備份和還原計劃以防範勒索軟體
勒索軟體攻擊會蓄意加密或清除資料與系統,以強迫您的組織向攻擊者付錢。 這些攻擊的目標是您的資料、備份,以及在不向攻擊者付錢的狀況下進行復原所需的重要文件 (以增加您組織付錢的機會)。
本文會說明在攻擊發生之前應採取什麼動作以保護重要的商務系統,以及在攻擊發生時應採取什麼動作以快速恢復商務營運。
注意
做好抵禦勒索軟體的準備,也能提升面對自然災害和快速攻擊 (例如 WannaCry 與 (Not)Petya (英文)) 的復原能力。
什麼是勒索軟體?
勒索軟體是一種敲詐攻擊,會加密檔案和資料夾以妨礙您存取重要的資料和系統。 攻擊者利用勒索軟體來向受害者勒索錢財,要求他們用錢 (通常是加密貨幣) 來換取解密金鑰,或者避免敏感性資料被發佈到暗網或公用網際網路。
早期勒索軟體最常使用透過網路釣魚在裝置之間散佈的惡意程式碼,而人為操作的勒索軟體,則是由一群人為攻擊操作員所驅動的主動攻擊者針對組織中的所有系統進行攻擊 (而非針對一台或一組裝置)。 攻擊可以:
- 加密您的資料
- 竊取您的資料
- 損毀您的備份
勒索軟體利用攻擊者對常見系統和安全性設定錯誤和安全性弱點的知識,來滲透組織、流覽商業網路,並根據環境及其弱點進行調整。
勒索軟體可以先暫存數周到數個月來竊取您的資料,然後再於特定的日期執行。
勒索軟體也可以在您的系統上緩慢地對資料進行加密,同時保留您的金鑰。 由於您依然可以用您的金鑰來使用資料,因此不會查覺到勒索軟體。 但是,您的備份是加密資料的備份。 當您所有的資料都遭到加密,而且最近的備份也都是加密資料的備份時,他們會移除您的金鑰,讓您無法再讀取資料。
這些攻擊在竊取檔案的同時,會在網路中留下後門以便在未來的惡意活動中利用,而這往往會造成真正的損害,因為無論您是否有支付贖金,這些風險都會持續存在。 這些攻擊可能會嚴重影響商務營運,而且難以清理,因此需要完整的敵人驅逐,才能防止未來的攻擊。 不同於早期勒索軟體只需要補救惡意程式碼的形式,人為操作的勒索軟體可以在一開始發生之後持續威脅您的商務作業。
攻擊的影響
勒索軟體攻擊對任何組織的影響都很難精確地量化。 視攻擊的範圍而定,其影響可能包括:
- 資料存取遺失
- 商務營運中斷
- 財務損失
- 智慧財產權盜取
- 遭入侵的客戶信任或信譽遭損毀
- 法律費用
該如何保護自己?
要避免成為勒索軟體的受愾者,最好的方法就是實施預防性措施,並準備工具來保護您的組織,抵禦攻擊者滲透系統的每一步。
您可以將組織移至雲端服務,以減少內部部署曝光。 Microsoft 已投資原生安全性功能,讓 Microsoft Azure 有能力抵禦勒索軟體攻擊,並協助組織擊退勒索軟體攻擊技術。 如需勒索軟體和敲詐與如何保護組織的完整檢視,請使用人類操作勒索軟體風險降低專案方案 PowerPoint 簡報中的資訊。
您應該假設自己未來在某個時間點會淪為勒索軟體攻擊的受害者。 若要保護您的資料並避免支付贖金,您所能採取的最重要步驟之一,就為您的商務關鍵資訊準備可靠的備份和還原計劃。 由於勒索軟體攻擊者已大舉進入並使備份應用程式和作業系統功能失效,例如磁碟區陰影複製,因此請務必讓惡意攻擊者無法存取的備份。
Azure 備份
無論是傳輸中的資料還是待用資料,Azure 備份皆可為您的備份環境提供安全的保障。 利用 Azure 備份,您可以備份:
- 內部部署檔案、資料夾和系統狀態
- 整個 Windows/Linux VM
- Azure 受控磁碟
- 將 Azure 檔案共用至儲存體帳戶
- 在 Azure VM 上執行的 SQL Server 資料庫
備份資料都儲存在 Azure 儲存體中,客體或攻擊者無法直接存取備份儲存體或其內容。 使用虛擬機器備份時,備份快照集的建立和儲存體是由 Azure 網狀架構所完成,而客體或攻擊者除了停止應用程式一致性備份的工作負載之外,也沒有任何牽連。 使用 SQL 和 SAP HANA,備份延伸模組會取得寫入特定 Blob 的暫時存取權。 如此一來,即使在遭洩漏的環境中,攻擊者也無法竄改或刪除現有的備份。
