劫持软件攻击的影响与应对策略

关键要点

• 根据Veeam发布的报告，劫持软件受害者平均丢失43%的数据。
• 尽管大多数组织有应急响应计划，但仍未能有效应对攻击。
• 建议设置替代备份站点，并确保备份存储库不可更改且物理隔离。
• 多数受访者（81%）支付了赎金，但仅有三分之二成功恢复数据。

近期发布的一份报告显示，劫持软件攻击的受害者平均永久性丢失43%的数据。 基于对1200名首席信息安全官（CISO）、安全专业人士和备份管理员的调查。这些被调查者在2023年经历过劫持软件攻击，报告显示尽管绝大多数组织都有事件响应计划和政策，但依然未做好攻击后的恢复准备。

报告指出，96%的攻击目标是备份存储库，其中76%的攻击成功渗透，因此组织应考虑设置备用备份站点，确保备份存储库不可更改，并与网络安全、IT和备份管理团队更好地协调配合。报告警告：“攻击会比你想象的更严重，成本也会超过你的预期。”因此，组织应制定网络预备计划，这应当包括扩展不可更改存储库的使用、隔离和认证备份系统，并验证备份的可恢复性，以确保已建立的服务水平协议（SLA）。

大部分劫持软件受害者支付赎金，但仍然会丢失数据

在Veeam2024年劫持软件趋势调查的受访者中，81%表示其组织支付了赎金，但其中只有三分之二的受访者成功恢复了数据。相对而言，15%的受访者未支付赎金，但仍能够恢复数据，受益于可靠的备份。

根据Coveware的数据，2023年第四季度，劫持软件的平均赎金约为568,000美元，但根据Veeam的报告，赎金仅占攻击总成本的约32%。

调查结果显示，网络保险并非总能有效地恢复成本，只有65%的受访者利用他们的保险来涵盖费用，尽管86%的人表示可以申请；还有21%的受访者在未向他们的网络保险提供者申报的情况下支付了赎金。

恢复劫持软件攻击的最佳备份实践

根据关于劫持软件趋势报告的调查结果，Veeam提出了三项关键建议。第一项建议是加强安全团队、备份团队和高层领导之间的协同。

超过60%的受访者表示IT备份团队和网络安全团队之间的协同需要显著改进或彻底改革，最常见的问题是“备份工具与网络安全工具之间缺乏集成”。备份管理员特别表示对团队之间的协同满意度较低。

第二项建议强调了更好的准备工作，特别关注备份基础设施的可靠性，建议使用多种备份来源，包括磁盘、磁带和云服务。尽管97%的受访者表示他们的组织有“劫持软件应对手册”，但只有33%的受访者表示他们的计划包含备用备份的安排，仅有20%的受访者有隔离计划。

最后，组织应确保其备份数据是干净的，且能够可靠恢复。光有备份并不能保证数据可以有效恢复，数据显示平均仅有57%的受攻击数据得以恢复。组织应定期测试备份数据的可恢复性，并使用不可更改的存储库确保数据的“洁净”。

此外，劫持软件受害者不应在攻击后直接将数据恢复到生产环境。调查发现，尽管存在再感染的风险，63%的组织在恢复之前并没有对备份进行隔离或沙盒处理。虽然恢复操作的压力很大，但组织应当花时间对备份环境进行适当扫描和测试，以确保全面恢复。