【全球存儲(chǔ)觀察 | 新聞速遞】勒索病毒攻擊頻繁,企業(yè)每11秒遭受一次勒索軟件攻擊,2021年3月,美國(guó)最大的保險(xiǎn)公司之一CNA遭到勒索軟件攻擊后支付了4000萬(wàn)美元,約合人民幣2．57億元的贖金,成為迄今為止已經(jīng)支付的數(shù)額最大贖金。

然而,這只是“冰山一角”,因?yàn)槔账鞑《驹斐傻娜�球損失,到目前已經(jīng)高達(dá)1290億元。

有分析機(jī)構(gòu)統(tǒng)計(jì)發(fā)現(xiàn),已有60%的組織受到過(guò)攻擊。如此說(shuō)來(lái),構(gòu)建企業(yè)有效防御勒索病毒攻擊的“神盾”,勢(shì)在必行。

“神盾握在手!”

“勒索靠邊走!”

有矛就有盾,

如何提升對(duì)“矛”的認(rèn)知?

在構(gòu)建有效防御勒索病毒攻擊的“神盾”之前,需要了解其攻擊方式,認(rèn)清“矛”的特點(diǎn)。

首先需要對(duì)勒索病毒的認(rèn)知有所提升,當(dāng)前來(lái)看,勒索病毒不僅針對(duì) Windows系統(tǒng),也針對(duì)Linux、VMware、Mac、安卓系統(tǒng)。

不僅針對(duì)個(gè)人電腦,也針對(duì)服務(wù)器、應(yīng)用系統(tǒng)、NAS,以及工業(yè)互聯(lián)網(wǎng)、移動(dòng)設(shè)備等。

不僅針對(duì)企業(yè)系統(tǒng),也針對(duì)政府、醫(yī)療、教育、能源、金融等重要行業(yè)領(lǐng)域。騰訊發(fā)布2021上半年勒索病毒趨勢(shì)報(bào)告數(shù)據(jù)顯示,各行業(yè)幾乎都遭到了勒索病毒攻擊,醫(yī)療行業(yè)以占比 18% ,成為勒索病毒攻擊的重災(zāi)區(qū)之一�？梢�(jiàn),眾多行業(yè)領(lǐng)域用戶構(gòu)建勒索病毒防御體系更是勢(shì)在必行。

從已經(jīng)發(fā)生的勒索病毒攻擊事件來(lái)分析其攻擊行為與攻擊方式看,勒索病毒攻擊行為針對(duì)桌面數(shù)據(jù)主要包括了網(wǎng)頁(yè)掛馬、IE瀏覽器漏洞利用、文件共享、捆綁木馬病毒和釣魚(yú)郵件攻擊;針對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)主要包括了文件共享、漏洞攻擊、篡改第三方程序和黑客入侵攻擊。從實(shí)際情況來(lái)看,桌面數(shù)據(jù)比業(yè)務(wù)系統(tǒng)數(shù)據(jù)更易受到勒索病毒攻擊。

勒索病毒攻擊原理主要分為兩個(gè)方式,一是,贖金換秘鑰的勒索。黑客利用勒索病毒發(fā)起攻擊,針對(duì)企業(yè)的桌面數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行惡意加密,然后企業(yè)必須支付贖金,才能獲得秘鑰對(duì)加密數(shù)據(jù)進(jìn)行恢復(fù)。

二是,不付贖金就公開(kāi)企業(yè)機(jī)密數(shù)據(jù)的勒索。黑客利用勒索病毒發(fā)起攻擊,竊取企業(yè)的桌面數(shù)據(jù)包括明文文檔,回傳機(jī)密數(shù)據(jù)到惡意代碼服務(wù)器,然后威脅企業(yè)必須支付贖金,否則公開(kāi)機(jī)密數(shù)據(jù),造成企業(yè)不可估量的損失和行業(yè)負(fù)面影響。