Azure 備份提供內建的監視和警示功能,可檢視和設定與 Azure 備份相關事件的動作。 備份報告可作為追蹤使用量、稽核備份和還原,以及識別不同層級資料細微性的關鍵趨勢的一站式目的地。 使用 Azure 備份的監視和報告工具,可在任何未經授權、可疑或惡意活動發生時立即發出警示。
已新增檢查以確保只有有效的使用者才能執行各種作業。 其中包括新增額外的驗證層。 針對重要作業新增額外的一層驗證時,系統會提示您輸入安全性 PIN 碼再修改線上備份。
深入了解 Azure 備份內建的安全性功能。
驗證備份
在建立備份時和進行還原之前,請驗證您的備份狀況良好。 建議您使用復原服務保存庫,即 Azure 中裝載資料的儲存體實體。 資料通常是資料的副本,或是虛擬機器 (VM)、工作負載、伺服器或工作站的設定資訊。 您可以使用復原服務保存庫來保存各種 Azure 服務 (例如 IaaS VM (Linux 或 Windows)、Azure SQL 資料庫和內部部署資產) 的備份資料。 復原服務保存庫可輕鬆地組織您的備份資料,並提供以下功能:
- 增強的功能可確保您能保護您的備份,並安全地將資料復原,即使生產和備份伺服器遭到入侵也一樣。 深入了解。
- 透過中央入口網站監視您的混合式 IT 環境 (Azure IaaS VM 和內部部署資產)。 深入了解。
- 與 Azure 角色型存取控制 (Azure RBAC) 相容,可根據所定義的一組使用者角色來限制備份與還原的權限。 Azure RBAC 提供各種內建角色,而 Azure Backup 則有三個內建的角色可用來管理復原點。 深入了解。
- 虛刪除保護,即使惡意執行者刪除了備份檔案 (或備份資料遭意外刪除) 也一樣。 備份資料會額外保留 14 天,以便在沒有遺失資料的情況下復原該備份項目。 深入了解。
- 「跨區域還原」可讓您還原次要區域 (即 Azure 配對區域) 中的 Azure VM。 您可以隨時還原次要區域中的複寫資料。 這可讓您在中斷案例期間還原次要區域資料以供合規性稽核,而不需要等候 Azure 宣告發生災害 (與保存庫的 GRS 設定不同)。 深入了解。
注意
Azure 備份中有兩種保存庫。 除了復原服務保存庫之外,還有備份保存庫可存放 Azure 備份所支援之新工作負載的資料。
攻擊前該怎麼辦
如先前所述,您應該假設自己未來在某個時間點會淪為勒索軟體攻擊的受害者。 在遭受攻擊之前識別業務關鍵系統並套用最佳做法,讓您儘快恢復正常運作。
判斷對您來說最重要的項目
在您做預防攻擊的規劃時,勒索軟件可能會進行攻擊,因此您的首要任務應該是找出對您來說最重要的商務關鍵系統,並開始對這些系統進行定期備份。
根據我們的經驗,對客戶來說最重要的五種應用程式依序為以下類別:
- 身分識別系統 – 使用者存取任何系統 (包括所有下文所述的系統) 的必要項目,例如 Active Directory、Microsoft Entra Connect (部分機器翻譯) 和 AD 網域控制站
- 人類日常生活 – 任何支持或可能危及人類日常生活的系統,例如醫療或維生系統、安全系統 (救護車、調度系統、紅綠燈控制)、大型機械、化學/生物系統、食物或個人產品生產系統等等
- 財務系統 – 處理貨幣交易和維持商務營運的系統,例如付費系統和相關資料庫、季度報告用的財務系統
- 產品或服務提供 – 提供商務服務或生產/交付客戶付費購買的實體產品所需的系統、工廠控制系統、產品交付/調度系統和其他類似系統
- 安全性 (最低) – 您也應該優先處理監視攻擊所需的安全性系統,並提供最低程度的安全性服務。 您應該著重於此類系統,以確保目前的攻擊 (或簡單的隨機式攻擊) 無法立即取得 (或重新取得) 已還原系統的存取權
已排定優先順序的備份清單也會變成您的還原優先順序清單。 找出關鍵系統並開始執行定期備份之後,請採取措施來降低曝光程度。
攻擊發生前應採取的步驟
在攻擊發生前,請採用以下最佳做法。
| Task | 詳細資料 |
|---|---|
