如今對(duì)于擁有大量數(shù)字資產(chǎn)的企業(yè)而言,隨時(shí)可能會(huì)遭受勒索病毒的攻擊�����,當(dāng)數(shù)據(jù)存儲(chǔ)系統(tǒng)被加密����,數(shù)據(jù)無(wú)法訪問(wèn),進(jìn)而導(dǎo)致業(yè)務(wù)中斷��,很快會(huì)遭受大量用戶投訴�,企業(yè)形象受損,嚴(yán)重的甚至可能倒閉��,隨著行業(yè)監(jiān)管和立法層面的完善�,還會(huì)遭到更嚴(yán)厲的懲罰。
圖來(lái)自《2020上半年勒索病毒安全報(bào)告》
對(duì)于沒有遭受過(guò)勒索病毒的企業(yè)而言�����,勒索病毒有些遙遠(yuǎn)����。但不只一兩家機(jī)構(gòu)和組織宣稱,中國(guó)已成為勒索病毒的重災(zāi)區(qū)��,從騰訊《2020上半年勒索病毒安全報(bào)告》中可以看到,經(jīng)濟(jì)發(fā)達(dá)地區(qū)受勒索病毒關(guān)注更多�,可見,勒索病毒時(shí)刻都在你我周圍上演��。
從操作層面來(lái)講����,勒索病毒的門檻并不是特別的高,并且��,抓人����、取證都很難。由于勒索者通常希望收到大量贖金��,對(duì)于別有用心的技術(shù)從業(yè)人員來(lái)說(shuō)��,這是一個(gè)可能一夜暴富的機(jī)會(huì)����,當(dāng)勒索事件成為普遍現(xiàn)象之后��,用社會(huì)發(fā)展的宏觀描述來(lái)看��,這甚至成了一種社會(huì)財(cái)富轉(zhuǎn)移活動(dòng)。
勒索病毒正呈現(xiàn)愈演愈烈的趨勢(shì)�����,Cybersecurity Ventures曾預(yù)測(cè)��,2019年每14秒就會(huì)有一家公司淪為勒索軟件攻擊受害者�,2021年時(shí)這一間隔將縮短至每11秒。除了大名鼎鼎的WannCry(如果碰見它����,的確都想哭)以外,還出現(xiàn)了多種別的勒索病毒����。
與想象不同的是,被勒索的企業(yè)也不限于財(cái)大氣粗的大公司��,還有很大一部分(42%)涉及到小型企業(yè)��,可謂是無(wú)差別攻擊����。
只不過(guò),信息化水平比較高的行業(yè)�,比如金融行業(yè)被成功攻擊的比較少����,這點(diǎn)在騰訊的《2020上半年勒索病毒安全報(bào)告》也有所體現(xiàn)�����。并不是說(shuō)金融行業(yè)可以幸免��,從埃森哲的數(shù)據(jù)來(lái)看��,銀行業(yè)的平均損失可是最高的�!
勒索病毒大多是有組織的行為,許多攻擊還呈現(xiàn)出內(nèi)外勾結(jié)的現(xiàn)象��。雖然是致富的捷徑����,但是不要輕易嘗試,因?yàn)檫@是明顯的犯罪行為���,會(huì)給企業(yè)帶來(lái)巨大損失��。即使這不是犯罪行為���,也不要輕易嘗試,因?yàn)檫@種付出和收獲嚴(yán)重不成比例的體驗(yàn)�,對(duì)于個(gè)人長(zhǎng)期發(fā)展很不好。
總之�,在巨大的利益驅(qū)動(dòng)下,勒索病毒愈演愈烈���,埃森哲預(yù)測(cè)��,未來(lái)五年�,全球?qū)⒃馐?.2萬(wàn)億美金的損失��。
企業(yè)怎么應(yīng)對(duì)勒索病毒���?
當(dāng)企業(yè)碰到勒索病毒能怎么辦呢�?