針對(duì)這些勒索病毒的頻繁攻擊,許多企業(yè)想到了一些常見(jiàn)的防御手段。比如安裝殺毒軟件,并保持病毒庫(kù)更新。定期開(kāi)展漏洞掃描,和風(fēng)險(xiǎn)評(píng)估。及時(shí)更新操作系統(tǒng),和應(yīng)用系統(tǒng)。禁用U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備。避免對(duì)外網(wǎng)映射RDP服務(wù),關(guān)閉網(wǎng)絡(luò)文件共享。這些防御手段雖好,然而世界上沒(méi)有絕對(duì)的安全,任何防御手段都有可能失效。

要知道,勒索病毒攻擊愈發(fā)“猖狂”,就連企業(yè)用戶的備份數(shù)據(jù)也成了攻擊目標(biāo),這意味著企業(yè)數(shù)據(jù)保護(hù)的最后一道“馬奇諾防線”面臨崩潰。對(duì)“矛”的認(rèn)知可算提高了,但這可如何對(duì)策才好呢?

愛(ài)數(shù)重磅發(fā)布2+2+1防勒索病毒整體解決方案,構(gòu)筑堅(jiān)固防線

無(wú)論針對(duì)桌面數(shù)據(jù),還是針對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù),任何一道防線的失守,都將導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)被加密或被盜竊,甚至帶來(lái)企業(yè)的業(yè)務(wù)停頓與崩潰等不可估量的后果。

就此,需要從桌面數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)兩道防線雙管齊下,構(gòu)建全面的防護(hù)體系。

基于對(duì)企業(yè)數(shù)據(jù)生命周期管理與保護(hù)的十年專注積累,愛(ài)數(shù)特別推出2+2+1防勒索病毒整體解決方案,其目的就是利用不可變存儲(chǔ)技術(shù)幫助企業(yè)用戶在防御勒索病毒上實(shí)現(xiàn)備份數(shù)據(jù)副本不可篡改。與此同時(shí),實(shí)現(xiàn)桌面數(shù)據(jù)不泄露,實(shí)現(xiàn)數(shù)據(jù)快速恢復(fù),最終構(gòu)建起企業(yè)有效防御勒索病毒的“神盾”。

五道“防毒神盾”,

如何構(gòu)建桌面數(shù)據(jù)防護(hù)戰(zhàn)線?

針對(duì)桌面數(shù)據(jù)的勒索病毒防護(hù)戰(zhàn)線方面,愛(ài)數(shù)防勒索病毒解決方案擁有五道“神盾”。

“神盾”一,上傳限制,阻斷勒索病毒在企業(yè)網(wǎng)絡(luò)傳播。

對(duì)于傳統(tǒng)基于NAS、FTP等協(xié)議而言,其缺乏上傳限制及殺毒能力文件共享,容易被黑客利用做共享傳播。然而,AnyShare就完全不同了,通過(guò)文件格式限制及服務(wù)端殺毒,AnyShare可以阻斷被勒索病毒篡改的文件及病毒程序的傳播途徑,從而構(gòu)建了一道針對(duì)勒索病毒攻擊的“神盾”。

“神盾”二,桌面數(shù)據(jù)防篡改,阻止勒索病毒攻擊。

AnyShare擁有備受對(duì)象存儲(chǔ)用戶關(guān)注的文檔WORM特性,允許用戶以“不可刪除、不可篡改”方式保存和使用數(shù)據(jù)。這個(gè)特性正好為防御勒索病毒攻擊帶來(lái)了很強(qiáng)的“免疫力”。當(dāng)勒索病毒嘗試刪除或篡改受保護(hù)用戶桌面數(shù)據(jù)時(shí),只有受攻擊的桌面數(shù)據(jù)副本會(huì)受到影響,服務(wù)端的數(shù)據(jù)將不受影響,從而構(gòu)建了又一道針對(duì)勒索病毒攻擊的“神盾”。

“神盾”三,桌面數(shù)據(jù)加密,無(wú)懼公開(kāi)威脅。

從服務(wù)端緩存到用戶桌面,通過(guò)本地DLP數(shù)據(jù)泄密防護(hù)(Data leakage prevention)客戶端對(duì)明文數(shù)據(jù)進(jìn)行加密,即便遭遇黑客回傳也不懼敏感數(shù)據(jù)公開(kāi)。此外,針對(duì)加密副文檔,也可以通過(guò)服務(wù)端直接下載加密后的“加密副文檔”,即使桌面未及時(shí)安裝DLP客戶端,也同樣可以實(shí)現(xiàn)對(duì)桌面數(shù)據(jù)的加密保護(hù)。針對(duì)桌面數(shù)據(jù)進(jìn)行加密保護(hù),從而構(gòu)建了又一道針對(duì)勒索病毒攻擊的“神盾”。