| 找出需要率先恢復運作的重要系統 (利用上面的前五大類別),並立刻開始對這些系統進行定期備份。 | 為了在攻擊後儘快恢復正常營運,請立刻確定對您來說最重要的系統是什麼。 |
| 將組織遷移至雲端。 請考慮購買 Microsoft 統一支援方案,或與 Microsoft 合作夥伴合作,來幫助您遷移至雲端。 |
使用自動備份和自助復原將資料移至雲端服務,以減少內部部署曝光。 Microsoft Azure 有一組強大的工具,可協助您備份商務關鍵系統並更快速地還原備份。 Microsoft 統一支援是一種雲端服務支援模型,可以在您需要時隨時幫助您。 統一支援: 提供全天候在線的指定團隊,能視需要解決問題並呈報危急事件 協助您監視 IT 環境的健康情況並主動運作,以在問題發生前避免其發生 |
| 將使用者資料移至 OneDrive 和 SharePoint 等雲端解決方案,以利用其版本管理和資源回收筒功能。 教導使用者如何自行復原其檔案,以減少復原的延遲和成本。 舉例來說,如果使用者的 OneDrive 檔案受到惡意程式碼感染,他們可以將整個 OneDrive 還原到先前的時間點。 在允許使用者還原自己的檔案之前,請考慮採用防禦策略,例如 Microsoft Defender 全面偵測回應 (部分機器翻譯) |
Microsoft 雲端中的使用者資料可受到內建安全性和資料管理功能的保護。 教導使用者如何還原自己的檔案是一件好事,但您必須小心,不要讓使用者還原到用來執行攻擊的惡意程式碼。 您必須: 在您確信攻擊者已被驅逐之前,請確保您的使用者不會還原其檔案 請準備好緩解措施,以免使用者還原到部分惡意程式碼 Microsoft Defender 全面偵測回應會使用 AI 自動動作和劇本來補救受影響的資產,使其回到安全狀態。 Microsoft Defender 全面偵測回應會利用套件產品的自動補救功能,以盡可能自動補救所有在事件中受影響的資產。 |
| 實作 Microsoft 雲端安全性基準。 | Microsoft Azure 雲端安全性基準是我們的安全性控制架構,其依據以產業為基礎的安全性控制架構 (例如 NIST SP800-53、CIS Controls v7.1)。 可為組織提供如何設定 Azure 和 Azure 服務,以及實作安全性控制措施的指引。 請參閱備份和復原。 |
| 定期練習商務持續性/災害復原 (BC/DR) 計劃。 模擬事件回應案例。 您應該根據已排定優先順序的備份和還原清單,來規劃並執行您為了準備抵禦攻擊而進行的練習。 定期測試「從零復原」案例,以確保您的 BC/DR 能夠使關鍵商務作業從零功能 (所有系統均故障) 快速上線。 |
將勒索軟體或敲詐攻擊視為與自然災害相同的重要性,確保快速復原業務作業。 進行實作練習來驗證跨小組的流程和技術程序,包括頻外的員工與客戶通訊 (假設所有電子郵件和聊天均已故障)。 |
| 請考慮建立風險登記表來識別潛在風險,並說明您如何透過預防性控制措施和動作來緩解風險。 將勒索軟體作為高可能性和高影響案例新增到風險登記表。 | 風險登記表可幫助您依據風險發生的可能性,以及該風險發生時對企業影響的嚴重程度來設定風險的優先順序。 透過企業風險管理 (ERM) 評量週期追蹤風險降低狀態。 |
| 自動定期備份所有重要的商務系統 (包括 Active Directory 等重要相依性的備份)。 在建立備份時,請驗證您的備份狀況良好。 |
可讓您將資料復原到最後一個備份。 |
| 保護 (或列印) 復原所需的支援文件和系統,如還原程序文件、CMDB、網路圖表、SolarWinds 執行個體等。 | 攻擊者會刻意以這些資源為目標,因為其會影響復原的能力。 |
| 確保您已妥善記載可獲得任何協力廠商支援的程序,特別是來自威脅情報提供者、反惡意程式碼解決方案提供者及惡意程式碼分析提供者的支援。 保護 (或列印) 這些程序。 | 如果特定勒索軟體變體具有已知的弱點或有可用的解密工具,協力廠商連絡人可能會很有幫助。 |
