如今對于擁有大量數(shù)字資產(chǎn)的企業(yè)而言,隨時可能會遭受勒索病毒的攻擊�����,當數(shù)據(jù)存儲系統(tǒng)被加密��,數(shù)據(jù)無法訪問���,進而導致業(yè)務中斷,很快會遭受大量用戶投訴����,企業(yè)形象受損���,嚴重的甚至可能倒閉,隨著行業(yè)監(jiān)管和立法層面的完善��,還會遭到更嚴厲的懲罰���。
圖來自《2020上半年勒索病毒安全報告》
對于沒有遭受過勒索病毒的企業(yè)而言�����,勒索病毒有些遙遠����。但不只一兩家機構(gòu)和組織宣稱��,中國已成為勒索病毒的重災區(qū)�,從騰訊《2020上半年勒索病毒安全報告》中可以看到,經(jīng)濟發(fā)達地區(qū)受勒索病毒關(guān)注更多�����,可見�����,勒索病毒時刻都在你我周圍上演����。
從操作層面來講,勒索病毒的門檻并不是特別的高����,并且,抓人��、取證都很難�。由于勒索者通常希望收到大量贖金,對于別有用心的技術(shù)從業(yè)人員來說����,這是一個可能一夜暴富的機會,當勒索事件成為普遍現(xiàn)象之后��,用社會發(fā)展的宏觀描述來看��,這甚至成了一種社會財富轉(zhuǎn)移活動�����。
勒索病毒正呈現(xiàn)愈演愈烈的趨勢�����,Cybersecurity Ventures曾預測,2019年每14秒就會有一家公司淪為勒索軟件攻擊受害者�,2021年時這一間隔將縮短至每11秒。除了大名鼎鼎的WannCry(如果碰見它�,的確都想哭)以外,還出現(xiàn)了多種別的勒索病毒���。
與想象不同的是���,被勒索的企業(yè)也不限于財大氣粗的大公司,還有很大一部分(42%)涉及到小型企業(yè)�,可謂是無差別攻擊。
只不過���,信息化水平比較高的行業(yè)��,比如金融行業(yè)被成功攻擊的比較少�����,這點在騰訊的《2020上半年勒索病毒安全報告》也有所體現(xiàn)���。并不是說金融行業(yè)可以幸免�,從埃森哲的數(shù)據(jù)來看�����,銀行業(yè)的平均損失可是最高的���!
勒索病毒大多是有組織的行為,許多攻擊還呈現(xiàn)出內(nèi)外勾結(jié)的現(xiàn)象����。雖然是致富的捷徑,但是不要輕易嘗試���,因為這是明顯的犯罪行為���,會給企業(yè)帶來巨大損失。即使這不是犯罪行為�,也不要輕易嘗試,因為這種付出和收獲嚴重不成比例的體驗�����,對于個人長期發(fā)展很不好����。
總之�,在巨大的利益驅(qū)動下�����,勒索病毒愈演愈烈��,埃森哲預測�,未來五年,全球?qū)⒃馐?.2萬億美金的損失��。
企業(yè)怎么應對勒索病毒��?
當企業(yè)碰到勒索病毒能怎么辦呢����?
勒索病毒對企業(yè)帶來很大損失,作為企業(yè)信息化負責人相關(guān)人員也難辭其咎�����,遭遇此類事件��,如果束手無策任由事態(tài)發(fā)展,相關(guān)人員可能會流入人才市場從新找工作���,如果能與勒索者斗智斗勇悄悄化解此次危機�,那該有多好�。那么,具體要怎么做呢�����?
