【全球存儲觀察 | 新聞速遞】勒索病毒攻擊頻繁,企業(yè)每11秒遭受一次勒索軟件攻擊,2021年3月,美國最大的保險(xiǎn)公司之一CNA遭到勒索軟件攻擊后支付了4000萬美元,約合人民幣2．57億元的贖金,成為迄今為止已經(jīng)支付的數(shù)額最大贖金。

然而,這只是“冰山一角”,因?yàn)槔账鞑《驹斐傻娜�球損失,到目前已經(jīng)高達(dá)1290億元。

有分析機(jī)構(gòu)統(tǒng)計(jì)發(fā)現(xiàn),已有60%的組織受到過攻擊。如此說來,構(gòu)建企業(yè)有效防御勒索病毒攻擊的“神盾”,勢在必行。

“神盾握在手!”

“勒索靠邊走!”

有矛就有盾,

如何提升對“矛”的認(rèn)知?

在構(gòu)建有效防御勒索病毒攻擊的“神盾”之前,需要了解其攻擊方式,認(rèn)清“矛”的特點(diǎn)。

首先需要對勒索病毒的認(rèn)知有所提升,當(dāng)前來看,勒索病毒不僅針對 Windows系統(tǒng),也針對Linux、VMware、Mac、安卓系統(tǒng)。

不僅針對個(gè)人電腦,也針對服務(wù)器、應(yīng)用系統(tǒng)、NAS,以及工業(yè)互聯(lián)網(wǎng)、移動設(shè)備等。

不僅針對企業(yè)系統(tǒng),也針對政府、醫(yī)療、教育、能源、金融等重要行業(yè)領(lǐng)域。騰訊發(fā)布2021上半年勒索病毒趨勢報(bào)告數(shù)據(jù)顯示,各行業(yè)幾乎都遭到了勒索病毒攻擊,醫(yī)療行業(yè)以占比 18% ,成為勒索病毒攻擊的重災(zāi)區(qū)之一。可見,眾多行業(yè)領(lǐng)域用戶構(gòu)建勒索病毒防御體系更是勢在必行。

從已經(jīng)發(fā)生的勒索病毒攻擊事件來分析其攻擊行為與攻擊方式看,勒索病毒攻擊行為針對桌面數(shù)據(jù)主要包括了網(wǎng)頁掛馬、IE瀏覽器漏洞利用、文件共享、捆綁木馬病毒和釣魚郵件攻擊;針對業(yè)務(wù)系統(tǒng)數(shù)據(jù)主要包括了文件共享、漏洞攻擊、篡改第三方程序和黑客入侵攻擊。從實(shí)際情況來看,桌面數(shù)據(jù)比業(yè)務(wù)系統(tǒng)數(shù)據(jù)更易受到勒索病毒攻擊。

勒索病毒攻擊原理主要分為兩個(gè)方式,一是,贖金換秘鑰的勒索。黑客利用勒索病毒發(fā)起攻擊,針對企業(yè)的桌面數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行惡意加密,然后企業(yè)必須支付贖金,才能獲得秘鑰對加密數(shù)據(jù)進(jìn)行恢復(fù)。

二是,不付贖金就公開企業(yè)機(jī)密數(shù)據(jù)的勒索。黑客利用勒索病毒發(fā)起攻擊,竊取企業(yè)的桌面數(shù)據(jù)包括明文文檔,回傳機(jī)密數(shù)據(jù)到惡意代碼服務(wù)器,然后威脅企業(yè)必須支付贖金,否則公開機(jī)密數(shù)據(jù),造成企業(yè)不可估量的損失和行業(yè)負(fù)面影響。

針對這些勒索病毒的頻繁攻擊,許多企業(yè)想到了一些常見的防御手段。比如安裝殺毒軟件,并保持病毒庫更新。定期開展漏洞掃描,和風(fēng)險(xiǎn)評估。及時(shí)更新操作系統(tǒng),和應(yīng)用系統(tǒng)。禁用U盤、移動硬盤等移動存儲設(shè)備。避免對外網(wǎng)映射RDP服務(wù),關(guān)閉網(wǎng)絡(luò)文件共享。這些防御手段雖好,然而世界上沒有絕對的安全,任何防御手段都有可能失效。

要知道,勒索病毒攻擊愈發(fā)“猖狂”,就連企業(yè)用戶的備份數(shù)據(jù)也成了攻擊目標(biāo),這意味著企業(yè)數(shù)據(jù)保護(hù)的最后一道“馬奇諾防線”面臨崩潰。對“矛”的認(rèn)知可算提高了,但這可如何對策才好呢?