| 確保備份和復原策略中包括: 將資料備份到特定時間點的能力。 將多個備份複本儲存到隔離且離線 (無線) 的位置。 復原時間目標,說明將備份資料取出並放入實際執行環境的速度。 快速將備份還原到實際執行環境/沙箱。 |
備份對於組織遭入侵之後的復原能力至關重要。 套用 3-2-1 規則以取得最大保護和可用性:3 個複本 (原版 + 2 個備份)、2 種儲存體,以及 1 個異地或極非經常性存取副本。 |
| 保護備份以防止蓄意消除和加密: 將備份儲存在離線或異地的儲存體和/或不可變儲存體中。 在允許修改或清除線上備份之前需要頻外的步驟 (例如 MFA 或安全性 PIN 碼)。 在 Azure 虛擬網路中建立私人端點,以便從復原服務保存庫安全備份和還原資料。 |
攻擊者可存取的備份可以轉譯為無法用於業務復原。 離線儲存體可確保備份資料的穩固傳輸,而不需要使用任何網路頻寬。 Azure 備份支援離線備份,這會離線傳輸初始備份資料,而不會使用網路頻寬。 提供將備份資料複製到實體儲存體裝置的機制。 然後,裝置會寄送至附近的 Azure 資料中心,並上傳至復原服務保存庫。 線上的不可變儲存體 (如 Azure Blob) 可讓您以 WORM (一次寫入,多次讀取) 狀態儲存商務關鍵資料。 此狀態能讓資料在使用者指定的間隔內不可清除,也不可修改。 所有系統管理員帳戶都要強制採用多重要素驗證 (MFA),強烈建議所有使用者使用。 慣用的方法是盡可能使用驗證器應用程式,而不要用 SMS 或語音。 設定 Azure 備份時,您可以利用 Azure 入口網站中產生的安全性 PIN 碼來設定復原服務以啟用 MFA。 此步驟可以確保產生安全性 PIN 碼來執行重要作業,例如更新或移除復原點。 |
| 指定受保護的資料夾。 | 讓未經授權的應用程式更難以修改這些資料夾中的資料。 |
| 檢閱您的權限: 探索檔案共用、SharePoint 及其他解決方案的非限制性寫入/刪除權限。 廣泛定義為具有業務關鍵資料寫入/刪除權限的使用者。 降低非限制性權限,同時符合商務共同作業需求。 稽核與監視,以確保非限制性權限不會重新出現。 |
降低非限制性存取權啟用之勒索軟體活動的風險。 |
| 防止網路釣魚: 定期進行安全性意識訓練以協助使用者辨識網路釣魚,不要去點選可能會建立入侵之初始進入點的東西。 將安全性篩選控制項套用至電子郵件以偵測網路釣魚,將其成功的可能性降到最低。 |
攻擊最常用來滲透組織的方法,就是透過電子郵件進行網路釣魚。 Exchange Online Protection (EOP) 是一種雲端式篩選服務,可保護您的組織免受垃圾郵件、惡意程式碼和其他電子郵件威脅的影響。 EOP 包含在所有具備 Exchange Online 信箱的 Microsoft 365 組織中。 安全連結就是電子郵件的安全性篩選控制項範例之一。 「安全連結」是適用於 Office 365 的 Defender 的一項功能,可針對輸入郵件流期間的電子郵件訊息掃描與重寫 URL 和連結,並針對電子郵件訊息和其他位置 (Microsoft Teams 和 Office 文件) 中的 URL 和連結進行點擊時驗證。 除了針對輸入之電子郵件訊息的定期反垃圾郵件和反惡意程式碼保護之外,EOP 也會進行安全連結掃描。 安全連結接掃描有助於保護您的組織免受網路釣魚和其他攻擊中使用的惡意連結的侵害。 深入了解防網路釣魚保護。 |
攻擊期間要執行的動作
如果您遭到攻擊,您已排定優先順序的備份清單就會變成您的還原優先順序清單。 在還原之前,請再次驗證備份是否良好。 您可以在備份內尋找惡意程式碼。
攻擊期間應採取的步驟
在攻擊發生期間,請採用以下最佳做法。
| Task | 詳細資料 |
|---|---|
