關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 資安管理
顯示分類
2026.05.07
標準與框架/資安管理
即使有備份,勒索軟體攻擊為何仍能成功?

你的備份計畫很可能無法抵禦勒索軟體攻擊。為什麼?因為在勒索軟體攻擊中,攻擊者會在實施加密之前蓄意攻擊並摧毀備份系統,導致備份失效。在現代攻擊中,備份基礎設施往往暴露在外,易於存取且缺乏保護,使得復原變得不可能。原本應該作為恢復機制的備份,反而成為了單點故障。

多年來,備份一直被視為網路安全策略的終極保障,確保即使系統遭到入侵,也能恢復資料。但如今卻出現了一個令人不安的新現實:備份在勒索軟體攻擊中失效,並非因為備份不存在,而是因為備份暴露在外,易於存取且缺乏保護。

勒索軟體攻擊的速度和嚴重程度持續加劇已是公開的秘密。根據Acronis 發布的《2025 年下半年網路威脅報告》,去年攻擊數量增加了 50% 。 IT 和安全專業人員是時候重新審視他們長期以來對備份和復原的固有觀念了。

攻擊者如何系統性地破壞備份策略

大多數勒索軟體攻擊都遵循一個可預測的順序:

初始存取 憑證竊取 橫向移動 備份發現 備份銷毀 勒索軟體部署

為了阻止這種連鎖反應,企業需要在每個環節採取控制措施。例如,將端點保護、憑證監控和備份保護整合到一個平台中,以便在備份資料遭到破壞之前偵測到威脅。備份系統很少是完全隔離的,一旦攻擊者獲得管理員憑據,他們就可以:

✔  列舉備份伺服器和儲存庫。

✔  透過竊取的憑證存取備份控制台。

✔  刪除或加密備份檔案和快照。

✔  停用備份代理程式和排程任務。

✔  修改保留策略以刪除復原點。

常用技術包括:

✔  刪除 Windows 系統上的影集副本 (VSS)。

✔  使用合法的管理工具(自給自足的技術)。

✔  針對虛擬環境中的虛擬機器管理程式快照。

✔  利用 API 存取雲端備份儲存。

勒索軟體一旦執行完畢,就為時已晚,恢復途徑已經失效。組織可以利用整合備份、快速災難復原以及人工智慧驅動的端點安全和管理功能,保障組織的業務安全。

勒索軟體事件中最常見的備份故障

在事件回應調查中,一些反覆出現的弱點解釋了為什麼備份和復原勒索軟體策略會失敗。

  1. 生產環境和備份環境之間沒有隔離:備份系統通常位於同一網域中,使用相同的憑證,即使主機遭到入侵也能存取。這使得生產系統和備份系統之間幾乎沒有任何有效的隔離。
  2. 薄弱的存取控制:共享的管理員憑證、缺乏多因素身份驗證 (MFA) 以及權限過高的服務帳戶,使得攻擊者能夠輕鬆進入備份基礎架構。
  3. 不可改變性:如果備份可以被修改或刪除,攻擊者就會將其移除。傳統的、不具備不可篡改性的備份方式幾乎無法抵禦這種攻擊。
  4. 未經測試的恢復過程:組織在發生事件時經常會發現備份不完整、已損壞或復原速度太慢,無法大規模復原。
  5. 孤立的安全和備份工具:備份系統通常獨立於安全監控運行,因此備份基礎設施的攻擊難以被發現。

為什麼不可篡改性對勒索軟體防護至關重要

如果備份可以被修改或刪除,攻擊者就會將其移除。這就是傳統備份方式失效的原因。不可變備份可在設定的時間段內阻止任何變更或刪除,從而確保始終存在乾淨的復原點。不可變備份的關鍵特性包括:

✔  一次寫入,多次讀取(WORM)儲存。

✔  基於時間的保留鎖。

✔  防止 API 和憑證被濫用。

✔  不僅要在軟體層面,還要在儲存層面進行強制執行。

即使攻擊者獲得完全管理權限,不可篡改的備份仍然完好無損。這確保始終存在一個乾淨的恢復點,這對業務連續性至關重要。然而,僅靠不可篡改性是不夠的,還必須結合存取控制、監控和復原驗證。

保護備份免受勒索軟體侵害的 5 種方法

對於管理多個環境的託管服務提供者 (MSP) 和企業 IT 團隊而言,確保備份安全需要一致性和標準化。主要做法包括:

  1. 強制執行身分分離:使用專用憑證和多因素身分驗證 (MFA)。
  2. 隔離備份環境:劃分網路並限制存取
  3. 使用不可變更的備份:防止刪除或修改
  4. 監控備份活動:及早發現異常行為。
  5. 定期測試復原功能:確保備份可以復原。

如果備份檔案已被破壞該怎麼辦?

當備份在勒索軟體攻擊中受到影響時,復原工作將變得更加複雜。糾正這種情況的方案包括:

✔  識別是否存在較早的未修改備份副本。

✔  利用異地或雲端不可變儲存。

✔  從乾淨的基線重建系統。

✔  利用法醫分析確定最後已知的良好狀態。

這凸顯了一個關鍵點:復原不僅僅是擁有備份,而是擁有可信賴的備份。

建構抵禦勒索軟體攻擊的備份策略

Acronis 的研究結果很明確:為了保護備份免受勒索軟體的攻擊,組織需要超越傳統的備份思維,採用以彈性為先的方法。為確保備份免受勒索軟體攻擊,MSP 和組織應投資於更先進的備份安全防護解決方案,例如:

  1. 整合安全性和備份:備份系統不應孤立運作。偵測、保護和復原必須協同工作。
  2. 自動化保護和恢復:手動流程在壓力下容易失效。自動化備份驗證和復原協調機制可以降低風險。
  3. 確保端對端可視性:安全團隊需要了解備份狀態、異常情況和潛在的入侵跡象。
  4. 針對攻擊場景進行設計:假設攻擊者會入侵備份系統,並據此設計對應的控制措施。

朝向綜合網路安全轉型

傳統架構最大的缺陷之一是碎片化。用於端點保護、備份和監控的獨立工具會造成安全盲點,攻擊者可利用這些盲點。更有效的方法是將這些功能整合到一個統一的平台中,該平台可以:

✔  在備份遭到破壞之前偵測到威脅。

✔  備份基礎設施的保護力度要與對生產系統的保護力度相同。

✔  確保恢復點保持完整併經過驗證。

✔  提供跨環境的集中式可視性。

備份失敗是因為它們暴露在外

備份在勒索軟體防禦中仍然發揮著至關重要的作用,但前提是備份的設計能夠抵禦主動攻擊。關鍵在於:備份失敗不是因為備份遺失,而是因為備份暴露。為了確保在現代威脅環境中實現恢復,組織必須以安全為核心重新思考備份架構,並採用不可變性、隔離性、監控和整合等措施。畢竟,你的備份只有能夠經得起攻擊的能力才算夠強大。

資料來源:https://www.bleepingcomputer.com/news/security/why-ransomware-attacks-succeed-even-when-backups-exist/
 
這篇文章深入分析了為何許多企業即便擁有備份系統,在面對勒索病毒攻擊時依然失敗。