被勒索軟件攻擊后的五個應(yīng)對步驟

■ 河南 崔賢

編者按：當(dāng)前針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，當(dāng)我們在遇到勒索軟件攻擊后，應(yīng)采取哪些步驟有效地恢復(fù)數(shù)據(jù)？本文將討論一些較為有效的方法。

勒索軟件已被許多組織認(rèn)定為面臨的最具威脅性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，其原因是顯而易見的：在2019年，超過50%的企業(yè)受到勒索軟件攻擊，估計(jì)損失達(dá)115億美元。僅在去年的最后一個月，包括佳能、Garmin等在內(nèi)的公司就成為了主要勒索軟件攻擊的受害者，并為此支付了數(shù)百萬美元的費(fèi)用。

當(dāng)前關(guān)于勒索軟件對企業(yè)業(yè)務(wù)的影響還有很多討論，并采取了諸多措施來預(yù)防，但要確保如何在被攻擊之后對數(shù)據(jù)進(jìn)行恢復(fù)，尚存在很多困難。

盡管對于企業(yè)而言，有些勒索攻擊的贖金可能較少，但重要的是企業(yè)的重要數(shù)據(jù)是否被損壞。當(dāng)我們在遇到勒索軟件攻擊后，應(yīng)采取哪些步驟有效地恢復(fù)數(shù)據(jù)？以下討論一些較為有效的方法。

檢測

可以說，從勒索軟件攻擊中恢復(fù)數(shù)據(jù)，最具挑戰(zhàn)性的步驟是從最開始就意識到出了問題——它也是最關(guān)鍵的步驟之一。用戶越早檢測到勒索軟件攻擊，受到影響的目標(biāo)數(shù)據(jù)就越少。這也直接影響到恢復(fù)數(shù)據(jù)所需的時間。

勒索軟件通常會進(jìn)行特殊的精心設(shè)計(jì)，這使其很難被發(fā)現(xiàn)。當(dāng)用戶在看到顯示勒索贖金時，說明防護(hù)為時已晚，勒索軟件已經(jīng)對整個IT環(huán)境造成了損害。因此，擁有可以識別異常行為（例如異常文件共享）的網(wǎng)絡(luò)安全解決方案，可以幫助用戶快速隔離勒索軟件感染，并在其進(jìn)一步蔓延之前進(jìn)行阻斷。

與基于簽名或基于網(wǎng)絡(luò)流量的檢測相比，異常文件行為檢測技術(shù)是檢測勒索軟件攻擊最有效的方法之一，并且誤報(bào)最少。

檢測勒索軟件攻擊的另一種方法是使用“基于簽名”的方法。如果檢測到相關(guān)的惡意代碼，則可以通過該方法來進(jìn)行查找。但這種方法的局限性在于，它只能檢測已知的勒索軟件。一般并不建議使用該方法，因?yàn)閺?fù)雜的攻擊經(jīng)常變換新的代碼，往往以另一種新的未知的勒索軟件的形式出現(xiàn)。因此，建議使用基于AI/ML的方法，該方法通過查找惡意行為，例如文件的快速連續(xù)加密，來確定攻擊的發(fā)生。

其他有效的網(wǎng)絡(luò)安全手段還包括，對電子郵件等關(guān)鍵業(yè)務(wù)系統(tǒng)的防護(hù)。勒索軟件通常是通過網(wǎng)絡(luò)釣魚電子郵件攻擊或帶有危險(xiǎn)文件附件，或者是超鏈接的電子郵件來達(dá)到感染系統(tǒng)的目的。

如果企業(yè)不具備處理危險(xiǎn)電子郵件的能力，那么勒索軟件侵入企業(yè)內(nèi)部IT環(huán)境或SaaS云環(huán)境就會非常容易。因此，特別是在云SaaS環(huán)境中，控制云環(huán)境中第三方應(yīng)用程序的訪問權(quán)限非常重要。

遏制

在檢測到勒索軟件攻擊之后，用戶可以通過隔離勒索軟件進(jìn)程，來阻止其進(jìn)一步傳播。如果是在云環(huán)境中，則這些攻擊通常源自遠(yuǎn)程文件同步，或是運(yùn)行勒索軟件加密過程的第三方應(yīng)用程序，或是瀏覽器插件驅(qū)動的其他進(jìn)程。挖掘并隔離勒索軟件攻擊的來源可以有效遏制感染，從而減輕對數(shù)據(jù)的破壞。為了達(dá)到有效的結(jié)果，該過程必須是自動化的。

很多攻擊是趁管理員未監(jiān)控IT環(huán)境間隙的數(shù)小時內(nèi)發(fā)生的。因此，一旦發(fā)生勒索攻擊，必須迅速做出反應(yīng)以阻止病毒傳播。安全策略規(guī)則和腳本必須作為主動保護(hù)的一部分放在適當(dāng)?shù)奈恢谩Ｒ虼?，在識別出感染后，自動化程序會通過刪除可執(zhí)行文件或擴(kuò)展名來阻止攻擊，并將受感染的文件與IT環(huán)境的其他部分隔離開來。

