完整影像備份：備份資料的完整映像來建立還原點，以立即回到該點。由於要執行完整備份，所以這種技術需要花最久的時間儲存。
差異備份：備份自上次完整影像備份以來的所有變更。還原只需要兩個檔案：上次完整影像備份，然後是最新的差異備份。
增量備份：您自上一個完整影像還原點以來，會逐漸備份變更。設定數量的增量備份後，循環即完成完整影像備份。還原作業從上次完整影像備份開始，然後遞增備份至目標 RPO 。
即時備份：也稱為連續備份，每次資料變更後，會馬上將變更複製到另一個獨立的儲存設備。這能提供了最精細且最全面的備份。
立即復原：一種為生產虛擬機器備用，而不斷進行更新的備份虛擬機器。當生產 VM 發生故障時，備份 VM 可立即接管，達到零 RTO 和零 RPO。

了解針對長期、高可用性備份解決方案的分層備份和資料儲存庫

資料中心災害復原

實施穩健的備份計畫只是資料保護方程式的一部分。第二部分是達成 RTO。換句話說，在災害發生後，您如何讓業務系統恢復運作？典型的災害復原計劃包括：

災害復原團隊：指定一組直接負責的個人（DRI）來實施災害復原計劃。
風險分析：做好準備並了解組織內可能發生的問題是值得的。找出意外停機時間或災害發生時的風險和行動計畫。
合規性：因為您是攻擊的受害者，並不表示您違反了資料合規性法規。法規遵循主管可以確保您的組織遵循保留和刪除政策，並且不備份之前因法規遵循原因而被刪除的敏感資料。
業務影響分析：在災難發生後，您需要有人評估對商業服務的潛在影響。最關鍵的服務或許能更早備份並運行。找出並記錄哪些系統、應用程式、資料和資產對業務永續性最為關鍵，有助於您的災害復原團隊採取復原所需的最有效步驟。
資料備份：根據您使用的備份策略與技術，您可以重新啟用最新的備份，以恢復業務營運。RTO 和 RPO 會因備份和受影響的服務而異。

一切都與持續的資料保護有關

在日漸數位化的世界中，客戶期望企業能夠全天候提供服務，而不會停機或中斷。持續資料保護（CDP）也稱為持續備份，是備份支援現代業務營運所需的持續資料流。它讓組織能夠將系統還原至任何過去的時間點。CDP 的目標是在發生災害時，將 RTO 和 RPO 減至最低。利用持續的即時備份，並實施堅實的災害復原策略，即可透過 CDP 維持業務永續性。

Ransomware防護

目前為止，我們已經介紹了您通常可以採取哪些措施來保護您的資料，並在發生災難時維持業務永續性。但有一種類型的災害正在增加，值得自行解決：勒索軟體。

網路罪犯一直都是威脅，但雖然過去一年的駭客活動受到政治、文化和宗教信仰的激勵，但現今的網路犯罪分子主要受到經濟利益的激勵。勒索軟體，駭客透過加密將您的資料封鎖，直到您支付贖金，現在已是數百萬美元的產業。在停機時間直接轉化為收入損失的世界裡，付這筆贖金永遠都比較吸引人。

在接下來的章節中，我們將介紹您可以採取哪些措施來緩解勒索軟體攻擊。

防範勒索軟體攻擊

對抗勒索軟體的最佳方式，就是先預防勒索軟體的發生。重點在於獲得全系統的能見度、實行良好的資料衛生，並制定計劃，以便在發現威脅後處理威脅。

記錄與監控：記錄與系統監控工具可讓您一目了然地檢視系統，並協助您了解 IT 基礎架構在一切順利運行時的外觀。快速的即時分析可協助您發現異常情況（例如，來自可疑 IP 位址的流量暴增），以及其他可能讓您遭受潛在攻擊的活動。
資料衛生：當駭客植入惡意軟體時，他們正在尋找安全性漏洞，例如未修補的作業系統、安全性不佳的第三方工具，以及混亂的資料管理。資料衛生意味著實施良好的修補程式管理、系統配置和資料消毒實務。不僅能讓您的組織運作更順暢，還能大幅減少潛在駭客的攻擊面。
作業安全性：在網路安全方面，人類經常被忽視。實施多重要素驗證、管理控制和資料分層可確保資料僅提供給需要資料的授權人員。涵蓋駭客和網路釣魚攻擊技術的安全意識訓練，有助於您的組織做好準備，在野外發現真正的嘗試。

勒索軟體攻擊時該怎麼做

網路攻擊在現實生活中並不像電影主角那樣明顯。攻擊本身可能只會持續 30-40 分鐘，因為它們會存取您的檔案，並橫向移動至您的網路中，將檔案加密並刪除備份。另一方面，攻擊者在取得存取權限後，可能會長時間潛伏在您的網路上，在規劃實際攻擊時監控您對異常情況的回應。無論如何，當您收到您資料的勒索訊息時，攻擊就已經完成了。

