中了勒索病毒
以為忍痛交了贖金就完了����?
其實(shí),這只是冰山一角
據(jù)相關(guān)統(tǒng)計(jì)
遭遇勒索病毒導(dǎo)致的宕機(jī)�����、
業(yè)務(wù)停頓、遭遇訴訟��、聲譽(yù)受損等
其連帶損失將是贖金的23倍以上
糟糕的是���,今后還可能再次成為攻擊目標(biāo)
新冠病毒成了2020年非常大的黑天鵝�����,不僅打亂了世界的腳步�,還奪去眾多鮮活的生命�。然而,在人類世界遭遇新冠病毒肆虐之時(shí)�,IT世界的勒索病毒制造者們也沒停下貪婪的腳步,反而更加猖獗���。據(jù)相關(guān)統(tǒng)計(jì),新冠疫情嚴(yán)重的今年2-3月期間���,勒索病毒攻擊增長了40倍���。
據(jù)美國大型電信服務(wù)商Verizon公司的《Data Breach Investigations Report 2020》(該報(bào)告調(diào)查了涵蓋16個(gè)不同行業(yè)和四個(gè)世界地區(qū)組織���,分析了創(chuàng)紀(jì)錄的157525起信息安全事件)表明�����,有超過60%的網(wǎng)絡(luò)攻擊是以勒索金錢為動(dòng)機(jī)的�����,有接近60%的網(wǎng)絡(luò)攻擊是有組織的犯罪活動(dòng)����。
這些網(wǎng)絡(luò)攻擊除了來自組織外部的�,也有來自組織內(nèi)部的����,來自組織內(nèi)部的攻擊占比從2015年的約20%增長到2019年的約30%��。從互聯(lián)網(wǎng)上�,我們也看到國內(nèi)的企業(yè)��、政府��、醫(yī)院����、學(xué)校等組織遭遇勒索病毒攻擊的事件層出不窮�����。
勒索病毒本質(zhì)上是通過綁架用戶的文件(從機(jī)密信息到普通信息的一切內(nèi)容),從而以匿名方式取得贖金��。如果沒有做好相關(guān)的數(shù)據(jù)保護(hù)����,一旦遭遇勒索病毒攻擊,就只能通過支付贖金恢復(fù)數(shù)據(jù)訪問�。
支付的贖金數(shù)額,勒索者會(huì)視組織的支付能力不同而開價(jià)不同���。網(wǎng)絡(luò)犯罪分子在收到贖金后還不見得一定會(huì)履行承諾并提供密鑰�。如果勒索病毒代碼存有缺陷,那么即使組織擁有解密密鑰�,數(shù)據(jù)也可能永遠(yuǎn)無法恢復(fù)。文件解密后�����,也可能無法正常使用�。
據(jù)相關(guān)預(yù)測(cè),至2021年����,全球遭受勒索病毒攻擊的損失將高達(dá)200億美金。
備份數(shù)據(jù)是勒索病毒的重要目標(biāo)勒索病毒的目標(biāo)是贖金��,想讓用戶支付贖金���,就必須同時(shí)綁架用戶重要的生產(chǎn)數(shù)據(jù)和備份數(shù)據(jù)��。如果攻擊的是用戶無關(guān)緊要的系統(tǒng)����,用戶將可能不支付贖金����。如果攻擊的是用戶重要的生產(chǎn)系統(tǒng),但用戶的備份數(shù)據(jù)完好無損,通過備份數(shù)據(jù)仍可以恢復(fù)數(shù)據(jù)����,用戶也不會(huì)支付贖金����。
因此,為了讓用戶乖乖交出贖金����,備份數(shù)據(jù)也成了勒索病毒的重要攻擊目標(biāo)。
通用備份系統(tǒng)
為什么不能抵御勒索病毒攻擊
通用備份系統(tǒng)中的備份服務(wù)器索引目錄文件����、備份介質(zhì)服務(wù)器(或叫媒體服務(wù)器)所掛載的文件系統(tǒng),以及備份目標(biāo)(包括磁盤系統(tǒng)���、磁帶系統(tǒng)�、云等)����,都是勒索病毒的攻擊目標(biāo)。
其中����,備份服務(wù)器是容易受到攻擊的環(huán)節(jié)���,被攻擊后,備份索引目錄文件將遭到破壞�,即使有備份數(shù)據(jù),也無法恢復(fù)用戶數(shù)據(jù)�。介質(zhì)服務(wù)器是第二個(gè)容易受到攻擊的環(huán)節(jié),一旦遭到攻擊����,掛載在介質(zhì)服務(wù)上的文件、備份數(shù)據(jù)都可被破壞或擦除�����。
同時(shí)��,為了達(dá)到巨大破壞后勒索贖金��,勒索病毒通常會(huì)有一個(gè)潛伏期�����,潛伏期內(nèi)�,用戶很難發(fā)現(xiàn)系統(tǒng)已經(jīng)中勒索病毒��。磁帶�、普通磁盤���、備份一體機(jī)以及云等備份目標(biāo)在勒索病毒潛伏期內(nèi)都無法及時(shí)發(fā)現(xiàn)數(shù)據(jù)異常。
因此����,通用備份系統(tǒng)不能防止勒索病毒攻擊。
請(qǐng)記住���,并非所有防病毒軟件都可檢測(cè)每一類病毒或勒索病毒���。
勒索病毒通過不斷修改勒索病毒代碼以使自身不被檢測(cè)到。普通防御措施中���,組織的軟件(操作系統(tǒng)軟件�����、應(yīng)用軟件���、以及防病毒軟件)保持廠商推薦的新版本��,避免勒索病毒通過未修復(fù)的漏洞進(jìn)行攻擊�����。內(nèi)外網(wǎng)分開�,嚴(yán)格的防火墻策略���,嚴(yán)禁未經(jīng)授權(quán)的訪問等等�����。這些都是基本的防御措施��,可以在一定程度上防止勒索病毒攻擊���。
但請(qǐng)注意,對(duì)于有組織的��、內(nèi)外結(jié)合的且以勒索贖金為目的勒索病毒攻擊����,這些基本措施是很難完全有效的�!