在遭遇勒索軟件攻擊時，還有一種方法可以讓企業(yè)能夠挽回或彌補(bǔ)損失，那就是購買網(wǎng)絡(luò)保險(xiǎn)。網(wǎng)絡(luò)保險(xiǎn)是一種網(wǎng)絡(luò)安全領(lǐng)域里的保險(xiǎn)，旨在保護(hù)企業(yè)（以及為企業(yè)提供服務(wù)的個人）免受基于互聯(lián)網(wǎng)的風(fēng)險(xiǎn)（如勒索軟件攻擊），以及與IT基礎(chǔ)架構(gòu)、隱私、數(shù)據(jù)治理相關(guān)的其他風(fēng)險(xiǎn)。在這種情況下，網(wǎng)絡(luò)保險(xiǎn)可以幫助企業(yè)減輕恢復(fù)數(shù)據(jù)的部分財(cái)務(wù)負(fù)擔(dān)。當(dāng)然，目前網(wǎng)絡(luò)保險(xiǎn)制度在國內(nèi)市場尚未成熟，但其發(fā)展前景非常廣闊。

備份

在大多數(shù)情況下，即使快速檢測到并遏制了勒索軟件攻擊，仍然會有一部分?jǐn)?shù)據(jù)受到影響并需要還原。這就需要對數(shù)據(jù)進(jìn)行備份，才能實(shí)現(xiàn)對被破壞數(shù)據(jù)的恢復(fù)。在進(jìn)行備份時，可以遵循如下“3-2-1”原則，將備份數(shù)據(jù)與實(shí)際運(yùn)行環(huán)境隔離開。

·保留任何重要文件的3個副本，包括一個主要文件和兩個備份文件。

·將文件保留在2種不同的介質(zhì)類型上。

·異地維護(hù)1份副本。

如果您的備份是在SaaS環(huán)境中的，則需要通過云備份供應(yīng)商來存儲重要數(shù)據(jù)，以符合“異地”的原則。這將極大地減少備份數(shù)據(jù)與生產(chǎn)數(shù)據(jù)一同受到影響的幾率。

因此，從勒索軟件攻擊中恢復(fù)數(shù)據(jù)的可靠方法，是對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行備份。但目前在面對勒索軟件攻擊時，備份的重要性尚未能得到足夠的重視。相對于絞盡腦汁地防范隨時可能出現(xiàn)的勒索軟件，采取備份操作并從備份中恢復(fù)數(shù)據(jù)，對業(yè)務(wù)數(shù)據(jù)的保護(hù)更能占據(jù)主動權(quán)。

當(dāng)前企業(yè)在采用云服務(wù)時可能存在一個誤區(qū)，很多企業(yè)可能會錯誤地認(rèn)為云服務(wù)提供商已采取了完備的方案來保護(hù)客戶的數(shù)據(jù)，而不需要自己做什么。當(dāng)然，在保護(hù)客戶數(shù)據(jù)安全方面，云服務(wù)提供商確實(shí)采取了一些機(jī)制。但實(shí)際上，保護(hù)云環(huán)境中的數(shù)據(jù)安全往往采取的是責(zé)任共擔(dān)的方式，確保云上數(shù)據(jù)安全不僅僅是云服務(wù)提供商的責(zé)任，還包括客戶自己。

報(bào)告相關(guān)部門

當(dāng)前世界各國和地區(qū)針對數(shù)據(jù)保護(hù)都頒布了相關(guān)的法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，因此企業(yè)需要遵循當(dāng)?shù)氐脑S多合規(guī)性法規(guī)，例如PCI-DSS（第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）、GDPR（通用數(shù)據(jù)保護(hù)條例）等，許多法規(guī)都要求企業(yè)應(yīng)將違規(guī)行為通知相關(guān)監(jiān)管機(jī)構(gòu)。因此，一旦出現(xiàn)了相關(guān)的違規(guī)行為，就應(yīng)立即報(bào)告相關(guān)部門。特別是如果您的企業(yè)屬于某些受監(jiān)管的行業(yè)（例如金融行業(yè)），那么同樣有針對該行業(yè)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，這些都是需要企業(yè)熟知的。

測試

在對數(shù)據(jù)進(jìn)行恢復(fù)后，還需要測試對數(shù)據(jù)和任何其它受影響的關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問，以確保成功恢復(fù)了數(shù)據(jù)和服務(wù)。這樣，才算是徹底解決了所有的問題，然后再考慮將整個系統(tǒng)重新投入運(yùn)行。

而如果是在IT環(huán)境中遇到的響應(yīng)時間比平常慢，或者文件大小比正常情況大時，那么這可能表明數(shù)據(jù)庫或存儲系統(tǒng)中仍潛藏著某些風(fēng)險(xiǎn)。

結(jié)語

俗話說“最好的防守就是進(jìn)攻”，這句話帶給我們的啟示是，在網(wǎng)絡(luò)安全領(lǐng)域中，不要總是被動防范，要掌握主動權(quán)。面對勒索軟件攻擊，只有兩種選擇，要么您具有足夠的前瞻性思維，做好備份，則可以從備份中還原數(shù)據(jù)，要么支付贖金。但選擇支付贖金是有風(fēng)險(xiǎn)的，因?yàn)檎l都無法保證，在支付完贖金后，網(wǎng)絡(luò)犯罪分子是否會真的給你解密來恢復(fù)數(shù)據(jù)。

與網(wǎng)絡(luò)犯罪分子進(jìn)行這種交易可沒有簽署合同或行為準(zhǔn)則。相關(guān)報(bào)告顯示，為勒索病毒支付贖金的企業(yè)中約有42%的文件并未被解密。

鑒于當(dāng)前針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，如果沒有適當(dāng)?shù)陌踩珎浞莺蜋z測機(jī)制，后果將是災(zāi)難性的?，F(xiàn)在采用相關(guān)的安全解決方案可以確保您以后不會為受破壞的數(shù)據(jù)而懊惱。而且從其他企業(yè)受勒索攻擊的案例中吸取教訓(xùn)，也可以幫助您避免遭受同樣的悲劇。