首先�����,協(xié)商交贖金當然是一種解決辦法���。這種方法的缺點是,除了直接的贖金損失外���,還得祈禱勒索者是個講信用的人���,你得盼著在交了錢之后對方真的解鎖全部文件,盼著對方不會坐地起價�,盼著對方不會在過幾天沒錢之后,又卷土重來一次。
但實際上��,被加密勒索后��,只有不到五分之一的企業(yè)成功恢復了文件�����,有三分之一的企業(yè)丟失了大量數(shù)據(jù)����,有大概55%的企業(yè)恢復了部分文件,還有大概13%的人就比較慘了��,數(shù)據(jù)全丟了����。
這組數(shù)據(jù)沒有說明有多少是交了贖金的,但整體而言數(shù)據(jù)恢復的情況一點都不樂觀��,也就是說����,一旦被勒索就是兇多吉少�����,交贖金并不是好的解決辦法。所以��,企業(yè)首先要盡可能防止被勒索��,使用盡可能多的網(wǎng)絡安全防御手段��,需要企業(yè)員工有較高的安全防范意識���。
不過��,由于勒索病毒通常針對的是企業(yè)的關(guān)鍵業(yè)務數(shù)據(jù),所以����,數(shù)據(jù)存儲、數(shù)據(jù)管理以及數(shù)據(jù)保護廠商也在關(guān)注勒索病毒的發(fā)展���,這其中就包括全球最大的企業(yè)級存儲公司戴爾科技集團���,戴爾科技集團是全球少數(shù)關(guān)注數(shù)據(jù)存儲、數(shù)據(jù)管理以及數(shù)據(jù)保護的綜合型數(shù)據(jù)專家���。
作為數(shù)據(jù)存儲專家�,戴爾的人經(jīng)常出現(xiàn)在一些數(shù)據(jù)事故現(xiàn)場為其提供技術(shù)指導,偶爾也會出現(xiàn)在國內(nèi)某大型云廠商的專家進行技術(shù)探討���,這種感覺就好像從全國各地進北京看病的人一樣�,戴爾的當“數(shù)據(jù)醫(yī)生”的經(jīng)驗多���。
對于勒索病毒問題���,戴爾科技大中華區(qū)數(shù)據(jù)保護產(chǎn)品技術(shù)總監(jiān)戴爾科技集團李巖認為要從三個方面進行防護,首先���,數(shù)據(jù)要備份��,第二���,要做容災,第三點��,就是使用數(shù)據(jù)避風港方案�����。
備份系統(tǒng)是對抗勒索病毒的有效手段,備份可以幫助系統(tǒng)快速進行恢復�����,但勒索者也非常關(guān)照備份系統(tǒng)�����,勒索者會在加密攻擊時會使用各種方法(包括釣魚式)找到備份系統(tǒng)將其加密����。被攻擊后,企業(yè)只能盼著對方找不到備份系統(tǒng)�����,不過,經(jīng)驗老道的攻擊者都不會放過備份系統(tǒng)����。
所以,只有備份系統(tǒng)是不行的�����。那么,不是還有災難恢復(DR)方案嗎�����?
災難恢復��,比如常說的兩地三中心也是一種數(shù)據(jù)保護方案�,但其實這是一種數(shù)據(jù)中心級的保護方案��,是為了業(yè)務連續(xù)性而設計的���,容災要防的是數(shù)據(jù)中心里的火災���、水災����、地震等自然或者人為災害�,它對于勒索病毒也不擅長。
備份容災都不行�,那勒索病毒就無解了嗎�����?
針對勒索攻擊的規(guī)范“避風港計劃”
李巖表示,“網(wǎng)絡彈性恢復(Cyber Recovery)”是對抗勒索病毒的終極手段�。
這種終極手段就好比美國白宮的防御體系�,雖然周圍有防御導彈以及各種嚴密的安保手段,但白宮地底下還是構(gòu)建了全世界人民都知道���,但非常神秘的“末日地堡”����,用于在緊急時刻都確保白宮能發(fā)揮作用����。雖然美國總統(tǒng)本人可能也沒用過幾次,但在許多美國大片中都戲劇化的方式演繹過��,媒體也都公開報道過��,很多人可能感覺許并不陌生�����。
美國政府針對金融行業(yè)發(fā)起的類似“護網(wǎng)行動”的演練中���,發(fā)現(xiàn)金融行業(yè)存在的安全風險�����,于是�����,美國金融行業(yè)發(fā)起了一個叫“避風港計劃(Sheltered Harbor)”的項目��,用于保護金融行業(yè)的關(guān)鍵數(shù)據(jù)�。如果說金融行業(yè)數(shù)據(jù)����,比如客戶貸款的數(shù)據(jù)丟失了,或者存款信息丟失了���,問題可就太嚴重了���,避風港計劃就是要構(gòu)建金融行業(yè)數(shù)據(jù)安全的最后防線。