“神盾”四,勒索行為實(shí)時(shí)告警與阻斷。

AnyRobot配合AnyShare,不僅可以實(shí)現(xiàn)操作日志的實(shí)時(shí)接入,同時(shí)實(shí)時(shí)檢測(cè)和識(shí)別勒索病毒行為,及時(shí)告警通知用戶,并第一時(shí)間阻斷勒索行為,從而又構(gòu)建了一道針對(duì)勒索病毒攻擊的“神盾”。

“神盾”五,桌面數(shù)據(jù)刪除還原,無(wú)懼?jǐn)?shù)據(jù)丟失。

借助AnyShare的系統(tǒng)回收站功能,當(dāng)企業(yè)遭遇勒索病毒攻擊并大量刪除本地文件時(shí),可以通過(guò)AnyShare二級(jí)回收站對(duì)所有被刪除的文件進(jìn)行還原。與此同時(shí),AnyShare也有追溯歷史版本的功能,被勒索病毒篡改的文檔,可以通過(guò)歷史版本進(jìn)行還原。另外再借助AnyRobot可觀測(cè)性功能,通過(guò)AnyRobot可觀測(cè)性對(duì)行為日志進(jìn)行分析,確認(rèn)勒索病毒攻擊行為最初發(fā)生的時(shí)間點(diǎn),以便快速恢復(fù)業(yè)務(wù)。這三個(gè)有效手段的結(jié)合,有助于桌面數(shù)據(jù)刪除還原,從而又構(gòu)建了一道針對(duì)勒索病毒攻擊的“神盾”。

在五道“神盾”層層疊疊的防護(hù)之下,企業(yè)的桌面數(shù)據(jù)自然不懼黑客利用勒索病毒對(duì)其攻擊,以及進(jìn)行數(shù)據(jù)篡改、加密或泄露。

備份數(shù)據(jù)“防篡改”,

超強(qiáng)“神盾”夯實(shí)業(yè)務(wù)數(shù)據(jù)防護(hù)戰(zhàn)線

針對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的勒索病毒防護(hù)戰(zhàn)線方面,愛(ài)數(shù)防勒索病毒解決方案擁有超強(qiáng)“神盾”。

一般情況下,企業(yè)的業(yè)務(wù)系統(tǒng)遭受勒索病毒的攻擊,除了數(shù)據(jù)備份之外,數(shù)據(jù)恢復(fù)便成為了業(yè)務(wù)系統(tǒng)抵御勒索病毒攻擊的最后一道防線。

既然要實(shí)現(xiàn)有效的數(shù)據(jù)快速恢復(fù),那么必然需要考慮恢復(fù)的數(shù)據(jù)本身要有效,不能被黑客篡改。AnyBackup具有最小的RPO和RTO特點(diǎn),擁有備份數(shù)據(jù)的防篡改能力。這里值得一提的黑科技就是不可變存儲(chǔ),實(shí)現(xiàn)了存儲(chǔ)進(jìn)程內(nèi)核級(jí)認(rèn)證,有效攔截非認(rèn)證進(jìn)程的讀寫(xiě)I/O,并且還是系統(tǒng)內(nèi)核攔截,黑客無(wú)法繞行。同時(shí)該功能實(shí)現(xiàn)過(guò)程中的性能損耗僅在1%以內(nèi)�？梢�(jiàn),不可變存儲(chǔ)技術(shù)非常有助于企業(yè)實(shí)現(xiàn)備份數(shù)據(jù)的防篡改能力。

同時(shí)AnyBackup還為用戶提供全棧數(shù)據(jù)的勒索病毒防護(hù)能力,以及支持遠(yuǎn)程復(fù)制、數(shù)據(jù)上云、歸檔的能力。AnyBackup構(gòu)建的高性能備份恢復(fù)框架,為用戶實(shí)現(xiàn)分鐘級(jí)掛載恢復(fù)。從而,這些能力的結(jié)合,為企業(yè)又構(gòu)建了一道針對(duì)勒索病毒攻擊的超強(qiáng)“神盾”。