勒索病毒對(duì)企業(yè)帶來(lái)很大損失�����,作為企業(yè)信息化負(fù)責(zé)人相關(guān)人員也難辭其咎�����,遭遇此類事件,如果束手無(wú)策任由事態(tài)發(fā)展�,相關(guān)人員可能會(huì)流入人才市場(chǎng)從新找工作,如果能與勒索者斗智斗勇悄悄化解此次危機(jī)�,那該有多好。那么�����,具體要怎么做呢�����?
首先�,協(xié)商交贖金當(dāng)然是一種解決辦法。這種方法的缺點(diǎn)是���,除了直接的贖金損失外����,還得祈禱勒索者是個(gè)講信用的人����,你得盼著在交了錢之后對(duì)方真的解鎖全部文件,盼著對(duì)方不會(huì)坐地起價(jià)�����,盼著對(duì)方不會(huì)在過(guò)幾天沒錢之后,又卷土重來(lái)一次���。
但實(shí)際上,被加密勒索后�,只有不到五分之一的企業(yè)成功恢復(fù)了文件,有三分之一的企業(yè)丟失了大量數(shù)據(jù)��,有大概55%的企業(yè)恢復(fù)了部分文件��,還有大概13%的人就比較慘了�,數(shù)據(jù)全丟了。
這組數(shù)據(jù)沒有說(shuō)明有多少是交了贖金的��,但整體而言數(shù)據(jù)恢復(fù)的情況一點(diǎn)都不樂觀�,也就是說(shuō),一旦被勒索就是兇多吉少����,交贖金并不是好的解決辦法。所以���,企業(yè)首先要盡可能防止被勒索�,使用盡可能多的網(wǎng)絡(luò)安全防御手段,需要企業(yè)員工有較高的安全防范意識(shí)����。
不過(guò),由于勒索病毒通常針對(duì)的是企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)�����,所以�����,數(shù)據(jù)存儲(chǔ)�����、數(shù)據(jù)管理以及數(shù)據(jù)保護(hù)廠商也在關(guān)注勒索病毒的發(fā)展�����,這其中就包括全球最大的企業(yè)級(jí)存儲(chǔ)公司戴爾科技集團(tuán)��,戴爾科技集團(tuán)是全球少數(shù)關(guān)注數(shù)據(jù)存儲(chǔ)�����、數(shù)據(jù)管理以及數(shù)據(jù)保護(hù)的綜合型數(shù)據(jù)專家。
作為數(shù)據(jù)存儲(chǔ)專家���,戴爾的人經(jīng)常出現(xiàn)在一些數(shù)據(jù)事故現(xiàn)場(chǎng)為其提供技術(shù)指導(dǎo)���,偶爾也會(huì)出現(xiàn)在國(guó)內(nèi)某大型云廠商的專家進(jìn)行技術(shù)探討,這種感覺就好像從全國(guó)各地進(jìn)北京看病的人一樣�,戴爾的當(dāng)“數(shù)據(jù)醫(yī)生”的經(jīng)驗(yàn)多。
對(duì)于勒索病毒問(wèn)題����,戴爾科技大中華區(qū)數(shù)據(jù)保護(hù)產(chǎn)品技術(shù)總監(jiān)戴爾科技集團(tuán)李巖認(rèn)為要從三個(gè)方面進(jìn)行防護(hù)���,首先����,數(shù)據(jù)要備份����,第二,要做容災(zāi)����,第三點(diǎn)����,就是使用數(shù)據(jù)避風(fēng)港方案�。
備份系統(tǒng)是對(duì)抗勒索病毒的有效手段,備份可以幫助系統(tǒng)快速進(jìn)行恢復(fù)�����,但勒索者也非常關(guān)照備份系統(tǒng)���,勒索者會(huì)在加密攻擊時(shí)會(huì)使用各種方法(包括釣魚式)找到備份系統(tǒng)將其加密��。被攻擊后�,企業(yè)只能盼著對(duì)方找不到備份系統(tǒng)���,不過(guò)�,經(jīng)驗(yàn)老道的攻擊者都不會(huì)放過(guò)備份系統(tǒng)��。
所以�����,只有備份系統(tǒng)是不行的�����。那么,不是還有災(zāi)難恢復(fù)(DR)方案嗎��?
