勒索病毒已經(jīng)成為最大的網(wǎng)絡(luò)安全威脅之一�����。
《Veeam 2020年數(shù)據(jù)保護(hù)趨勢報(bào)告》指出,網(wǎng)聯(lián)化導(dǎo)致的停機(jī)情況最多����,而勒索病毒已成為組織最大的擔(dān)憂。
近年來�����,國內(nèi)企業(yè)遭到勒索病毒攻擊的事件層出不窮。
2019年5月26日��,易到用車服務(wù)器被黑客攻擊�����,APP完全癱瘓�,被黑客索要巨額比特幣。
2020年3月26日����,京東等網(wǎng)站遭到中間人劫持攻擊,多個(gè)省市區(qū)受影響����,涉及所有運(yùn)營商。
2020年4月27日�,B站知名UP主“黨妹”遭勒索攻擊,數(shù)百G視頻素材丟失損失慘重��。
面對勒索病毒的來勢洶洶�����,組織需要意識到這一威脅����,并做好準(zhǔn)備��、防御和補(bǔ)救措施�。
這是至關(guān)重要的一步��,可以避免以后在受到勒索病毒攻擊期間發(fā)生計(jì)劃外的響應(yīng)或無效響應(yīng)�。
處理勒索病毒需擁有強(qiáng)大、多層次的防御和策略����,它們由三個(gè)關(guān)鍵因素組成:培訓(xùn)、實(shí)施和補(bǔ)救����。
此外�����,擁有超強(qiáng)的備份����、恢復(fù)和還原數(shù)據(jù)的方法,對于在事件發(fā)生時(shí)保護(hù)業(yè)務(wù)連續(xù)性至關(guān)重要����。
培訓(xùn)業(yè)務(wù)相關(guān)者培訓(xùn)應(yīng)該針對兩個(gè)主要受眾:IT人員和組織中的用戶�����。
同時(shí)針對這兩個(gè)群體開展培訓(xùn)非常重要��,因?yàn)檫@兩種角色都可能帶來威脅��。
勒索病毒的主要切入點(diǎn)是通過遠(yuǎn)程桌面協(xié)議(RDP)或其它遠(yuǎn)程訪問機(jī)制��、網(wǎng)絡(luò)釣魚和軟件更新����。
簡而言之����,在大多數(shù)情況下,網(wǎng)絡(luò)黑客并沒有付出與高額回報(bào)相應(yīng)的努力����。
從攻擊媒介的角度出發(fā)����,了解這三種主要機(jī)制�,對于了解應(yīng)該在哪些范圍投入最大努力以確保業(yè)務(wù)彈性非常有幫助�����。
大多數(shù)IT管理員將RDP用于日常工作�����,許多RDP服務(wù)器直接連接到網(wǎng)絡(luò)�����。
現(xiàn)實(shí)情況是���,必須停止與網(wǎng)絡(luò)連接的RDP。
IT管理員可以在特殊的IP地址���、重定向RDP端口和復(fù)雜的密碼等方面發(fā)揮創(chuàng)造力���,但一半以上的勒索病毒是通過RDP傳入的�����。
這告訴我們�����,將RDP服務(wù)器暴露于網(wǎng)上并不符合具有前瞻性的勒索病毒彈性策略。
另一種常見的潛入方式是通過網(wǎng)絡(luò)釣魚郵件�。
我們都收到過看起來不正常的郵件,正確的做法是刪除該項(xiàng)����。
但是,并非每個(gè)用戶都以相同的方式處理這些情況�����。
有一些熱門工具可以評估組織的網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)����,如Gophish和KnowBe4等。
結(jié)合幫助員工識別網(wǎng)絡(luò)釣魚電子郵件或鏈接的培訓(xùn)�����,自我評估工具可以成為有效的第一道防線�����。
第三種潛入方式是利用漏洞的風(fēng)險(xiǎn)�。
使系統(tǒng)保持更新不僅是一項(xiàng)傳統(tǒng)的IT責(zé)任�,也比以往任何時(shí)候都重要�����。
盡管這不是一項(xiàng)艱巨的任務(wù)��,但如果勒索病毒利用已知和已修補(bǔ)的漏洞�����,對黑客來說似乎是一項(xiàng)不錯(cuò)的交易����。
請注意及時(shí)更新關(guān)鍵IT資產(chǎn)類別:操作系統(tǒng)、應(yīng)用程序���、數(shù)據(jù)庫和設(shè)備固件�。
包括WannaCry和Petya在內(nèi)的許多勒索病毒都基于以前發(fā)現(xiàn)且已糾正的漏洞���。