國家保密局官網(wǎng)轉(zhuǎn)載了《保密科學(xué)技術(shù)》雜志2018年12月刊的文章���,文章中提到防范勒索病毒需要系統(tǒng)治理�,構(gòu)建多層防御��。特別指出了可參考美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布的旨在幫助遭受勒索病毒攻擊的企業(yè)恢復(fù)數(shù)據(jù)的專門指南���,構(gòu)建防御體系��。
在NIST網(wǎng)絡(luò)安全參考架構(gòu)中,包含了識(shí)別���、保護(hù)�、檢測(cè)�����、響應(yīng)和恢復(fù)等五個(gè)環(huán)節(jié)�,五個(gè)環(huán)節(jié)是一個(gè)整體,相輔相成�����,構(gòu)成一個(gè)多層次的防御體系。其中保護(hù)環(huán)節(jié)是容易被用戶疏忽的環(huán)節(jié)�����。如前面談到����,僅僅依靠通用的數(shù)據(jù)備份系統(tǒng)是無法防止勒索病毒攻擊的。
因此�����,保護(hù)是NIST架構(gòu)中非常重要的一環(huán)�,又是容易被用戶忽視的一環(huán)。只有保護(hù)有效��,才能在遭受勒索病毒攻擊后��,進(jìn)行有效的恢復(fù)�。NIST網(wǎng)絡(luò)安全參考架構(gòu)如下圖所示▼
什么樣的數(shù)據(jù)保護(hù)
能夠在病毒攻擊后恢復(fù)數(shù)據(jù)?
我們看到���,在NIST網(wǎng)絡(luò)安全參考架構(gòu)中�����,保護(hù)變成極為重要的一環(huán)���,如何才能有效保護(hù)數(shù)據(jù)呢�?基于數(shù)據(jù)保護(hù)的較佳實(shí)踐��,戴爾科技提出了建立備份��、容災(zāi)和Cyber Recovery多重?cái)?shù)據(jù)保護(hù)的較佳數(shù)據(jù)保護(hù)能力模型�����,即:
? 對(duì)所有業(yè)務(wù)相關(guān)的數(shù)據(jù)都要進(jìn)行本地備份���,做到基本的保護(hù)。
? 對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)�,除了本地備份外,還要做到異地容災(zāi)��,防止站點(diǎn)級(jí)別的災(zāi)難���。
? 對(duì)于至關(guān)重要的數(shù)據(jù)�����,除了建立本地備份和異地容災(zāi)外��,還需要建立防止勒索病毒的Cyber Recovery Vault數(shù)據(jù)避風(fēng)港�,防止數(shù)據(jù)被勒索病毒綁架后,需要付出巨大代價(jià)恢復(fù)數(shù)據(jù)�。
怎樣建立完善的Cyber
Recovery Vault數(shù)據(jù)避風(fēng)港����?