災(zāi)難恢復(fù)��,比如常說(shuō)的兩地三中心也是一種數(shù)據(jù)保護(hù)方案�,但其實(shí)這是一種數(shù)據(jù)中心級(jí)的保護(hù)方案,是為了業(yè)務(wù)連續(xù)性而設(shè)計(jì)的��,容災(zāi)要防的是數(shù)據(jù)中心里的火災(zāi)�、水災(zāi)、地震等自然或者人為災(zāi)害����,它對(duì)于勒索病毒也不擅長(zhǎng)�。
備份容災(zāi)都不行,那勒索病毒就無(wú)解了嗎�?
針對(duì)勒索攻擊的規(guī)范“避風(fēng)港計(jì)劃”
李巖表示,“網(wǎng)絡(luò)彈性恢復(fù)(Cyber Recovery)”是對(duì)抗勒索病毒的終極手段��。
這種終極手段就好比美國(guó)白宮的防御體系����,雖然周圍有防御導(dǎo)彈以及各種嚴(yán)密的安保手段�����,但白宮地底下還是構(gòu)建了全世界人民都知道�,但非常神秘的“末日地堡”�,用于在緊急時(shí)刻都確保白宮能發(fā)揮作用。雖然美國(guó)總統(tǒng)本人可能也沒用過(guò)幾次����,但在許多美國(guó)大片中都戲劇化的方式演繹過(guò),媒體也都公開報(bào)道過(guò)���,很多人可能感覺許并不陌生�����。
美國(guó)政府針對(duì)金融行業(yè)發(fā)起的類似“護(hù)網(wǎng)行動(dòng)”的演練中�,發(fā)現(xiàn)金融行業(yè)存在的安全風(fēng)險(xiǎn)���,于是�,美國(guó)金融行業(yè)發(fā)起了一個(gè)叫“避風(fēng)港計(jì)劃(Sheltered Harbor)”的項(xiàng)目�����,用于保護(hù)金融行業(yè)的關(guān)鍵數(shù)據(jù)。如果說(shuō)金融行業(yè)數(shù)據(jù)����,比如客戶貸款的數(shù)據(jù)丟失了,或者存款信息丟失了���,問(wèn)題可就太嚴(yán)重了���,避風(fēng)港計(jì)劃就是要構(gòu)建金融行業(yè)數(shù)據(jù)安全的最后防線。
關(guān)于如何最有效地保護(hù)關(guān)鍵數(shù)據(jù)和數(shù)字資產(chǎn)免受網(wǎng)絡(luò)攻擊的威脅�����,全球廣泛多樣的行業(yè)中的監(jiān)管機(jī)構(gòu)擁有共識(shí)���。他們認(rèn)為:以隔離的方式保護(hù)關(guān)鍵數(shù)據(jù)拷貝,是從勒索軟件和毀滅性的攻擊恢復(fù)的最好方式�。具體的方式就是要建立“避風(fēng)港”。中國(guó)也不例外��,中國(guó)國(guó)家保密局在期刊《保密科學(xué)技術(shù)》中�����,建議國(guó)家要制定一個(gè)專門針對(duì)勒索攻擊的規(guī)范。
上圖是避風(fēng)港設(shè)計(jì)的操作流程��,第一步就是做備份���,第二步對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密����,第三步是把這些數(shù)據(jù)放到Vault(金庫(kù))里�����,這里的數(shù)據(jù)都是不可篡改的��,需要是隔離的但同時(shí)還要能訪問(wèn)��。最后一步是恢復(fù)平臺(tái)��,當(dāng)出現(xiàn)問(wèn)題的時(shí)候由它來(lái)進(jìn)行恢復(fù)��。
雖然避風(fēng)港的設(shè)計(jì)原理并不復(fù)雜����,但經(jīng)認(rèn)證的解決方案全球僅有一家。
戴爾——避風(fēng)港實(shí)施方案(Cyber Recovery)獨(dú)家提供商
作為數(shù)據(jù)專家,戴爾針對(duì)這一需求在2015年制定了第一個(gè)隔離恢復(fù)解決方案���,當(dāng)時(shí)只是作為一個(gè)咨詢服務(wù)來(lái)提供��。在2018年����,當(dāng)此類需求越來(lái)越多����,戴爾推出了產(chǎn)品化的解決方案,2019年成為目前唯一經(jīng)過(guò)認(rèn)證的符合“避風(fēng)港”要求的解決方案提供商�����。
