劫持软件攻击的影响与应对策略

关键要点

根据Veeam发布的报告，劫持软件受害者平均丢失43的数据。尽管大多数组织有应急响应计划，但仍未能有效应对攻击。建议设置替代备份站点，并确保备份存储库不可更改且物理隔离。多数受访者81支付了赎金，但仅有三分之二成功恢复数据。

近期发布的一份报告显示，劫持软件攻击的受害者平均永久性丢失43的数据。Veeam于周二发布的Ransomware Trends Report 2024 基于对1200名首席信息安全官CISO、安全专业人士和备份管理员的调查。这些被调查者在2023年经历过劫持软件攻击，报告显示尽管绝大多数组织都有事件响应计划和政策，但依然未做好攻击后的恢复准备。

旋风加速器官网

报告指出，96的攻击目标是备份存储库，其中76的攻击成功渗透，因此组织应考虑设置备用备份站点，确保备份存储库不可更改，并与网络安全、IT和备份管理团队更好地协调配合。报告警告：“攻击会比你想象的更严重，成本也会超过你的预期。”因此，组织应制定网络预备计划，这应当包括扩展不可更改存储库的使用、隔离和认证备份系统，并验证备份的可恢复性，以确保已建立的服务水平协议SLA。

大部分劫持软件受害者支付赎金，但仍然会丢失数据

在Veeam 2024年劫持软件趋势调查的受访者中，81表示其组织支付了赎金，但其中只有三分之二的受访者成功恢复了数据。相对而言，15的受访者未支付赎金，但仍能够恢复数据，受益于可靠的备份。

根据Coveware的数据，2023年第四季度，劫持软件的平均赎金约为568000美元，但根据Veeam的报告，赎金仅占攻击总成本的约32。

调查结果显示，网络保险并非总能有效地恢复成本，只有65的受访者利用他们的保险来涵盖费用，尽管86的人表示可以申请；还有21的受访者在未向他们的网络保险提供者申报的情况下支付了赎金。

恢复劫持软件攻击的最佳备份实践

根据关于劫持软件趋势报告的调查结果，Veeam提出了三项关键建议。第一项建议是加强安全团队、备份团队和高层领导之间的协同。

超过60的受访者表示IT备份团队和网络安全团队之间的协同需要显著改进或彻底改革，最常见的问题是“备份工具与网络安全工具之间缺乏集成”。备份管理员特别表示对团队之间的协同满意度较低。

第二项建议强调了更好的准备工作，特别关注备份基础设施的可靠性，建议使用多种备份来源，包括磁盘、磁带和云服务。尽管97的受访者表示他们的组织有“劫持软件应对手册”，但只有33的受访者表示他们的计划包含备用备份的安排，仅有20的受访者有隔离计划。

最后，组织应确保其备份数据是干净的，且能够可靠恢复。光有备份并不能保证数据可以有效恢复，数据显示平均仅有57的受攻击数据得以恢复。组织应定期测试备份数据的可恢复性，并使用不可更改的存储库确保数据的“洁净”。

此外，劫持软件受害者不应在攻击后直接将数据恢复到生产环境。调查发现，尽管存在再感染的风险，63的组织在恢复之前并没有对备份进行隔离或沙盒处理。虽然恢复操作的压力很大，但组织应当花时间对备份环境进行适当扫描和测试，以确保全面恢复。