關(guān)于如何最有效地保護關(guān)鍵數(shù)據(jù)和數(shù)字資產(chǎn)免受網(wǎng)絡攻擊的威脅��,全球廣泛多樣的行業(yè)中的監(jiān)管機構(gòu)擁有共識��。他們認為:以隔離的方式保護關(guān)鍵數(shù)據(jù)拷貝,是從勒索軟件和毀滅性的攻擊恢復的最好方式�。具體的方式就是要建立“避風港”���。中國也不例外�����,中國國家保密局在期刊《保密科學技術(shù)》中�����,建議國家要制定一個專門針對勒索攻擊的規(guī)范���。
上圖是避風港設計的操作流程,第一步就是做備份�����,第二步對關(guān)鍵數(shù)據(jù)進行加密�,第三步是把這些數(shù)據(jù)放到Vault(金庫)里,這里的數(shù)據(jù)都是不可篡改的��,需要是隔離的但同時還要能訪問����。最后一步是恢復平臺,當出現(xiàn)問題的時候由它來進行恢復�����。
雖然避風港的設計原理并不復雜��,但經(jīng)認證的解決方案全球僅有一家�����。
戴爾——避風港實施方案(Cyber Recovery)獨家提供商
作為數(shù)據(jù)專家�,戴爾針對這一需求在2015年制定了第一個隔離恢復解決方案,當時只是作為一個咨詢服務來提供���。在2018年��,當此類需求越來越多�����,戴爾推出了產(chǎn)品化的解決方案�,2019年成為目前唯一經(jīng)過認證的符合“避風港”要求的解決方案提供商。
數(shù)據(jù)安全避風港能讓企業(yè)在勒索病毒���、外部惡意攻擊下以及內(nèi)部刪庫跑路情況下恢復關(guān)鍵業(yè)務數(shù)據(jù)���,從而避免支付贖金,減少停業(yè)損失�����、商譽損失����、機會損失、時間成本損失�,避免法律訴訟風險等。
建立“避風港”是一個復雜的過程��。
首先需要分析哪些數(shù)據(jù)對于業(yè)務至關(guān)重要����,評估要保護的數(shù)據(jù)量。然后����,需要相應的技術(shù)產(chǎn)品方案等�,確保關(guān)鍵的數(shù)據(jù)被備份��,備份的數(shù)據(jù)沒有被加密�����,備份的數(shù)據(jù)不被篡改����,能順利完成恢復操作��。同時���,還需要企業(yè)的人員的配合�,需要工作流程上作出調(diào)整�����。
戴爾有專業(yè)的團隊能幫助企業(yè)完成這些過程�,戴爾建議企業(yè)構(gòu)建備份、容災加Cyber Recovery避風港的三位一體的保護方案��。
某跨國新能源公司不僅主數(shù)據(jù)中心的核心系統(tǒng)進行了備份����,許多分支機構(gòu)也都配備了備份系統(tǒng)����,主數(shù)據(jù)中心里不僅構(gòu)建了容災架構(gòu)�,還構(gòu)建了Cyber Recovery避風港方案,構(gòu)建了三位一體的保護體系���。
2019年���,某軟件企業(yè)遭受勒索病毒后的一個月里,感染的主機逐步增多���,甚至連備份服務器也被加密了�,企業(yè)安全部門為了避免責任私下里支付了部分贖金無果���。最后��,所幸在戴爾Data Domain里存部分備份原數(shù)據(jù)��,從而完成了恢復���。
這里并沒有用到Cyber Recovery的功能�����,只是以防萬一����,將Cyber Recovery當做最后的防線�。
戴爾在Cyber Recovery避風港方案方面已經(jīng)積累了多達五年的豐富經(jīng)驗,該方案在全球有700多家客戶���,其中500家是去年一年里部署了該方案,每年都為戴爾貢獻大量的營收���。一方面說明了勒索病毒危機的嚴重性��,同時也說明越來越多用戶認可了戴爾Cyber Recovery方案的價值����。
結(jié)語
世界上沒有絕對的安全�,任何防御手段都有可能失效。
傳說中的“末日地堡”在與外界隔離的情況下提供48小時的空氣����,很快就得轉(zhuǎn)移到別的安全的地方���,并非絕對的堅不可破、固若金湯�。
但作為負責人的大型企業(yè)以及企業(yè)安全負責人都應該了解安全可能帶來的危害,盡可能降低帶來的損失�����。面對勒索病毒����,繳贖金并不是好的解決方式,強化安全手段是更合理的選擇�����。
首家通過-NBU-對象鎖認證171.png?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_1024,h_150)