愛數(shù)重磅發(fā)布2+2+1防勒索病毒整體解決方案,構(gòu)筑堅(jiān)固防線

無論針對桌面數(shù)據(jù),還是針對業(yè)務(wù)系統(tǒng)數(shù)據(jù),任何一道防線的失守,都將導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)被加密或被盜竊,甚至帶來企業(yè)的業(yè)務(wù)停頓與崩潰等不可估量的后果。

就此,需要從桌面數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)兩道防線雙管齊下,構(gòu)建全面的防護(hù)體系。

基于對企業(yè)數(shù)據(jù)生命周期管理與保護(hù)的十年專注積累,愛數(shù)特別推出2+2+1防勒索病毒整體解決方案,其目的就是利用不可變存儲技術(shù)幫助企業(yè)用戶在防御勒索病毒上實(shí)現(xiàn)備份數(shù)據(jù)副本不可篡改。與此同時(shí),實(shí)現(xiàn)桌面數(shù)據(jù)不泄露,實(shí)現(xiàn)數(shù)據(jù)快速恢復(fù),最終構(gòu)建起企業(yè)有效防御勒索病毒的“神盾”。

五道“防毒神盾”,

如何構(gòu)建桌面數(shù)據(jù)防護(hù)戰(zhàn)線?

針對桌面數(shù)據(jù)的勒索病毒防護(hù)戰(zhàn)線方面,愛數(shù)防勒索病毒解決方案擁有五道“神盾”。

“神盾”一,上傳限制,阻斷勒索病毒在企業(yè)網(wǎng)絡(luò)傳播。

對于傳統(tǒng)基于NAS、FTP等協(xié)議而言,其缺乏上傳限制及殺毒能力文件共享,容易被黑客利用做共享傳播。然而,AnyShare就完全不同了,通過文件格式限制及服務(wù)端殺毒,AnyShare可以阻斷被勒索病毒篡改的文件及病毒程序的傳播途徑,從而構(gòu)建了一道針對勒索病毒攻擊的“神盾”。

“神盾”二,桌面數(shù)據(jù)防篡改,阻止勒索病毒攻擊。

AnyShare擁有備受對象存儲用戶關(guān)注的文檔WORM特性,允許用戶以“不可刪除、不可篡改”方式保存和使用數(shù)據(jù)。這個(gè)特性正好為防御勒索病毒攻擊帶來了很強(qiáng)的“免疫力”。當(dāng)勒索病毒嘗試刪除或篡改受保護(hù)用戶桌面數(shù)據(jù)時(shí),只有受攻擊的桌面數(shù)據(jù)副本會受到影響,服務(wù)端的數(shù)據(jù)將不受影響,從而構(gòu)建了又一道針對勒索病毒攻擊的“神盾”。

“神盾”三,桌面數(shù)據(jù)加密,無懼公開威脅。

從服務(wù)端緩存到用戶桌面,通過本地DLP數(shù)據(jù)泄密防護(hù)(Data leakage prevention)客戶端對明文數(shù)據(jù)進(jìn)行加密,即便遭遇黑客回傳也不懼敏感數(shù)據(jù)公開。此外,針對加密副文檔,也可以通過服務(wù)端直接下載加密后的“加密副文檔”,即使桌面未及時(shí)安裝DLP客戶端,也同樣可以實(shí)現(xiàn)對桌面數(shù)據(jù)的加密保護(hù)。針對桌面數(shù)據(jù)進(jìn)行加密保護(hù),從而構(gòu)建了又一道針對勒索病毒攻擊的“神盾”。

“神盾”四,勒索行為實(shí)時(shí)告警與阻斷。

AnyRobot配合AnyShare,不僅可以實(shí)現(xiàn)操作日志的實(shí)時(shí)接入,同時(shí)實(shí)時(shí)檢測和識別勒索病毒行為,及時(shí)告警通知用戶,并第一時(shí)間阻斷勒索行為,從而又構(gòu)建了一道針對勒索病毒攻擊的“神盾”。

“神盾”五,桌面數(shù)據(jù)刪除還原,無懼?jǐn)?shù)據(jù)丟失。

借助AnyShare的系統(tǒng)回收站功能,當(dāng)企業(yè)遭遇勒索病毒攻擊并大量刪除本地文件時(shí),可以通過AnyShare二級回收站對所有被刪除的文件進(jìn)行還原。與此同時(shí),AnyShare也有追溯歷史版本的功能,被勒索病毒篡改的文檔,可以通過歷史版本進(jìn)行還原。另外再借助AnyRobot可觀測性功能,通過AnyRobot可觀測性對行為日志進(jìn)行分析,確認(rèn)勒索病毒攻擊行為最初發(fā)生的時(shí)間點(diǎn),以便快速恢復(fù)業(yè)務(wù)。這三個(gè)有效手段的結(jié)合,有助于桌面數(shù)據(jù)刪除還原,從而又構(gòu)建了一道針對勒索病毒攻擊的“神盾”。

在五道“神盾”層層疊疊的防護(hù)之下,企業(yè)的桌面數(shù)據(jù)自然不懼黑客利用勒索病毒對其攻擊,以及進(jìn)行數(shù)據(jù)篡改、加密或泄露。

備份數(shù)據(jù)“防篡改”,

超強(qiáng)“神盾”夯實(shí)業(yè)務(wù)數(shù)據(jù)防護(hù)戰(zhàn)線

針對業(yè)務(wù)系統(tǒng)數(shù)據(jù)的勒索病毒防護(hù)戰(zhàn)線方面,愛數(shù)防勒索病毒解決方案擁有超強(qiáng)“神盾”。

