上期关于勒索软件攻击的应对方案解读中，我们提出了“要抵御勒索病毒，必须实行安全备份”的观点。很明显，确保备份服务器本身的安全至关重要，否则即便做了多重备份，都可能沦为“无用功”。

旋即就有围观群众提出了这样的问题：“备份服务器被加密了，咋办？”

关于“备份服务器已经被加密”这个既定事实，如果你没有异地容灾或其他第三站点的保护机制，实话实说还真是只能两手一摊┓( ´∀` )┏，没啥好办法。对于企业而言，更应“防患于未然”，通过多种备份策略，将受害风险降至最低。

                                                           3-2-1 Go！                                                        

有多种备份策略可以最小化组织成为勒索软件受害者的风险：

• Air Gap备份--让数据离线并存放在磁带等可移动的介质上，这样，勒索软件就无法访问或加密数据。很少有措施可以宣称对勒索软件100%有效，但Air Gap是其中之一。企业不能低估其价值。
  
• 分发到不同位置的多备份镜像副本--该方法可能会让勒索软件无法捕获所有的数据副本。通常，勒索软件多通过普通用户账户接近本地存储和访问的数据。对勒索软件而言，发现备份镜像的每个副本费时又费力，基本不可能实现。
  
• 限制使用备份证书（凭据）--通过限制使用登录凭据或用户帐户来管理和操作备份系统，用户被网络钓鱼或粗心浏览网页会话的概率即便不会降低到0，也会大大减小。这种方法可有效关闭最常见的入口点，有助于防止勒索软件感染备份环境。
  
• 评估你的RPO--要最大限度地防范勒索软件攻击造成任何伤害，请更频繁地运行备份以缩小RPO。这种方法可以将潜在的数据丢失减少到小时级或分钟级。
  

当然，别忘了“3-2-1”备份法则：3个备份目的地，2种备份介质，至少1份offsite copy。

比如这样▽

如果数据只备份了一次，严格意义上讲，那就不是备份。两次就没问题，但要确保至少有一份使用了不同的存储技术，可以是磁带，也可以是私有云存储，如Veritas Access，或公有云，如AWS、Azure等。（Copy it）

将备份副本保留在异地会提供额外的安全。确保可移动介质（如磁带）被安全地存储，或使用云存储。通过Veritas A.I.R创建隔离的镜像，并确保勒索软件无法破坏你的备份副本。（Isolate it）

保留所有备份，即便你认为已经从一次勒索事件中恢复过来。备份策略中应该包含备份保留管理，无论副本在哪里。LTR方案可以有效管理成本。确保你可以暂停备份，以保证备份不会被覆盖。（Keep it）