數(shù)據(jù)安全避風(fēng)港能讓企業(yè)在勒索病毒����、外部惡意攻擊下以及內(nèi)部刪庫(kù)跑路情況下恢復(fù)關(guān)鍵業(yè)務(wù)數(shù)據(jù),從而避免支付贖金��,減少停業(yè)損失���、商譽(yù)損失、機(jī)會(huì)損失、時(shí)間成本損失�����,避免法律訴訟風(fēng)險(xiǎn)等�����。
建立“避風(fēng)港”是一個(gè)復(fù)雜的過(guò)程�。
首先需要分析哪些數(shù)據(jù)對(duì)于業(yè)務(wù)至關(guān)重要,評(píng)估要保護(hù)的數(shù)據(jù)量����。然后,需要相應(yīng)的技術(shù)產(chǎn)品方案等�,確保關(guān)鍵的數(shù)據(jù)被備份,備份的數(shù)據(jù)沒有被加密�,備份的數(shù)據(jù)不被篡改,能順利完成恢復(fù)操作��。同時(shí)����,還需要企業(yè)的人員的配合,需要工作流程上作出調(diào)整�����。
戴爾有專業(yè)的團(tuán)隊(duì)能幫助企業(yè)完成這些過(guò)程,戴爾建議企業(yè)構(gòu)建備份��、容災(zāi)加Cyber Recovery避風(fēng)港的三位一體的保護(hù)方案�����。
某跨國(guó)新能源公司不僅主數(shù)據(jù)中心的核心系統(tǒng)進(jìn)行了備份����,許多分支機(jī)構(gòu)也都配備了備份系統(tǒng),主數(shù)據(jù)中心里不僅構(gòu)建了容災(zāi)架構(gòu)���,還構(gòu)建了Cyber Recovery避風(fēng)港方案����,構(gòu)建了三位一體的保護(hù)體系�。
2019年,某軟件企業(yè)遭受勒索病毒后的一個(gè)月里����,感染的主機(jī)逐步增多,甚至連備份服務(wù)器也被加密了�����,企業(yè)安全部門為了避免責(zé)任私下里支付了部分贖金無(wú)果�����。最后�����,所幸在戴爾Data Domain里存部分備份原數(shù)據(jù)�,從而完成了恢復(fù)。
這里并沒有用到Cyber Recovery的功能��,只是以防萬(wàn)一��,將Cyber Recovery當(dāng)做最后的防線����。
戴爾在Cyber Recovery避風(fēng)港方案方面已經(jīng)積累了多達(dá)五年的豐富經(jīng)驗(yàn),該方案在全球有700多家客戶��,其中500家是去年一年里部署了該方案��,每年都為戴爾貢獻(xiàn)大量的營(yíng)收���。一方面說(shuō)明了勒索病毒危機(jī)的嚴(yán)重性�����,同時(shí)也說(shuō)明越來(lái)越多用戶認(rèn)可了戴爾Cyber Recovery方案的價(jià)值�。
結(jié)語(yǔ)
世界上沒有絕對(duì)的安全,任何防御手段都有可能失效�����。
傳說(shuō)中的“末日地堡”在與外界隔離的情況下提供48小時(shí)的空氣�,很快就得轉(zhuǎn)移到別的安全的地方,并非絕對(duì)的堅(jiān)不可破�����、固若金湯���。
但作為負(fù)責(zé)人的大型企業(yè)以及企業(yè)安全負(fù)責(zé)人都應(yīng)該了解安全可能帶來(lái)的危害�,盡可能降低帶來(lái)的損失�。面對(duì)勒索病毒,繳贖金并不是好的解決方式�,強(qiáng)化安全手段是更合理的選擇。
象存儲(chǔ)防勒索升級(jí):XEOS-國(guó)內(nèi)首家通過(guò)-NBU-對(duì)象鎖認(rèn)證171.png?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_1024,h_150)