實(shí)施和補(bǔ)救即使是遵循最佳實(shí)踐來防止遭受勒索病毒侵害的組織�,也面臨著風(fēng)險(xiǎn)�����。
盡管培訓(xùn)是至關(guān)重要的一步��,但組織必須為最壞的情況做準(zhǔn)備���。
這對于IT和業(yè)務(wù)領(lǐng)導(dǎo)者來說有一個(gè)好處��,那就是擁有一種富有彈性的備份存儲��。
在Veeam��,我們提倡將3-2-1規(guī)則作為通用數(shù)據(jù)管理策略�。
3-2-1規(guī)則建議在至少兩種不同類型的介質(zhì)上至少應(yīng)有三份重要數(shù)據(jù)副本�,其中至少有一份副本不在線上。
該規(guī)則最大的好處是���,它不需要任何特定類型的硬件����,并且通用性足以解決幾乎所有的故障情況���。
3-2-1策略中的“1個(gè)”副本必須具有強(qiáng)大彈性�,即“網(wǎng)閘式離線數(shù)據(jù)存儲”、“離線”或“不可變”���。
不同形式的媒介可以以超級彈性的方式存儲該數(shù)據(jù)副本����,包括磁帶介質(zhì)����、與S3或S3兼容的對象存儲中的不可變備份、網(wǎng)閘式離線數(shù)據(jù)存儲和脫機(jī)介質(zhì)�,或備份和災(zāi)難恢復(fù)的軟件即服務(wù)。
盡管有這些培訓(xùn)和技術(shù)實(shí)施�����,但萬一病毒潛入����,組織仍必須準(zhǔn)備好補(bǔ)救。
在Veeam�����,我們的方法很簡單�����。
不要支付贖金,唯一的選擇就是恢復(fù)數(shù)據(jù)���。
此外,當(dāng)發(fā)現(xiàn)威脅時(shí)���,組織需要計(jì)劃應(yīng)對措施�。
第一步是與支持人員聯(lián)系�����。
Veeam客戶可以聯(lián)系專門的團(tuán)隊(duì)來指導(dǎo)他們在勒索病毒事件中如何恢復(fù)數(shù)據(jù)���。
請勿將備份置于危險(xiǎn)之中�����,因?yàn)樗鼈儗δ幕謴?fù)能力至關(guān)重要�。
在任何類型的災(zāi)難中��,溝通都是需要克服的首要挑戰(zhàn)之一���。
組織需要制定如何與團(tuán)隊(duì)之外的合適人員進(jìn)行溝通的計(jì)劃�����。
這將包括文本群發(fā)列表����、電話號碼或其他通常用于協(xié)調(diào)擴(kuò)展團(tuán)隊(duì)之間的通信機(jī)制。
在此通訊錄中�����,您還需要內(nèi)部或外部的安全專家��、事件響應(yīng)專家和身份管理專家���。
對于決策權(quán)限也需要進(jìn)行籌劃��。
企業(yè)必須在事件發(fā)生之前決定由誰負(fù)責(zé)進(jìn)行恢復(fù)或故障轉(zhuǎn)移�。
一旦做出恢復(fù)決定�,組織就需要進(jìn)行額外的安全檢查,然后才能使系統(tǒng)恢復(fù)在線狀態(tài)����。
組織還必須確定整個(gè)虛擬機(jī)恢復(fù)是否為最佳操作方案�,或者文件級恢復(fù)是否更有意義���。
最后����,恢復(fù)過程本身必須是安全的����,在所有系統(tǒng)上進(jìn)行全面的防病毒和反惡意軟件檢查����,并強(qiáng)制用戶在恢復(fù)后更改密碼。
綜上所述�����,盡管勒索病毒的威脅確實(shí)存在�,但通過適當(dāng)?shù)臏?zhǔn)備工作,組織可以提高對事件的抵御能力���,以最大程度地降低數(shù)據(jù)丟失�、財(cái)務(wù)損失和聲譽(yù)受損的風(fēng)險(xiǎn)����。
這就需要通過培訓(xùn)��、實(shí)施和補(bǔ)救這三大策略來解決問題��。
首先�����,應(yīng)該對您的IT團(tuán)隊(duì)和員工進(jìn)行培訓(xùn)����,以最大程度地降低風(fēng)險(xiǎn)和預(yù)防�����。
其次���,需要很好地執(zhí)行解決方案以確保數(shù)據(jù)的安全和備份��。
最后��,如果您之前的防御措施失敗了��,請準(zhǔn)備好通過完整的備份和災(zāi)難恢復(fù)功能來修復(fù)數(shù)據(jù)系統(tǒng)����。
