據(jù)區(qū)塊鏈分析公司Chainalysis報(bào)告顯示,2020年被勒索軟件攻擊的組織至少支付了3.5億美元贖金。在這一觸目驚心的數(shù)字背后,還有不斷愈演愈烈的網(wǎng)絡(luò)犯罪活動。勒索軟件攻擊者一般傾向于將目標(biāo)鎖定在能夠提供大筆付款的大公司,或者是無力承受任何攻擊的中小機(jī)構(gòu)。
勒索軟件的受害者已經(jīng)不僅僅局限于商業(yè)領(lǐng)域,還包括政府部門、教育和衛(wèi)生機(jī)構(gòu)。網(wǎng)絡(luò)犯罪分子不僅會加密文件,還會竊取企業(yè)的核心數(shù)據(jù),并威脅如果不支付贖金,他們就會向全世界公布這些數(shù)據(jù)。難怪有業(yè)內(nèi)人士預(yù)言,2021年將迎來勒索軟件的全面爆發(fā)。
01數(shù)據(jù)保護(hù)仍是重中之重
在日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅下,企業(yè)愈發(fā)意識到數(shù)據(jù)才是自身最有價(jià)值的資產(chǎn),無關(guān)規(guī)模大小和所處行業(yè)。數(shù)據(jù)只有在得到有效保護(hù)的情況下,才能實(shí)現(xiàn)其價(jià)值,推動企業(yè)的業(yè)務(wù)創(chuàng)新和發(fā)展。2021,數(shù)據(jù)保護(hù)仍是重中之重。
在任何時(shí)間,全球任何地點(diǎn)都有企業(yè)面臨勒索軟件攻擊,企業(yè)數(shù)據(jù)就是勒索事件中的扣押“人質(zhì)”。這里我們要講一個(gè)正面例子,在勒索事件發(fā)生后“人質(zhì)”如何從綁匪手中巧妙逃脫,不僅毫發(fā)未傷,同時(shí)也未對正常業(yè)務(wù)運(yùn)營造成任何影響。
這個(gè)例子是
Commvault的客戶——位于美國內(nèi)華達(dá)州的斯帕克斯市政府。在該市遭遇勒索軟件攻擊后,Commvault第一時(shí)間發(fā)現(xiàn)了攻擊情況,并幫助客戶迅速從攻擊中恢復(fù)了數(shù)據(jù)。因?yàn)樗古量怂故姓呀?jīng)完成了對其物理和虛擬服務(wù)器上的數(shù)據(jù)備份,所以才能
在短短12小時(shí)內(nèi)快速恢復(fù)數(shù)據(jù),而無需幾周時(shí)間。
借助Commvault提供的集成數(shù)據(jù)恢復(fù)解決方案,任何組織機(jī)構(gòu)都可以在受到網(wǎng)絡(luò)攻擊情況下快速恢復(fù)數(shù)據(jù),并保持業(yè)務(wù)連續(xù)性。
02以守為攻,防患于未然
Commvault的使命是幫助客戶做好準(zhǔn)備,包括數(shù)據(jù)準(zhǔn)備、合規(guī)準(zhǔn)備和恢復(fù)準(zhǔn)備。Commvault平臺內(nèi)置的邏輯可跟蹤典型的數(shù)據(jù)活動和行為。通過數(shù)據(jù)監(jiān)控,Commvault可以為客戶提供第一時(shí)間發(fā)現(xiàn)勒索軟件攻擊的洞察力。如果看到異常峰值或其他異常情況,Commvault軟件會提醒客戶注意潛在的危險(xiǎn)情況。Commvault軟件可以將復(fù)雜的恢復(fù)過程自動化,同時(shí)涵蓋合規(guī)操作,并為客戶提供整個(gè)過程內(nèi)的詳細(xì)洞察。
Commvault認(rèn)為,一個(gè)完整的勒索軟件策略既包括降低成功攻擊的風(fēng)險(xiǎn),也包括減輕成功攻擊帶來的影響。完整的策略由五個(gè)環(huán)節(jié)構(gòu)成:
# 制定計(jì)劃
就像任何災(zāi)難恢復(fù)計(jì)劃一樣,反勒索軟件計(jì)劃的基本要素有三點(diǎn),即識別關(guān)鍵應(yīng)用程序并對其排列優(yōu)先級;為系統(tǒng)、數(shù)據(jù)和應(yīng)用程序定義恢復(fù)點(diǎn)目標(biāo) (RPO)、恢復(fù)時(shí)間目標(biāo) (RTO) 和服務(wù)水平協(xié)議 (SLA);以及確保所有相關(guān)人員參與至數(shù)據(jù)恢復(fù)工作中。
# 預(yù)防攻擊
首先要提高員工的警惕性和IT人員及時(shí)更新補(bǔ)丁漏洞的意識。接下來企業(yè)可通過強(qiáng)化基礎(chǔ)設(shè)施和使用AAA 安全框架,從身份確認(rèn)、授權(quán)和記賬三方面強(qiáng)化應(yīng)用程序。關(guān)于勒索軟件防護(hù),可使用備份設(shè)備、非標(biāo)準(zhǔn)端口切換、WORM(一寫多讀)技術(shù)和Air Gap空氣間隙技術(shù)等多種方法保護(hù)備份數(shù)據(jù)。
# 監(jiān)控環(huán)境
檢測可以包括掃描服務(wù)器異常,如不尋常的文件系統(tǒng)行為等。機(jī)器學(xué)習(xí)已經(jīng)成為這項(xiàng)工作的核心,其使用歷史數(shù)據(jù)來識別合法活動和潛在問題跡象之間的區(qū)別。蜜罐可通過創(chuàng)建一個(gè)對黑客特別有吸引力的隱藏文件類型并監(jiān)控它的簽名變化和其他異常,從而進(jìn)行進(jìn)一步檢測。
# 恢復(fù)數(shù)據(jù)
備份數(shù)據(jù)有三種方法,每種方法對恢復(fù)都有不同的影響。其中傳統(tǒng)備份在文件級進(jìn)行;塊級備份通過逐塊處理可避免傳統(tǒng)備份的性能損失;以及復(fù)制采用連續(xù)的方法進(jìn)行數(shù)據(jù)備份。
# 測試計(jì)劃
一旦制定了計(jì)劃并有了執(zhí)行它的程序和技術(shù),下一步就是頻繁執(zhí)行測試,以驗(yàn)證是否能夠滿足組織為關(guān)鍵和高優(yōu)先級數(shù)據(jù)和應(yīng)用程序定義的SLA。
在我們努力發(fā)展數(shù)據(jù)恢復(fù)技術(shù)的同時(shí),勒索軟件的攻擊能力也在水漲船高,正與邪的對立問題可能永遠(yuǎn)都不會消失。所以我們需要盡可能的加強(qiáng)數(shù)據(jù)保護(hù),避免將數(shù)據(jù)暴露在威脅下,并積極采取措施,以守為攻,主動對抗勒索軟件。只有多方面、全方位的數(shù)據(jù)保護(hù),才能鑄造抵御勒索軟件攻擊的銅墻鐵壁。