在面向AnyShare和VMware被勒索病毒攻擊場(chǎng)景中,愛(ài)數(shù)構(gòu)建的這道超強(qiáng)“神盾”,可以幫助企業(yè)有效防護(hù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)遭受勒索病毒的攻擊與破壞。

在面向AnyShare防勒索病毒場(chǎng)景下,AnyBackup對(duì)AnyShare發(fā)起應(yīng)用級(jí)的數(shù)據(jù)備份能力,其中包含對(duì)象存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)(數(shù)據(jù)庫(kù))、OSS網(wǎng)關(guān)的元數(shù)據(jù)(NOSQL) 。當(dāng)Anyshare遭遇勒索病毒感染,AnyBackup可將之前備份的AnyShare對(duì)象存儲(chǔ)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、OSS網(wǎng)關(guān)的元數(shù)據(jù)恢復(fù)回去,并高效完成。

在面向VMware防勒索病毒場(chǎng)景下,當(dāng)前服務(wù)器虛擬化與云計(jì)算普及,VMware場(chǎng)景是廣大企業(yè)用戶比較普遍的存在。黑客通過(guò)VMware遠(yuǎn)程漏洞進(jìn)行攻擊,將虛擬磁盤(pán)以及虛擬機(jī)的相關(guān)配置文件加密,虛擬機(jī)因此無(wú)法啟動(dòng),導(dǎo)致業(yè)務(wù)宕機(jī)。

為此,AnyBackup可以對(duì)VMware場(chǎng)景下的虛擬機(jī)備份,并保留虛擬機(jī)源生配置信息和虛擬磁盤(pán)數(shù)據(jù),每次備份完成后,都會(huì)產(chǎn)生快照。

當(dāng)VMware平臺(tái)遭遇勒索病毒感染,AnyBackup可將備份數(shù)據(jù)掛載至VMware平臺(tái),并注冊(cè)虛擬機(jī), 以達(dá)到快速恢復(fù)業(yè)務(wù)效果。

小結(jié):雙管齊下,無(wú)懼勒索

當(dāng)然,任何一種解決方案要行之有效,實(shí)現(xiàn)真正的落地,還需要注意一些細(xì)節(jié)。為此,愛(ài)數(shù)給出了三大建議。

一是,嚴(yán)格執(zhí)行3-2-1備份原則,即存儲(chǔ)3份完整文件,一份原件加上兩份拷貝;在2種不同的介質(zhì)上存儲(chǔ);將1份拷貝保存在異地。

二是,制定應(yīng)急響應(yīng)機(jī)制,開(kāi)展災(zāi)難恢復(fù)演練。

三是,定期檢查和更新防勒索病毒方案,讓方案保持攻防的有效性。

在針對(duì)勒索病毒這場(chǎng)曠日持久的攻防戰(zhàn)中,眾多的企業(yè)用戶不僅需要借助愛(ài)數(shù)領(lǐng)先的“2+2+1”防勒索病毒整體解決方案保護(hù)自己,聚焦桌面數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)兩道防線“雙管齊下”,構(gòu)建企業(yè)高效的“防毒神盾”。同時(shí),也需要不斷提升防范意識(shí),形成完善的防御體系與機(jī)制,真正實(shí)現(xiàn)“備享安全,無(wú)懼勒索”。

【全球存儲(chǔ)觀察】本文和作者回復(fù)僅代表個(gè)人觀點(diǎn),不構(gòu)成任何投資建議。

【阿明】:科技評(píng)論專欄作家、科技媒體從業(yè)24年、新聞評(píng)論年產(chǎn)出上百萬(wàn)字,用數(shù)據(jù)說(shuō)話,帶你看懂科技公司。

技評(píng)論專欄作家、科技媒體從業(yè)24年、新聞評(píng)論年產(chǎn)出上百萬(wàn)字,用數(shù)據(jù)說(shuō)話,帶你看懂科技公司