅關注他們自己的客戶，這更真實地表明了勒索軟件的狀況。

受訪者細分如下：安全專業(yè)人員（37%）、首席信息安全官或其他IT高管利益相關者（21%）、IT運營（21%）和備份管理員（21%）。他們解釋了勒索軟件如何影響他們的組織、IT戰(zhàn)略和未來數(shù)據(jù)保護計劃的。

其中最引人注目的報告發(fā)現(xiàn)之一是，有1/7的組織可能有超過80%的數(shù)據(jù)因勒索軟件攻擊而受損，這反映出許多企業(yè)目前實施的保護措施存在的重大缺陷。更糟糕的是，其中有93%的攻擊都是以備份為目標的，在3/4的案例中，攻擊者成功地削弱了組織的恢復能力。平均來看，每次攻擊在檢測到之后至少需要三周才能恢復。

2022年，大多數(shù)組織（80%）支付了贖金以恢復數(shù)據(jù)，比上一年增加了4%。考慮到有41%的組織制定了反對此類付款的政策，這一數(shù)據(jù)著實令人驚訝。然而，支付贖金并不總能保證數(shù)據(jù)恢復，因為有21%的組織未能重新獲得對其數(shù)據(jù)的訪問權限。

這個數(shù)據(jù)點可能會讓人震驚，但這屢見不鮮。一旦威脅行為者有了錢，他們就沒有動力幫助企業(yè)。只有16%的組織通過從備份中恢復數(shù)據(jù)來避免支付贖金。

該報告強調了數(shù)據(jù)備份作為抵御勒索軟件攻擊策略的重要性，尤其是因為網(wǎng)絡犯罪分子通常是以備份存儲庫為目標的。幾乎所有（93%）的攻擊都試圖破壞備份，導致75%的組織丟失部分數(shù)據(jù)，39%的組織丟失所有備份數(shù)據(jù)。

鑒于這一風險，企業(yè)必須確保其備份是“不可變的”或者無法更改或刪除的。好消息是，82%的組織已經(jīng)在使用不可變云，而64%的組織使用了不可變磁盤。只有2%的受訪者還沒有在他們的備份解決方案中使用任何形式的不變性。Veeam持樂觀態(tài)度，今年將會有越來越多的組織在整個數(shù)據(jù)保護生命周期中實現(xiàn)不可變數(shù)據(jù)備份。

另一個有希望的統(tǒng)計數(shù)據(jù)表明，87%的組織都有風險管理計劃，這種計劃旨在防止網(wǎng)絡攻擊。但這些組織中，只有35%的受訪者認為他們的計劃運作良好，而超過一半（52%）的受訪者正在尋求改進。這就是為什么組織需要有一個“劇本”或者一組步驟，在發(fā)生網(wǎng)絡攻擊的時候可以按此采取措施。

組織至少應該在他們的“劇本”中包含這兩個步驟。首先，他們應該在安全的地方保存干凈的額外數(shù)據(jù)副本。備份副本應該受到保護免受攻擊，并且不包含任何有害或惡意代碼。其次，備份副本中的數(shù)據(jù)應該用于在主要系統(tǒng)受到攻擊時使組織恢復正常運行。此外，由于備份團隊和網(wǎng)絡團隊通常是分離的，因此整個組織應該采用一種統(tǒng)一的方法來應對勒索軟件。

報告中發(fā)現(xiàn)的另一個令人擔憂的趨勢是，網(wǎng)絡保險的成本增加和覆蓋范圍的縮小。有1/5的IT領導者稱，勒索軟件現(xiàn)在已經(jīng)被排除在他們的公司政策之外，而大多數(shù)人經(jīng)歷了保費和免賠額的增加，以及保險福利的減少。絕大多數(shù)（96%）的網(wǎng)絡攻擊受害者可以在2022年使用保險支付贖金，其中有一半的人使用專門針對網(wǎng)絡事件設計的保險。

然而，有28%的受害者使用的保險并非專門針對網(wǎng)絡事件，18%的人即使有保險也根本沒有使用，那是因為為網(wǎng)絡攻擊投保變得越來越困難和昂貴，就像由于暴風雨越來越頻繁而獲得洪水保險越來越難一樣。事實上，有21%的組織表示，他們的保單不再涵蓋勒索軟件攻擊。

該怎么辦？

該報告強烈建議企業(yè)對勒索軟件采取更積極主動的方法。鑒于網(wǎng)絡攻擊的可能性很高，每次攻擊都可能導致重大的數(shù)據(jù)丟失，組織應該高度重視防止網(wǎng)絡攻擊和準備有效的恢復策略。

Veeam建議企業(yè)維護干凈的備份副本并定期驗證其可恢復性，作為他們風險管理策略的一部分。其他建議還包括，使用“分階段恢復”來逐漸恢復數(shù)據(jù)，并防止系統(tǒng)在恢復過程中再次感染。這一點很重要，因為如果恢復受感染的數(shù)據(jù)，可能會發(fā)生第二次勒索事件。最后，實施混合IT架構可以通過把服務器恢復到不同平臺來幫助組織制定整體災難恢復策略。

應該和安全團隊一起制定有關于備份和恢復的資金和政策。從歷史上看，備份和恢復是資金匱乏的領域之一，因為在出現(xiàn)重大問題之前沒人關心備份和恢復。另一方面，安全是組織關注的首要領域，因為包括業(yè)務領導者在內的每個人都擔心發(fā)生數(shù)據(jù)泄露。

投入網(wǎng)絡保護的所有資金都是為了防止數(shù)據(jù)泄露。零信任、安全信息和事件管理、安全編排、自動化和響應、擴展檢測和響應、下一代防火墻和其他工具以不同方式保護企業(yè)。

這沒有考慮到最壞的情況，即發(fā)生泄露、數(shù)據(jù)被加密并要求支付贖金。到時，備份和恢復將面臨考驗。如果資金充足，經(jīng)過測試和重新測試，數(shù)據(jù)可以快速恢復，贖金可以忽略。

如果不是，好吧，Veeam報告中的數(shù)據(jù)突出了這些情況的發(fā)生，CISO和CIO們必須共同努力，以確保數(shù)據(jù)保護、備份和恢復的步調是一致的。