勒索软件恢复：云恢复是一种值得考虑方法

如果您受到勒索软件的攻击，完全自动化的高速灾难恢复是一种避免支付赎金的很好的方法。灾难恢复是在清楚恶意软件之后要做的两件事中的第二件。

遭受勒索软件攻击后进行灾难恢复的方式有三种：传统恢复、镜像恢复和云恢复。但对于大多数环境而言，能够实现大规模恢复自动化的唯一方法是在云中恢复。

传统灾难恢复

传统灾难恢复是在您遭受损失之后(在本文的案例中指的是收到赎金请求之后)开始进行传统恢复的一种方式。如果要将虚拟机镜像恢复到虚拟机管理程序平台(例如VMware、Hyper-V或KVM)或超大规模器(例如AWS、Azure或GCP)，这就仍然属于传统的还原。传统的定义是等到事件发生时才开始恢复(正如您将在本文后面看到的，有一些方法可以在需要之前恢复数据)。

这种类型的恢复被认为是传统的，因为最初大家都是如此。大多数公司没有预算来维护恢复数据中心，因此他们支付了一项服务，以便在需要时为他们提供恢复数据中心。由于他们每次实际使用该数据中心时都必须付费，因此他们从未想过提前恢复数据。他们等到灾难发生，然后联系恢复数据中心并开始恢复。这种方法很慢，而且很难自动化，因为您没有执行还原的硬件。

我们不建议您采取这种方法。在整个数据中心被灾难感染或破坏后执行传统的灾难恢复需要太长时间，而且在受勒索软件攻击的情况下，您将不可避免地被迫支付赎金。为了避免支付赎金，您应当拒绝这种需要耗费太长时间的DR计划。现在是时候选择转向更快、自动化程度更高的流程了。

基于镜像的恢复

这里的想法是将操作系统和应用程序的恢复与数据本身的恢复分开。如果您能做到这一点，您就可以通过使用映像解决方案显著简化操作系统和应用程序的恢复。为每个操作系统/应用程序对创建一个镜像，以便您可以快速轻松地对任意数量的服务器进行重镜像。这也可以进行自动化。

从备份中恢复50台服务器可能需要很长时间，但重镜像50台服务器、虚拟机或是容器实际上可能会更快。这是因为某些映像解决方案可以执行精简配置还原，允许VM在重新镜像过程仍在进行时开始启动。这在某些备份系统中也是可能的，但仅适用于有限数量的VM。因此，成像系统可能会比传统恢复更快地使您的系统重新联机。

如果您习惯使用这样的系统，镜像恢复也可以在可预测的时间内完成。如果每次升级操作系统时您都从已经升级的镜像重新镜像操作系统，那么您将知道这种类型的恢复需要的确切时间(这与修补现有操作系统相反)。市场上有多种镜像解决方案可以处理Linux和Windows服务器和VM。Kubernetes和Docker也适用于这种恢复方法。

基于映像的恢复用于防御通过加密关键系统文件来攻击服务器操作系统或应用程序的勒索软件，但它对实际加密文档或数据库文件的勒索软件不是很有用，因为这些文件仍然需要以传统方式恢复。因此，这种方法确实只比传统的容灾略好一些，但这也不失为一种好的选择。

云恢复

云恢复可以在您需要之前进行。它首先自动并定期向laaS供应商执行计算环境的增强恢复。这意味着您的整个环境(包括结构化和非结构化数据的备份)已经在需要之前恢复。是的，您将丢失一些数据，这取决于上次恢复和勒索软件攻击之间的时间间隔，因此您需要预先决定执行预恢复过程的频率以最大程度地减少损失。您还需要确定自己可接受的数据丢失量，这被称为您的恢复点目标(RPO)。

从技术上讲，这种类型的恢复不需要云，但在大多数环境中使用云在财务上是可行的。使用物理数据中心进行此操作需要先向其支付费用。使用云，您只需为与预恢复镜像相关的存储付费。

云友好的备份和灾难恢复产品及服务可以主动将您的整个环境恢复到您选择的云中——每天一次、每小时一次或连续恢复。显然，更新频率越高，成本就越高。

预恢复的美妙之处在于您可以在几分钟内启动整个计算环境，并且有些产品和服务可以满足从几秒钟到几小时不等的RTO。想象一下，收到勒索软件消息后你可以完全不用在意，因为只需按一个按钮几分钟内您的整个环境就会从云端恢复。该过程是完全自动化的。

注意：即使您在几分钟内恢复您的环境，您仍然需要识别勒索软件并清除它。一些恢复解决方案可以帮助实现此过程的自动化。

鉴于它能够预先恢复数据，但却只有在需要的时候才收取计算费用，并且它执行实际恢复的速度如此之快，建议您考虑云恢复这种办法。[来源：嘶吼网]