組織要建立完善的Cyber Recovery Vault數(shù)據(jù)避風(fēng)港,可以遵循以下幾個(gè)步驟:
初步:優(yōu)化已有的備份系統(tǒng),包括:
? 優(yōu)化備份系統(tǒng)的第 一招����,叫“離”����,即備份服務(wù)器盡量遠(yuǎn)離容易受勒索病毒攻擊的平臺(tái)����,具體措施包括選擇不容易受勒索病毒感染的操作系統(tǒng),及時(shí)修復(fù)軟件漏洞,保持較新的操作系統(tǒng)補(bǔ)丁等。同時(shí)�����,備份索引必須在備份作業(yè)完成后自動(dòng)備份到備份設(shè)備���。防止備份服務(wù)器被勒索病毒綁架后�,備份索引丟失而無法恢復(fù)數(shù)據(jù)�。
? 優(yōu)化備份系統(tǒng)的第二招��,叫“舍”�����,即備份過程必須通過重復(fù)數(shù)據(jù)刪除技術(shù)�,舍去大量重復(fù)數(shù)據(jù)�����,提高備份效率����,確保較高效的方式快速完成備份�����,以便為接下來將備份數(shù)據(jù)復(fù)制到Cyber Recovery Vault數(shù)據(jù)避風(fēng)港做好準(zhǔn)備�����。
? 優(yōu)化備份系統(tǒng)的第三招���,叫“斷”,即斷開備份主機(jī)與備份儲(chǔ)存的直接聯(lián)系����,較大程度地避免備份主機(jī)及備份數(shù)據(jù)同時(shí)被勒索病毒感染。這里的“斷”����,指的是只能通過專用協(xié)議才能訪問,不能通過NFS�、CIFS、ISCSI/FC等通用協(xié)議直接讀寫�,通過專用的協(xié)議,可做到傳輸加密�,備份數(shù)據(jù)加鎖等功能。
第二步:建立Cyber Recovery Vault數(shù)據(jù)避風(fēng)港�,包括:
? 在上一步優(yōu)化備份系統(tǒng)的的基礎(chǔ)上,將數(shù)據(jù)快速復(fù)制到Cyber Recovery Vault數(shù)據(jù)避風(fēng)港���,同時(shí)利用Air Gap技術(shù)設(shè)置自動(dòng)的網(wǎng)絡(luò)彈性隔離�,通過Air Gap技術(shù),使得數(shù)據(jù)中心與Cyber Recovery Vault數(shù)據(jù)避風(fēng)港之間的連接只有在數(shù)據(jù)復(fù)制期間連通���,其他時(shí)間網(wǎng)絡(luò)自動(dòng)斷開��,且所有的網(wǎng)絡(luò)訪問都是從Cyber Recovery Vault數(shù)據(jù)避風(fēng)港單向發(fā)起訪問,較大限度地減少網(wǎng)絡(luò)攻擊入侵Cyber Recovery Vault數(shù)據(jù)避風(fēng)港的風(fēng)險(xiǎn)�����。
? 數(shù)據(jù)復(fù)制到Cyber Recovery Vault數(shù)據(jù)避風(fēng)港后�,對(duì)數(shù)據(jù)進(jìn)行快照拷貝,并鎖定數(shù)據(jù)��,在鎖定期間�����,不容許篡改��!這一招可簡單稱為“鎖”����。
? 數(shù)據(jù)鎖定后�,還需要對(duì)數(shù)據(jù)進(jìn)行掃描�,通過AI/機(jī)器學(xué)習(xí)等算法,偵測(cè)數(shù)據(jù)是否完整�����,是否被破壞或者加密�,形成分析報(bào)告。這一招可簡單稱為“偵”�����。
Cyber Recovery Vault數(shù)據(jù)避風(fēng)港架構(gòu)示意圖如下所示▼
通過以上兩個(gè)步驟���,可以說已經(jīng)建立起了比較完善的Cyber Recovery數(shù)據(jù)避風(fēng)港�����?;谇懊嫣岬降妮^佳數(shù)據(jù)保護(hù)能力模型�����,戴爾科技集團(tuán)建議企業(yè)級(jí)用戶建立覆蓋備份、容災(zāi)���、Cyber Recovery全方位的數(shù)據(jù)保護(hù)�。通過戴爾科技集團(tuán)業(yè)界領(lǐng)先的數(shù)據(jù)保護(hù)套件DPS suites和專用備份設(shè)備PowerProtect DD或者備份一體機(jī)IDPA進(jìn)行構(gòu)建�����。
下圖顯示了戴爾科技集團(tuán)全面數(shù)據(jù)保護(hù)解決方案體系結(jié)構(gòu)概覽�����。這個(gè)體系完美契合前面所討論的較佳數(shù)據(jù)保護(hù)能力模型���,亦具備“斷”、“舍”�����、“離”����、“鎖”、“偵”等特點(diǎn)���,完全符合NIST網(wǎng)絡(luò)安全架構(gòu)的較佳實(shí)踐��,可幫助企業(yè)級(jí)客戶有效抵御勒索病毒攻擊���、內(nèi)部惡意刪除����、數(shù)據(jù)中心災(zāi)難等���,為企業(yè)的發(fā)展保駕護(hù)航��。
與其“亡羊補(bǔ)牢”��,不如“未雨綢繆”����,面對(duì)來勢(shì)洶洶的勒索病毒�,組織只有建立更完備的數(shù)據(jù)安全策略,拋棄一切遭遇不可能發(fā)生在自己身上的幻想�,腳踏實(shí)地做好數(shù)據(jù)保護(hù),遵循較佳數(shù)據(jù)保護(hù)能力模型��,建立起備份+容災(zāi)+Cyber Recovery的多重?cái)?shù)據(jù)保護(hù)系統(tǒng)��,才能在防不勝防的風(fēng)險(xiǎn)中確保組織的數(shù)據(jù)安全。