| 在攻擊發生初期,請洽詢協力廠商以取得支援,特別是來自威脅情報提供者、反惡意程式碼解決方案提供者及惡意程式碼分析提供者的支援。 | 如果特定勒索軟體變體具有已知的弱點或有可用的解密工具,這些連絡人可能會很有幫助。 Microsoft 偵測和回應小組 (DART) 會保護您免受攻擊。 DART 會與世界各地的客戶互動,協助在攻擊發生前進行防護和加固,以及在攻擊發生時進行調查和補救。 Microsoft 也提供快速勒索軟體復原服務。 Microsoft Global Compromise Recovery Security Practice (CRSP) 會專門提供服務。 在勒索軟體攻擊期間,此小組會著重於還原驗證服務並限制勒索軟體的影響。 DART 和 CRSP 是 Microsoft 產業解決方案傳遞安全性服務專線的一部分。 |
| 請連絡您當地或聯邦的執法機關。 | 如果您人在美國,請連絡 FBI,使用IC3 投訴表回報勒索軟體入侵狀況。 |
| 採取措施以從您的環境中移除惡意程式碼或勒索軟體承載,並停止其散佈。 在所有可疑的電腦和裝置上進行最新版本的完整防毒軟體掃描,以偵測並移除與勒索軟體相關聯的承載。 掃描正在同步處理資料的裝置,或對應網路磁碟機的目標。 |
您可以使用 Windows Defender 或 Microsoft Security Essentials (適用舊版用戶端)。 另一種能幫助您移除勒索軟體或惡意程式碼的服務是惡意軟體移除工具 (MSRT)。 |
| 先還原商務關鍵系統。 請務必在還原之前再次驗證您的備份狀況良好。 | 在這個時間點,您不需要還原所有資料。 將焦點放在您還原清單中前五個商務關鍵系統。 |
| 如果您有離線備份,在從環境中移除勒索軟體承載 (惡意程式碼) 之後,您可能可以還原加密的資料。 | 若要防止未來的攻擊,請先確定您的離線備份檔案中沒有勒索軟體或惡意程式碼,再進行還原。 |
| 找出一個確定不會受到感染的安全時間點備份映像。 如果您要使用復原服務保存庫,請仔細檢閱事件時間表,以了解要還原備份的正確時間點。 |
若要防止未來的攻擊,請在還原之前掃描備份檔案中是否有勒索軟體或惡意程式碼。 |
| 使用安全掃描工具和其他工具來進行完整的作業系統還原和資料還原。 | Microsoft Safety Scanner 是一種掃描工具,其設計目的是為了在 Windows 電腦中尋找並移除惡意程式碼。 您只需下載它並進行掃描,就能尋找惡意程式碼,並嘗試回復已識別的威脅所做的變更。 |
| 請確保您的防毒軟體或端點偵測和回應 (EDR) 解決方案為最新版。 您也需要有最新的修補檔。 | 建議您使用 EDR 解決方案,例如適用於端點的 Microsoft Defender。 |
| 在商務關鍵系統啟動並開始運行之後,還原其他系統。 在系統還原時,請開始收集遙測資料,以便針對您要還原的項目做出明智的決策。 |
遙測資料應該可協助您確認惡意程式碼是否還留在您的系統上。 |
攻擊後或模擬
勒索軟體攻擊或事件回應模擬之後,請採取下列步驟來改善備份和還原計劃以及安全性狀態:
- 找出流程中不順利之處的經驗教訓 (以及簡化、加速或改善流程的機會)
- 針對最大的挑戰執行根本原因分析 (具備充足的人員、流程和技術詳細資料,以確保解決方案能夠解決正確的問題)
- 調查並補救原始缺口 (請 Microsoft 偵測和回應小組 (DART) 提供協助)
- 根據經驗教訓和機會來更新您的備份和還原策略,優先採取影響最大和實作最快的步驟
下一步
在本文中,您已了解如何改善備份和還原計劃以防範勒索軟體。 如需部署勒索軟體保護的最佳做法,請參閱《快速防範勒索軟體和敲詐》。
重要產業資訊:
- 2021 年 Microsoft 數位防禦報告 (請參閱第 10 至 19 頁)
Microsoft Azure:
Microsoft 365:
Microsoft Defender 全面偵測回應:
Microsoft 安全性小組部落格文章:
- 了解網路安全性風險以提升復原性:第 4 部分,導覽目前的威脅 (2021 年 5 月)。 請參閱「勒索軟體」一節
- 人為操作勒索軟體攻擊:可預防的災害 (2020 年 3 月)。 包含實際人為操作勒索軟體攻擊的攻擊鏈分析
- 勒索軟體回應 - 要不要付錢? (2019 年 12 月)
- Norsk Hydro 以透明的方式回應勒索軟體攻擊 (2019 年 12 月)