book

学习勒索软件响应和恢复 (Chinese Edition)

Name: 学习勒索软件响应和恢复 (Chinese Edition)
ISBN: 0642572320577

by W. Curtis Preston, Michael Saylor

January 2026

Beginner to intermediate

522 pages

Chinese

O'Reilly Media, Inc.

Read now

Unlock full access

前言
本书缘起另辟蹊径援军驰援迈克的故事本书的组织结构本书采用的约定O'Reilly在线学习联系我们鸣谢（柯蒂斯）鸣谢（Mike）
I. 识别
1. 什么是勒索软件？
什么是勒索软件？勒索软件如何入侵？初始感染之后勒索软件如何规避检测加密与混淆多态性无文件恶意软件技术利用合法工具隐蔽的命令与控制通道延迟执行行为规避绕过终端安全防护反分析技术自毁与反取证技术勒索软件简史勒索软件的演变历程双重勒索了解攻击者：初始访问中介解析典型攻击流程侦察初始访问执行与安装范围扩展与数据收集勒索要求谈判与支付解密与恢复总结
2. 您的备份系统正遭受攻击
为何备份系统成为攻击目标？快速了解RTO与RPO威胁行为者对备份的又爱又恨威胁行为者如何禁用备份/灾难恢复系统备份系统作为攻击面我们为何陷入此境？磁盘备份加剧了问题前景似乎相当黯淡总结
II. 保护
3. 备份与恢复基础知识
备份还是灾难恢复？同一系统不同的流程定义备份系统需求贵组织采取了哪些措施？IT部门不决定需求需求与服务级别设计、实施并记录您的系统备份与恢复基础知识恢复测试数据去重备份级别指标项目级与映像级备份备份选择方法备份方法一切都是备份吗？两种恢复方式最终结论选择备份方法是否需要更换？考虑新备份系统的建议Cloud Considerations备份与归档的误区摘要
4. 阻止大多数勒索软件
基本要求持续更新补丁强制实施多因素认证或密钥认证实施严格的密码管理人员、流程与技术了解您的环境需记录的内容使资产清单可操作化流程：策略与程序配置策略与实施身份验证与加密策略补丁与漏洞管理技术：技术控制与监控系统强化电子邮件过滤检测与监控人员：构建人力防御体系员工培训测试与强化摘要
5. 缩小破坏范围
认识自我勒索软件事件应对准备终端安全：第一道防线部署终端检测与响应工具使用新一代反恶意软件解决方案终端强化措施的重要性网络安全：限制横向移动网络分段：控制影响范围防火墙与流量控制网络监控与行为分析DNS过滤网络漏洞评估访问控制与权限管理实施最小权限原则强制实施多因素身份验证数据保护策略数据分类与分段数据加密备份与恢复策略数据丢失防护数据库级保护影子副本和卷快照文件访问控制与监控虚拟化摘要
6. 做好战斗准备
基本要求：务必先做好这五件事与网络安全专家互动立即组建蓝队同时组建红队寻找网络保险承保商识别取证工具取证成像工具日志分析平台掌握工具使用备份系统安全防护消除备份变量基于角色的管理保护登录安全更新备份软件隔离所有备份基础设施关闭远程桌面协议锁定SMB安全备份存储使用直接存储连接（如Veeam的直接SAN访问）将备份存储于专用备份设备使用对象存储替代文件共享采用不可变存储加密所有备份静态数据加密传输中加密密钥管理全面监控：备份环境的实时监测制定灾难恢复计划完整热站点冷站点恢复Cloud恢复故障转移回退摘要
7. 制定事件响应计划
基本要求：制定IRP前的准备工作1. 获取高层支持2. 直接称呼姓名，而非职位头衔3. 模板现在就写——别等到危机时才写4. 提前签约服务人员，别等到需要时才找5. 了解可用工具（及获取途径）全球网络安全资源谁在为你保驾护航？免费框架与工具早期预警系统遭遇实际攻击时的应对措施如何实际运用这些工具核心要点设定目标与范围定义事件响应计划的目标事件响应计划涵盖哪些内容？成效衡量指标计划与业务优先级的匹配？组建事件响应团队厘清职责分工决策权归属？确保全天候覆盖交叉培训与备用方案与外部力量携手合作检测与初始响应流程初始检测与评估第一步行动隔离与证据保全流程取证证据保全沟通与协调程序通知、沟通与升级处理流程启动外部响应与支持恢复与调查程序数据恢复与修复：评估损害程度及恢复范围从备份中恢复数据系统重建与恢复勒索款支付决策评估解密方案（及可能涉及的人生抉择）取证调查与根本原因分析事件后审查与持续改进开展事后审查更新事件响应计划开展根本原因分析培训与意识更新测试与完善计划年度勒索软件桌面演练规划界定演练目标与宗旨选定参与人员情景开发演习实施实施勒索软件战争游戏建立战争游戏环境沙盒演练评估团队表现更新事件响应计划进度与成熟度追踪摘要