一般情況下,企業(yè)的業(yè)務(wù)系統(tǒng)遭受勒索病毒的攻擊,除了數(shù)據(jù)備份之外,數(shù)據(jù)恢復(fù)便成為了業(yè)務(wù)系統(tǒng)抵御勒索病毒攻擊的最后一道防線。

既然要實(shí)現(xiàn)有效的數(shù)據(jù)快速恢復(fù),那么必然需要考慮恢復(fù)的數(shù)據(jù)本身要有效,不能被黑客篡改。AnyBackup具有最小的RPO和RTO特點(diǎn),擁有備份數(shù)據(jù)的防篡改能力。這里值得一提的黑科技就是不可變存儲,實(shí)現(xiàn)了存儲進(jìn)程內(nèi)核級認(rèn)證,有效攔截非認(rèn)證進(jìn)程的讀寫I/O,并且還是系統(tǒng)內(nèi)核攔截,黑客無法繞行。同時(shí)該功能實(shí)現(xiàn)過程中的性能損耗僅在1%以內(nèi)�？梢�,不可變存儲技術(shù)非常有助于企業(yè)實(shí)現(xiàn)備份數(shù)據(jù)的防篡改能力。

同時(shí)AnyBackup還為用戶提供全棧數(shù)據(jù)的勒索病毒防護(hù)能力,以及支持遠(yuǎn)程復(fù)制、數(shù)據(jù)上云、歸檔的能力。AnyBackup構(gòu)建的高性能備份恢復(fù)框架,為用戶實(shí)現(xiàn)分鐘級掛載恢復(fù)。從而,這些能力的結(jié)合,為企業(yè)又構(gòu)建了一道針對勒索病毒攻擊的超強(qiáng)“神盾”。

在面向AnyShare和VMware被勒索病毒攻擊場景中,愛數(shù)構(gòu)建的這道超強(qiáng)“神盾”,可以幫助企業(yè)有效防護(hù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)遭受勒索病毒的攻擊與破壞。

在面向AnyShare防勒索病毒場景下,AnyBackup對AnyShare發(fā)起應(yīng)用級的數(shù)據(jù)備份能力,其中包含對象存儲、業(yè)務(wù)數(shù)據(jù)(數(shù)據(jù)庫)、OSS網(wǎng)關(guān)的元數(shù)據(jù)(NOSQL) 。當(dāng)Anyshare遭遇勒索病毒感染,AnyBackup可將之前備份的AnyShare對象存儲數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、OSS網(wǎng)關(guān)的元數(shù)據(jù)恢復(fù)回去,并高效完成。

在面向VMware防勒索病毒場景下,當(dāng)前服務(wù)器虛擬化與云計(jì)算普及,VMware場景是廣大企業(yè)用戶比較普遍的存在。黑客通過VMware遠(yuǎn)程漏洞進(jìn)行攻擊,將虛擬磁盤以及虛擬機(jī)的相關(guān)配置文件加密,虛擬機(jī)因此無法啟動,導(dǎo)致業(yè)務(wù)宕機(jī)。

為此,AnyBackup可以對VMware場景下的虛擬機(jī)備份,并保留虛擬機(jī)源生配置信息和虛擬磁盤數(shù)據(jù),每次備份完成后,都會產(chǎn)生快照。

當(dāng)VMware平臺遭遇勒索病毒感染,AnyBackup可將備份數(shù)據(jù)掛載至VMware平臺,并注冊虛擬機(jī), 以達(dá)到快速恢復(fù)業(yè)務(wù)效果。

小結(jié):雙管齊下,無懼勒索

當(dāng)然,任何一種解決方案要行之有效,實(shí)現(xiàn)真正的落地,還需要注意一些細(xì)節(jié)。為此,愛數(shù)給出了三大建議。

一是,嚴(yán)格執(zhí)行3-2-1備份原則,即存儲3份完整文件,一份原件加上兩份拷貝;在2種不同的介質(zhì)上存儲;將1份拷貝保存在異地。

二是,制定應(yīng)急響應(yīng)機(jī)制,開展災(zāi)難恢復(fù)演練。

三是,定期檢查和更新防勒索病毒方案,讓方案保持攻防的有效性。

在針對勒索病毒這場曠日持久的攻防戰(zhàn)中,眾多的企業(yè)用戶不僅需要借助愛數(shù)領(lǐng)先的“2+2+1”防勒索病毒整體解決方案保護(hù)自己,聚焦桌面數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)兩道防線“雙管齊下”,構(gòu)建企業(yè)高效的“防毒神盾”。同時(shí),也需要不斷提升防范意識,形成完善的防御體系與機(jī)制,真正實(shí)現(xiàn)“備享安全,無懼勒索”。

【全球存儲觀察】本文和作者回復(fù)僅代表個(gè)人觀點(diǎn),不構(gòu)成任何投資建議。

【阿明】:科技評論專欄作家、科技媒體從業(yè)24年、新聞評論年產(chǎn)出上百萬字,用數(shù)據(jù)說話,帶你看懂科技公司。

技評論專欄作家、科技媒體從業(yè)24年、新聞評論年產(chǎn)出上百萬字,用數(shù)據(jù)說話,帶你看懂科技公司