许多人对(勒索软件)支付了440万美元的赎金以恢复其业务系统感到惊讶
当 Colonial Pipeline 勒索软件攻击于 2021 年上半年公之于众时,许多人对该公司支付了 440 万美元的赎金以恢复其业务系统感到惊讶毕竟,如此大的公司没有备份是不可想象的可是,根据华尔街日报的一篇文章,Colonial 的首席执行官授权支付 440 万美元的赎金,因为高管们不确定网络攻击对其系统的破坏程度,以及因此需要多长时间才能恢复管道
关于他们决定支付赎金的原因,Colonial 并没有多说,但是,假设公司有备份系统,有两种可能的情况首先是备份本身受到勒索软件恶意软件的攻击这似乎不太可能,因为像 Colonial 这样的大型组织很可能遵循 3—2—1 备份准则:在两种不同形式的存储介质上存储三个数据副本,一个异地当然,所有备份和生产网络之间仍有可能存在逻辑连接,这将允许攻击访问备份但通常,异地备份可以很好地抵御此类攻击,并且通常以只读格式存储,无法加密或被恶意软件覆盖
恢复时间的重要性
对于像 Colonial Pipeline 这样的公司来说,尽快恢复业务并运行是第一要务该公司不仅每天损失数百万美元的收入,而且关闭管道引发了恐慌,导致整个美国东南部的天然气短缺没有办法确切地知道 Colonial 的恢复时间目标 是为了开展业务而绝对必须拥有的数据,但根据我的经验,我已经看到即使是非常大的组织的系统也需要数周才能恢复足够的数据,以便业务正常运行
因此,当面临选择支付赎金以比组织使用其备份系统所能完成的速度更快地恢复数据时,额外停机时间的成本相当于更大的损失在这种情况下,在财务上,支付赎金是一个明智的财务决定尽管如此,支付赎金会引发一些法律和道德问题,公司应该与他们的法律顾问和道德委员会讨论这些问题
针对不同工作负载的不同技术
为了避免支付赎金,组织需要从恢复的角度考虑备份和灾难恢复 虽然每个人都希望尽快重新上线,但按重要性对数据和应用程序进行分类很重要,要求对组织中的每条数据进行几分钟或几小时的 RTO,成本太高了因此,了解公司对每个工作负载的停机容限,然后将这些容限与适当的解决方案相匹配至关重要
选项包括:
- 立即完全恢复:这将需要一个同步的热站点,这是迄今为止成本最高的方法但是,如果勒索软件来袭,该公司最多只会在运营中遇到一个小问题一个很好的例子是博物馆的 HVAC 控制系统离线会导致无价的艺术品遭到破坏
- 持续数据保护:备份供应商和备份即服务 提供商拥有可提供数秒到数分钟 RTO 的解决方案它们比同步热站点便宜,但比典型的备份系统贵对于此类别,请考虑全球准时制供应链系统如果它处于离线状态,卡车或轮船可能会等待几分钟,然后再带着货物离开,而不会造成重大伤害
- 备份系统:存在大量 RTO 和定价,具体取决于解决方案的架构方式以及是否与托管服务提供商合作如果设计不当,它们的时间可能从不到一个小时到几天或几周不等测试系统以确保它能够提供每一层工作负载所需的 RTO,这一点至关重要每周对信息进行批处理的业务线应用程序可能会离线数小时甚至数天,而不会产生任何重大影响
- 磁带:这是最便宜的途径,但恢复相对少量的数据可能需要数小时,如果备份存储在异地,则可能需要数天虽然对大规模恢复没有用,但磁带适用于为合规性和法律事务归档数据许多企业拥有法律要求将数据保留 7,10 甚至 20 多年的数据,其中恢复的唯一时间目标是在合理的时间内
最后,当组织重新审视他们的备份和灾难恢复策略以确保他们能够满足 RTO 要求时,他们需要在面对勒索软件或其他灾难时继续运作——因此他们不能忽视定期测试IT 基础设施一直在变化公司需要确保他们已经考虑到 IT 依赖关系,以便工作负载以正确的顺序恢复并且一切正常运行他们需要确保新的应用程序和数据受到他们所需的 RTO 的保护
在内部执行此操作将需要灾难恢复专家,他们可以为每个工作负载和相应的费用推荐适当的保护平衡对于只偶尔处理灾难问题的 IT 员工来说,这是一个很大的期望此外,当您将持续管理的时间考虑在内时,组织可能会发现 DIY 方法可能比使用托管服务提供商 的成本更高
可是,一个组织如何处理备份和灾难恢复,他们不能采取的方法是,如果有备份,我们就会被覆盖不能及时恢复的备份只比根本没有备份好一点
据IT之家了解到,UKG的客户包括:特斯拉,GameStop,本田,Sainsbury’s,彪马等大公司,以及丹佛市和纽约市地铁交通管理局,基督教青年会等组织。根据外媒报道,一些医疗机构也受到了影响。