III. 检测
8. 检测工具
检测系统入门未被察觉的攻击数字令人震惊扩展检测与响应安全信息与事件管理核心功能典型SIEM部署XDR与SIEM对比检测工具集成人员整合集成要素利用备份检测勒索软件备份系统事件与异常利用备份系统的步骤记录一切并保护日志安全主环境日志备份环境日志日志存储位置托管服务提供商专业技术，无需招聘烦恼更快速的部署全天候监控调优与维护多客户智能灵活扩展合规支持优化MSP合作关系检测技术的未来总结
IV. 响应
9. 关键12小时
初始冲击：攻击发生后的最初几小时发现与恐慌紧急评估高压下的决策遏制困境赎金困境：法律地雷与空头承诺利益相关者冲突你成功应对了挑战实践练习总结案例研究回顾总结
10. 持久战
危机期间保障业务持续运行业务连续性的盲点ZapMart假日促销危机Change Healthcare的患者护理紧急事件玛丽亚面包店的客户服务挑战北锻造厂工程生产力危机业务连续性策略业务驱动的优先级排序运营降级与人工变通方案沟通：危机与客户间的桥梁收益与安全的权衡生存技巧实践：规划降级运营方案业务连续性的核心要义人员代价：压力、沟通与士气情绪过山车沟通中断维持士气突发变数：预案无法应对的挑战技术意外外部压力资源限制实战经验：如何挺过难关行之有效的方法何事失效构建韧性实践：反思与改进实践练习总结总结经验教训模板
11. 分析入侵事件
启动调查为何分析至关重要中小企业指导方案资源限制工具与可见性有限知识缺口工具复杂性预算限制准备不足行为分析沙箱技术沙盒技术的实际应用实用沙箱工具与技术高级沙箱技术考量有效沙箱的最佳实践识别勒索软件变种步骤1：检查勒索信步骤二：检查文件扩展名与系统痕迹步骤三：分析日志与网络流量步骤4：利用威胁情报源评估攻击范围步骤1：清点受感染系统步骤 2：检测横向移动步骤 3：确认数据外泄探索解密与修复方案步骤 1：检查公开解密工具步骤2：使用取证工具进行修复步骤 3：评估支付风险（最后手段）总结
12. 高级分析与取证
高级分析技术步骤 5：创建 YARA 规则（高级）步骤 6：监控暗网泄露站点扩展识别：勒索软件样本逆向工程逆向工程为何重要如何安全进行逆向工程扩展范围评估：Cloud专项分析Cloud范围界定为何重要如何定位Cloud端感染范围生存技巧扩展解密：与攻击者谈判谈判为何存在风险如何谈判（若必须进行）谈判的风险谈判最佳实践练习：制定谈判计划拓展高级分析：Volatility教程波动性教程波动率分析最佳实践波动率工作流程分析后报告构建报告报告范例执行摘要事件概述应对措施经验教训后续步骤与建议监管与利益相关方考量摘要
13. 遏制攻击
什么是控制与根除？遏制的重要性隔离与取证的两难抉择三种方法决策制定控制措施的实施起点对所有受感染虚拟机执行快照、暂停或中止操作步骤1：立即暂停虚拟机步骤2：将虚拟机文件复制至隔离取证存储步骤3：完整记录所有操作创建紧急响应脚本暂停与关机的区别测试挂起流程识别关键系统快速取证镜像即时隔离措施步骤 1：隔离受感染设备步骤二：禁用攻击向量步骤3：阻断外部通信步骤4：自动化隔离验证与监控取证磁盘保存最终关机决策拔掉电源总结
14. 根除威胁
清理、擦除或替换清理擦除更换决策重新安装操作系统清理数据磁盘摘要
V. 恢复
15. 恢复与重建
恢复目标恢复优先级排序为操作系统和应用程序选择恢复方法完整系统还原重新安装与重新配置重新映像为数据库选择恢复方法为SaaS应用选择恢复方法SaaS恢复挑战删除与恢复方法SaaS恢复时间预期应用程序特定考量选择文件系统的恢复方法感染前恢复，随后进行多次单独恢复精选恢复所有还原操作均使用沙盒区域扫描恶意软件恢复过程中的扫描恢复后扫描恢复操作系统和数据选择还原点功能测试监控网络活动恢复至Cloud为何选择Cloud恢复？规划Cloud恢复方案设置临时Cloud基础设施网络考量数据传输挑战故障转移与故障回退概念理解故障转移过渡期管理规划恢复流程测试故障恢复流程长期考量摘要
16. 事后分析
事后分析的重要性心理与组织层面的影响人为因素向员工传达事后分析结果记录事件经过需记录的关键要素文档编制工具记录的最佳实践召开事后分析会议步骤1：规划事后分析会议步骤二：构建复盘会议框架步骤三：引导开放讨论步骤四：会议记录法规与法律考量从错误中汲取教训常见错误有限资源下的改进优先级排序化失误为机遇调整事件响应计划需更新的关键组件关键监测领域实施监测工具定期审计与测试共享威胁情报提升长期韧性的建议事后分析案例研究洛伦兹攻击医疗数据泄露事件（2023年）总结
索引
关于作者

