勒索病毒攻擊頻繁,如何構建桌面數(shù)據(jù)防護戰(zhàn)線?
【全球存儲觀察 | 新聞速遞】勒索病毒攻擊頻繁,企業(yè)每11秒遭受一次勒索軟件攻擊,2021年3月,美國最大的保險公司之一CNA遭到勒索軟件攻擊后支付了4000萬美元,約合人民幣2.57億元的贖金,成為迄今為止已經(jīng)支付的數(shù)額最大贖金。
然而,這只是“冰山一角”,因為勒索病毒造成的全球損失,到目前已經(jīng)高達1290億元。
有分析機構統(tǒng)計發(fā)現(xiàn),已有60%的組織受到過攻擊。如此說來,構建企業(yè)有效防御勒索病毒攻擊的“神盾”,勢在必行。
“神盾握在手!”
“勒索靠邊走!”
有矛就有盾,
如何提升對“矛”的認知?
在構建有效防御勒索病毒攻擊的“神盾”之前,需要了解其攻擊方式,認清“矛”的特點。
首先需要對勒索病毒的認知有所提升,當前來看,勒索病毒不僅針對 Windows系統(tǒng),也針對Linux、VMware、Mac、安卓系統(tǒng)。
不僅針對個人電腦,也針對服務器、應用系統(tǒng)、NAS,以及工業(yè)互聯(lián)網(wǎng)、移動設備等。
不僅針對企業(yè)系統(tǒng),也針對政府、醫(yī)療、教育、能源、金融等重要行業(yè)領域。騰訊發(fā)布2021上半年勒索病毒趨勢報告數(shù)據(jù)顯示,各行業(yè)幾乎都遭到了勒索病毒攻擊,醫(yī)療行業(yè)以占比 18% ,成為勒索病毒攻擊的重災區(qū)之一。可見,眾多行業(yè)領域用戶構建勒索病毒防御體系更是勢在必行。
從已經(jīng)發(fā)生的勒索病毒攻擊事件來分析其攻擊行為與攻擊方式看,勒索病毒攻擊行為針對桌面數(shù)據(jù)主要包括了網(wǎng)頁掛馬、IE瀏覽器漏洞利用、文件共享、捆綁木馬病毒和釣魚郵件攻擊;針對業(yè)務系統(tǒng)數(shù)據(jù)主要包括了文件共享、漏洞攻擊、篡改第三方程序和黑客入侵攻擊。從實際情況來看,桌面數(shù)據(jù)比業(yè)務系統(tǒng)數(shù)據(jù)更易受到勒索病毒攻擊。
勒索病毒攻擊原理主要分為兩個方式,一是,贖金換秘鑰的勒索。黑客利用勒索病毒發(fā)起攻擊,針對企業(yè)的桌面數(shù)據(jù)和業(yè)務系統(tǒng)數(shù)據(jù)進行惡意加密,然后企業(yè)必須支付贖金,才能獲得秘鑰對加密數(shù)據(jù)進行恢復。
二是,不付贖金就公開企業(yè)機密數(shù)據(jù)的勒索。黑客利用勒索病毒發(fā)起攻擊,竊取企業(yè)的桌面數(shù)據(jù)包括明文文檔,回傳機密數(shù)據(jù)到惡意代碼服務器,然后威脅企業(yè)必須支付贖金,否則公開機密數(shù)據(jù),造成企業(yè)不可估量的損失和行業(yè)負面影響。
針對這些勒索病毒的頻繁攻擊,許多企業(yè)想到了一些常見的防御手段。比如安裝殺毒軟件,并保持病毒庫更新。定期開展漏洞掃描,和風險評估。及時更新操作系統(tǒng),和應用系統(tǒng)。禁用U盤、移動硬盤等移動存儲設備。避免對外網(wǎng)映射RDP服務,關閉網(wǎng)絡文件共享。這些防御手段雖好,然而世界上沒有絕對的安全,任何防御手段都有可能失效。
要知道,勒索病毒攻擊愈發(fā)“猖狂”,就連企業(yè)用戶的備份數(shù)據(jù)也成了攻擊目標,這意味著企業(yè)數(shù)據(jù)保護的最后一道“馬奇諾防線”面臨崩潰。對“矛”的認知可算提高了,但這可如何對策才好呢?
愛數(shù)重磅發(fā)布2+2+1防勒索病毒整體解決方案,構筑堅固防線
無論針對桌面數(shù)據(jù),還是針對業(yè)務系統(tǒng)數(shù)據(jù),任何一道防線的失守,都將導致企業(yè)關鍵數(shù)據(jù)被加密或被盜竊,甚至帶來企業(yè)的業(yè)務停頓與崩潰等不可估量的后果。
就此,需要從桌面數(shù)據(jù)和業(yè)務系統(tǒng)數(shù)據(jù)兩道防線雙管齊下,構建全面的防護體系。
基于對企業(yè)數(shù)據(jù)生命周期管理與保護的十年專注積累,愛數(shù)特別推出2+2+1防勒索病毒整體解決方案,其目的就是利用不可變存儲技術幫助企業(yè)用戶在防御勒索病毒上實現(xiàn)備份數(shù)據(jù)副本不可篡改。與此同時,實現(xiàn)桌面數(shù)據(jù)不泄露,實現(xiàn)數(shù)據(jù)快速恢復,最終構建起企業(yè)有效防御勒索病毒的“神盾”。
五道“防毒神盾”,
如何構建桌面數(shù)據(jù)防護戰(zhàn)線?
針對桌面數(shù)據(jù)的勒索病毒防護戰(zhàn)線方面,愛數(shù)防勒索病毒解決方案擁有五道“神盾”。
“神盾”一,上傳限制,阻斷勒索病毒在企業(yè)網(wǎng)絡傳播。
對于傳統(tǒng)基于NAS、FTP等協(xié)議而言,其缺乏上傳限制及殺毒能力文件共享,容易被黑客利用做共享傳播。然而,AnyShare就完全不同了,通過文件格式限制及服務端殺毒,AnyShare可以阻斷被勒索病毒篡改的文件及病毒程序的傳播途徑,從而構建了一道針對勒索病毒攻擊的“神盾”。
“神盾”二,桌面數(shù)據(jù)防篡改,阻止勒索病毒攻擊。
AnyShare擁有備受對象存儲用戶關注的文檔WORM特性,允許用戶以“不可刪除、不可篡改”方式保存和使用數(shù)據(jù)。這個特性正好為防御勒索病毒攻擊帶來了很強的“免疫力”。當勒索病毒嘗試刪除或篡改受保護用戶桌面數(shù)據(jù)時,只有受攻擊的桌面數(shù)據(jù)副本會受到影響,服務端的數(shù)據(jù)將不受影響,從而構建了又一道針對勒索病毒攻擊的“神盾”。
“神盾”三,桌面數(shù)據(jù)加密,無懼公開威脅。
從服務端緩存到用戶桌面,通過本地DLP數(shù)據(jù)泄密防護(Data leakage prevention)客戶端對明文數(shù)據(jù)進行加密,即便遭遇黑客回傳也不懼敏感數(shù)據(jù)公開。此外,針對加密副文檔,也可以通過服務端直接下載加密后的“加密副文檔”,即使桌面未及時安裝DLP客戶端,也同樣可以實現(xiàn)對桌面數(shù)據(jù)的加密保護。針對桌面數(shù)據(jù)進行加密保護,從而構建了又一道針對勒索病毒攻擊的“神盾”。
“神盾”四,勒索行為實時告警與阻斷。
AnyRobot配合AnyShare,不僅可以實現(xiàn)操作日志的實時接入,同時實時檢測和識別勒索病毒行為,及時告警通知用戶,并第一時間阻斷勒索行為,從而又構建了一道針對勒索病毒攻擊的“神盾”。
“神盾”五,桌面數(shù)據(jù)刪除還原,無懼數(shù)據(jù)丟失。
借助AnyShare的系統(tǒng)回收站功能,當企業(yè)遭遇勒索病毒攻擊并大量刪除本地文件時,可以通過AnyShare二級回收站對所有被刪除的文件進行還原。與此同時,AnyShare也有追溯歷史版本的功能,被勒索病毒篡改的文檔,可以通過歷史版本進行還原。另外再借助AnyRobot可觀測性功能,通過AnyRobot可觀測性對行為日志進行分析,確認勒索病毒攻擊行為最初發(fā)生的時間點,以便快速恢復業(yè)務。這三個有效手段的結合,有助于桌面數(shù)據(jù)刪除還原,從而又構建了一道針對勒索病毒攻擊的“神盾”。
在五道“神盾”層層疊疊的防護之下,企業(yè)的桌面數(shù)據(jù)自然不懼黑客利用勒索病毒對其攻擊,以及進行數(shù)據(jù)篡改、加密或泄露。
備份數(shù)據(jù)“防篡改”,
超強“神盾”夯實業(yè)務數(shù)據(jù)防護戰(zhàn)線
針對業(yè)務系統(tǒng)數(shù)據(jù)的勒索病毒防護戰(zhàn)線方面,愛數(shù)防勒索病毒解決方案擁有超強“神盾”。
一般情況下,企業(yè)的業(yè)務系統(tǒng)遭受勒索病毒的攻擊,除了數(shù)據(jù)備份之外,數(shù)據(jù)恢復便成為了業(yè)務系統(tǒng)抵御勒索病毒攻擊的最后一道防線。
既然要實現(xiàn)有效的數(shù)據(jù)快速恢復,那么必然需要考慮恢復的數(shù)據(jù)本身要有效,不能被黑客篡改。AnyBackup具有最小的RPO和RTO特點,擁有備份數(shù)據(jù)的防篡改能力。這里值得一提的黑科技就是不可變存儲,實現(xiàn)了存儲進程內核級認證,有效攔截非認證進程的讀寫I/O,并且還是系統(tǒng)內核攔截,黑客無法繞行。同時該功能實現(xiàn)過程中的性能損耗僅在1%以內。可見,不可變存儲技術非常有助于企業(yè)實現(xiàn)備份數(shù)據(jù)的防篡改能力。
同時AnyBackup還為用戶提供全棧數(shù)據(jù)的勒索病毒防護能力,以及支持遠程復制、數(shù)據(jù)上云、歸檔的能力。AnyBackup構建的高性能備份恢復框架,為用戶實現(xiàn)分鐘級掛載恢復。從而,這些能力的結合,為企業(yè)又構建了一道針對勒索病毒攻擊的超強“神盾”。
在面向AnyShare和VMware被勒索病毒攻擊場景中,愛數(shù)構建的這道超強“神盾”,可以幫助企業(yè)有效防護業(yè)務系統(tǒng)數(shù)據(jù)遭受勒索病毒的攻擊與破壞。
在面向AnyShare防勒索病毒場景下,AnyBackup對AnyShare發(fā)起應用級的數(shù)據(jù)備份能力,其中包含對象存儲、業(yè)務數(shù)據(jù)(數(shù)據(jù)庫)、OSS網(wǎng)關的元數(shù)據(jù)(NOSQL) 。當Anyshare遭遇勒索病毒感染,AnyBackup可將之前備份的AnyShare對象存儲數(shù)據(jù)、業(yè)務數(shù)據(jù)、OSS網(wǎng)關的元數(shù)據(jù)恢復回去,并高效完成。
在面向VMware防勒索病毒場景下,當前服務器虛擬化與云計算普及,VMware場景是廣大企業(yè)用戶比較普遍的存在。黑客通過VMware遠程漏洞進行攻擊,將虛擬磁盤以及虛擬機的相關配置文件加密,虛擬機因此無法啟動,導致業(yè)務宕機。
為此,AnyBackup可以對VMware場景下的虛擬機備份,并保留虛擬機源生配置信息和虛擬磁盤數(shù)據(jù),每次備份完成后,都會產(chǎn)生快照。
當VMware平臺遭遇勒索病毒感染,AnyBackup可將備份數(shù)據(jù)掛載至VMware平臺,并注冊虛擬機, 以達到快速恢復業(yè)務效果。
小結:雙管齊下,無懼勒索
當然,任何一種解決方案要行之有效,實現(xiàn)真正的落地,還需要注意一些細節(jié)。為此,愛數(shù)給出了三大建議。
一是,嚴格執(zhí)行3-2-1備份原則,即存儲3份完整文件,一份原件加上兩份拷貝;在2種不同的介質上存儲;將1份拷貝保存在異地。
二是,制定應急響應機制,開展災難恢復演練。
三是,定期檢查和更新防勒索病毒方案,讓方案保持攻防的有效性。
在針對勒索病毒這場曠日持久的攻防戰(zhàn)中,眾多的企業(yè)用戶不僅需要借助愛數(shù)領先的“2+2+1”防勒索病毒整體解決方案保護自己,聚焦桌面數(shù)據(jù)和業(yè)務系統(tǒng)數(shù)據(jù)兩道防線“雙管齊下”,構建企業(yè)高效的“防毒神盾”。同時,也需要不斷提升防范意識,形成完善的防御體系與機制,真正實現(xiàn)“備享安全,無懼勒索”。
【全球存儲觀察】本文和作者回復僅代表個人觀點,不構成任何投資建議。
【阿明】:科技評論專欄作家、科技媒體從業(yè)24年、新聞評論年產(chǎn)出上百萬字,用數(shù)據(jù)說話,帶你看懂科技公司。
技評論專欄作家、科技媒體從業(yè)24年、新聞評論年產(chǎn)出上百萬字,用數(shù)據(jù)說話,帶你看懂科技公司
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市