勒索軟體攻擊發生時，唯一能防範的方式，就是隨時注意遭到鮑化的網路釣魚攻擊（訓練員工），或透過 SEIM 和日誌在您的網路上發現可疑活動。如果您採取了這些主動措施，並擁有必要的工具，那麼當您發現異常活動時，要制定網路事件回應（CIR）計畫來加以處理是值得的。記錄所有內容，並通知相關 IT 人員，以隔離受影響的系統並減輕損壞。您將需要這些記錄，才能符合法規遵循要求，並協助執法單位進行調查，以免活動被證明是真正的勒索軟體攻擊。我們將在本文稍後介紹建立 CIR 計劃的詳細資訊。

勒索軟體攻擊後災害復原

因此，您的檔案已經加密，您剛收到勒索軟體的通知。您有哪些選擇？

其中一個選項是只支付贖金，但這樣做可能會讓您的組織面臨風險，而可能進一步被勒索。

如果您遵循前面章節中概述的主動勒索軟體緩解步驟，更好的選項是清除、還原和回應：

清除系統內允許攻擊者存取資料的弱點。遭入侵的硬體和軟體應立即隔離，並中斷與網路的連線。應進行系統與網路稽核，以確保沒有任何後門程式或其他惡意軟體。在您從備份中還原資料並上線之前，請務必先對系統進行消毒。
利用您的備份與復原計畫來還原資料。希望您擁有一些快照和災害復原基礎架構，以便在發生網路事件前立即接手。您的防禦團隊應該在經過消毒的虛擬環境中，對您的備份資料進行鑑識分析，以確保攻擊者不會留下任何損失。您正在尋找一個不受干擾的復原點，讓您可以將系統復原。
透過採取措施來審查記錄、稽核系統，並記錄攻擊的性質，以適當應對攻擊。為遵守法規，您可能需要通知客戶資料外洩事件，而您需要您的日誌以證明您的組織已竭盡所能應對攻擊。從攻擊中獲得的資訊可以用來協助執法單位追蹤犯罪者，並協助保護您自身的系統，以抵禦未來的攻擊。

了解更多：Ransomware緩解與復原的駭客指南

網路事件回應計畫的要素

網路事件回應計畫是一份正式文件，概述了人員在網路攻擊時應遵循的細節。這也是支付卡產業資料安全標準（PCI DSS）的要求。網路事件回應計畫通常由六個不同階段組成：

1. 準備

此階段概述了發生網路事件時應遵循的步驟、角色和程序。準備一組明確定義角色和責任的個人團隊，以應對網路事件。其中也包含透過員工訓練測試這些角色與程序，並運用模擬資料外洩等演習情境。

2. 識別

這個階段涉及異常網路事件的偵測與鑑識分析，以判斷是否發生入侵事件，以及事件的嚴重性。

暴露了哪些資料？
是如何被發現的？
誰發現了這起事件？
它對誰有影響？

事件的範圍與嚴重性必須加以記錄與分析，才能有效處理。系統與網路記錄是立即回應資安事件的關鍵，並判斷資安事件發生後的關鍵細節。

了解更多：勒索軟體擊中了您。現在該怎麼做？

3. 遏制

發生網路事件時，遏制階段會指定採取的措施，以防止進一步損害並降低風險。遏制通常涉及從網際網路中斷和停用受影響裝置的步驟。

4. 根除

一旦遏制威脅，資安專業人員即可進行分析，以判斷事件的根本原因，並消除任何威脅。惡意軟體移除、安全修補程式和其他措施應在根除階段中概述。

5. 復原

復原階段涉及將受影響的系統與裝置復原至生產環境的步驟與程序。可實施備援備份、快照和災害復原計劃，以便在發生資料外洩時恢復任務關鍵型服務。您亦應擁有一個預建的復原環境，可讓您在活動結束後立即恢復上線。

6. 經驗教訓

網路安全是一個持續的過程。收集從網路事件中收集的資訊和經驗教訓，並應用它們來增強安全協定和事件回應計畫本身，這一點很重要。

取得資料洩露期間的詳細 6-Point 計畫

使用 Pure Storage 的現代化資料保護解決方案來保護您的資料

在本指南中，我們探討了各種工具、策略和技術，以保護您的資料，並在發生災害時維持業務永續性。總之，您的資料才如您用來管理資料的基礎架構一樣安全。

因此，Pure Storage® 產品從下而上設計，並考量到現代化資料保護。Pure 開發的現代化資料保護解決方案包括：

FlashBlade® 快速還原：為生產和測試/開發環境提供每小時 270TB 的資料復原效能。
ActiveDRShield：ActiveDR 內建於 Purity 中，透過強大的非同步複寫功能，提供您接近零的 RPO，同時涵蓋新的寫入內容及其相關的快照與保護排程。 RPO
Purity ActiveCluster ＋：RPO 零的同步複寫功能，在真正的雙向active-active都會延伸叢集中，實現 RTO 零的透明故障轉移。
SafeMode＋快照：SafeMode 快照是內建於 FlashArray 的、FlashBlade 的勒索軟體保護解決方案。快照是無可取代的，讓您的團隊能在勒索軟體攻擊時恢復資料。

現代化資料威脅需要現代化資料保護解決方案。使用 Pure Storage 儲存資料是確保組織效能、可靠性和安全性的最佳方式。