Content preview from 学习勒索软件响应和恢复 (Chinese Edition)

第三章备份与恢复基础

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

许多读者（尤其是主要从事网络安全领域的人士）可能对许多基础备份和灾难恢复概念并不熟悉。若您正是如此，本章正是为您而设！即使您认为自己已掌握基础知识，也建议继续阅读。您会惊讶于许多人对某些基础概念的误解。

本章仅涵盖备份与恢复的基础知识，不会深入探讨勒索软件相关概念。第六章将详细说明如何为勒索软件攻击做好备份系统准备。本章旨在确保您理解本书后续章节将使用的术语体系。

若想深入了解现代备份与恢复技术，推荐阅读《 现代数据保护》（O'Reilly出版社）。本书作者正是本人——W. Curtis Preston。我们还为此书建立了配套网站： StopRansomware.com。

备份还是灾难恢复？

许多从业者常将备份与灾难恢复系统视为完全独立的概念和系统。而我柯蒂斯并不认同这种观点。

同一系统

传统上人们将备份视为用于业务恢复的手段。例如有人误删文件，或数据库管理员意外删除数据库表。若RAID阵列损坏，备份或许还能用于恢复整台服务器。

但面对勒索软件攻击等重大灾难时，人们往往依赖完全独立的灾难恢复系统。这是因为传统备份系统通常无法满足企业对恢复速度的要求。因此关键业务数据通常采用基于复制技术的独立系统。然而现代基于磁盘和Cloud存储的备份恢复系统，已能实现自动化、极快的恢复速度——甚至可达即时恢复。

不同的流程

备份和恢复的概念相对简单易懂：文件被删除后，我们调用备份系统进行还原，流程并不复杂。而灾难恢复（DR）的核心在于流程。

灾难恢复远不止于实际恢复数据的系统。当我们谈论灾难恢复时，还涉及围绕备份系统构建的完整流程体系，以确保恢复环境的洁净性。这可能包括订购新系统，甚至可能需要迁移至新建筑（例如自然灾害后）。在遭遇勒索软件攻击时，流程还包括识别需要恢复的数据，并在实际执行恢复前对大量系统进行清理或替换。因此，尽管备份和灾难恢复可能由同一计算机系统执行，但它们属于不同的流程体系。

但由于备份与恢复系统属于灾难恢复体系的一部分，这意味着要构建完善的灾难恢复系统，必须精通基础备份与恢复概念。下面我们就来探讨这些概念。

案例研究：亚特兰大市竟无备份

亚特兰大的遭遇简直令人抓狂。想象一下：2018年3月，新任市长凯莎·博托姆斯上任仅五周，便遭遇 SamSam勒索软件的袭击，该病毒如疾驰的货运列车般撕裂了全市系统。

更令人抓狂的是：当时仅有两台过时的Windows服务器托管着104个市政应用程序。关键在于——这些系统竟未配置任何活跃备份机制。零备份。完全空白。房地产交易？冻结。电子邮件？消失。市政支付？中断。加密强度之高，连美国国家安全局都束手无策。

攻击者索要51,000美元比特币赎金。对大城市而言这不过是零花钱。但巴尔的摩拒绝支付——这确实是正确决策。问题在于：没有备份数据，系统恢复工作彻底陷入噩梦般的困境。

这里有个细节足以让所有IT从业者气得冒泡：在攻击发生前两个月，审计就发现了该市系统中存在1500至2000个漏洞。一千五百到两千个！而他们竟...置之不理。攻击者甚至无需高超手段：仅靠暴力破解就猜出了弱密码。

系统恢复耗时数月，最终损失高达近1800万美元。这一切只因他们使用弱密码，并无视了堆积如山的警告。

最令人震惊的是：实施此次攻击的两名伊朗黑客，早在2016年就曾袭击过好莱坞长老会医院。虽然他们最终在2018年11月被起诉，但亚特兰大的损失已成定局。

定义备份系统需求

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Kubernetes 认证管理员 (CKA) 学习指南 (Chinese Edition), 2nd Edition

Publisher Resources

ISBN: 0642572320577

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills