您的位置:首页 产业观察

搞定勒索软件“灰犀牛”,靠这招!

来源:Commvault中国区总经理Simon Zhou    2020-10-21
当全球尚未走出疫情阴霾的时候,网络安全这头“灰犀牛”并没有因此而安分。今年7月,美国犹他大学遭遇了勒索病毒攻击,为了保证被窃取信息不被公开,该校被迫向黑客支付了近50万美元的赎金。

当全球尚未走出疫情阴霾的时候,网络安全这头“灰犀牛”并没有因此而安分。今年7月,美国犹他大学遭遇了勒索病毒攻击,为了保证被窃取信息不被公开,该校被迫向黑客支付了近50万美元的赎金。

大学并非勒索软件的最佳攻击对象——2017年,网络攻击曾让美国联邦快递损失了3亿美元,而这仅仅是攻击后系统宕机和灾难恢复的成本。无独有偶,全球航运巨头马士基(Maersk)也为网络攻击承担了近3亿美元的损失。Cybersecurity Ventures预测,到2021年,勒索软件将造成高达6万亿美元的损失,这比日本的GDP还要高。

治“未病”,防患于未然
应该如何应对勒索软件的攻击?其实中国古老的哲学思想里早就蕴含了解决方案。《鹖冠子•世贤第十六》便载有扁鹊与魏文王关于医术的讨论,其中提及“上医治未病”,即最好的医生在病情发作前便防患于未然的思想,在今天仍有极强的现实意义——勒索软件的攻击一旦发生了,相当于“大病”,大动干戈方能痊愈;而构筑牢固的防御体系,实时做好数据备份,就是在企业数据系统“未病”时下足功夫,如此方为长久的解决之道。

一套完整的勒索软件防控策略既需降低遭到攻击的风险,也要减少攻击带来的影响。Commvault为此建立了制订计划、防御攻击、环境监控、数据恢复和定期测试这五大步骤,帮助客户确保数据安全无虞。

步骤1:计划周详,六神“有主”
没有预案的企业会在勒索软件的突袭下六神无主,因此有效和完备的计划是全面和迅速恢复正常运转的基础。计划应当确定关键应用程序并确立其优先级,并为系统、数据和应用程序定义恢复点目标(RPO),恢复时间目标(RTO)和服务水平协议(SLA),同时还要考虑数据恢复工作中会涉及的参与者、沟通的方式、如何识别和应对攻击升级等。如同消防演习,如果缺乏事先的方案,火灾来临时企业可能连“消防栓”在哪都找不到。

步骤2:预防从“小”做起
企业完全不受网络安全攻击是不现实的,但是积极防范可以让危机最小化,无害化,为组织节省大量的时间和成本。为此,提高警惕性就是最重要的“小事”。具体的行动包括员工在打开附件之前检查以确保它们来自已知发件人或可信来源;同样,员工应仅从合法供应商或应用程序商店下载软件,在使用前先对其进行扫描检测;IT部门也应及时更新应用和补丁程序。

一旦降低了恶意软件进入的风险,下一步就是保护数据,以防遭受破坏。其中应包括禁用不支持加密的SMB1协议等,确保操作系统、数据库等基础设施没有“裂缝”。此外,应当使用AAA安全框架作为保护应用程序的准则,即身份验证(Authentication),授权(Authorisation)和记录(Accounting)。

步骤3:“千眼观音”,明察秋毫
即便是完备的防范措施也不能确保100%将勒索软件拒之于外,面对已潜伏在系统内的恶性攻击,只有像侦探一样密切监控,又如同“千眼观音”一般明察秋毫,尽快检测到攻击,才能减少攻击所造成的影响。

检测可以包括扫描服务器是否存在异常,例如异常的文件系统行为,这些异常信号表明攻击正在发生。机器学习在监控过程中使用历史数据来识别合法活动和潜在故障迹象之间的差异。Commvault还通过类似诱饵一样的“蜜罐”设置对黑客特别有吸引力的隐藏文件,通过对其签名变化及其他异常情况的查看进一步检测攻击。

步骤4:速度,就是金钱
在今年年初引起业界哗然的“删库门”事件中,从数据被删到恢复,前后经历了10天时间,微盟为此赔付了1.5亿人民币,其市值也在短期内损失超过30亿港元。可见一旦数据被窃或被破坏,便需要通过快速恢复减少勒索软件攻击的影响。快速恢复不仅能够获得完整的数据备份,而且还能够快速将其提供给系统和用户,以便恢复正常的业务运营。

备份数据的方法有三种:其一是在文件级别运行传统备份,其二是块级备份,其三是通过复制技术进行连续的数据备份。

步骤5:防灾演练很必要
具备相应的计划与技术程序并非防范勒索软件的终点,企业仍需经常进行测试以确保灾备计划能切实按需工作,尤其是确保能够满足关键和高优先级数据或程序的服务水平协议(SLA)。对组织而言,每一次的网络攻击都是一场“战争”,因此日常的“军事演习”非常重要。

那么,应该给不安分的网络“灰犀牛”准备什么样的锁链呢?

总之,对任何一个组织而言,尽管无法知道勒索软件这头“灰犀牛”何时何地会突然咆哮、发狂,但绝不意味着就可以掉以轻心。某种程度上,没有发作的“灰犀牛”更可怕,因为它没有规律,不会预警,一旦奔袭而来,掉以轻心的组织会为此付出更惨重的代价。所以,提高安防意识,做好数据备份,在任何时候都不算晚,这就是控制和防范“灰犀牛”最牢固的“锁链”。

0