■ 河南 崔賢
編者按:當(dāng)前針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加,當(dāng)我們在遇到勒索軟件攻擊后,應(yīng)采取哪些步驟有效地恢復(fù)數(shù)據(jù)?本文將討論一些較為有效的方法。
勒索軟件已被許多組織認(rèn)定為面臨的最具威脅性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),其原因是顯而易見的:在2019年,超過50%的企業(yè)受到勒索軟件攻擊,估計(jì)損失達(dá)115億美元。僅在去年的最后一個月,包括佳能、Garmin等在內(nèi)的公司就成為了主要勒索軟件攻擊的受害者,并為此支付了數(shù)百萬美元的費(fèi)用。
當(dāng)前關(guān)于勒索軟件對企業(yè)業(yè)務(wù)的影響還有很多討論,并采取了諸多措施來預(yù)防,但要確保如何在被攻擊之后對數(shù)據(jù)進(jìn)行恢復(fù),尚存在很多困難。
盡管對于企業(yè)而言,有些勒索攻擊的贖金可能較少,但重要的是企業(yè)的重要數(shù)據(jù)是否被損壞。當(dāng)我們在遇到勒索軟件攻擊后,應(yīng)采取哪些步驟有效地恢復(fù)數(shù)據(jù)?以下討論一些較為有效的方法。
可以說,從勒索軟件攻擊中恢復(fù)數(shù)據(jù),最具挑戰(zhàn)性的步驟是從最開始就意識到出了問題——它也是最關(guān)鍵的步驟之一。用戶越早檢測到勒索軟件攻擊,受到影響的目標(biāo)數(shù)據(jù)就越少。這也直接影響到恢復(fù)數(shù)據(jù)所需的時間。
勒索軟件通常會進(jìn)行特殊的精心設(shè)計(jì),這使其很難被發(fā)現(xiàn)。當(dāng)用戶在看到顯示勒索贖金時,說明防護(hù)為時已晚,勒索軟件已經(jīng)對整個IT環(huán)境造成了損害。因此,擁有可以識別異常行為(例如異常文件共享)的網(wǎng)絡(luò)安全解決方案,可以幫助用戶快速隔離勒索軟件感染,并在其進(jìn)一步蔓延之前進(jìn)行阻斷。
與基于簽名或基于網(wǎng)絡(luò)流量的檢測相比,異常文件行為檢測技術(shù)是檢測勒索軟件攻擊最有效的方法之一,并且誤報(bào)最少。
檢測勒索軟件攻擊的另一種方法是使用“基于簽名”的方法。如果檢測到相關(guān)的惡意代碼,則可以通過該方法來進(jìn)行查找。但這種方法的局限性在于,它只能檢測已知的勒索軟件。一般并不建議使用該方法,因?yàn)閺?fù)雜的攻擊經(jīng)常變換新的代碼,往往以另一種新的未知的勒索軟件的形式出現(xiàn)。因此,建議使用基于AI/ML的方法,該方法通過查找惡意行為,例如文件的快速連續(xù)加密,來確定攻擊的發(fā)生。
其他有效的網(wǎng)絡(luò)安全手段還包括,對電子郵件等關(guān)鍵業(yè)務(wù)系統(tǒng)的防護(hù)。勒索軟件通常是通過網(wǎng)絡(luò)釣魚電子郵件攻擊或帶有危險(xiǎn)文件附件,或者是超鏈接的電子郵件來達(dá)到感染系統(tǒng)的目的。
如果企業(yè)不具備處理危險(xiǎn)電子郵件的能力,那么勒索軟件侵入企業(yè)內(nèi)部IT環(huán)境或SaaS云環(huán)境就會非常容易。因此,特別是在云SaaS環(huán)境中,控制云環(huán)境中第三方應(yīng)用程序的訪問權(quán)限非常重要。
在檢測到勒索軟件攻擊之后,用戶可以通過隔離勒索軟件進(jìn)程,來阻止其進(jìn)一步傳播。如果是在云環(huán)境中,則這些攻擊通常源自遠(yuǎn)程文件同步,或是運(yùn)行勒索軟件加密過程的第三方應(yīng)用程序,或是瀏覽器插件驅(qū)動的其他進(jìn)程。挖掘并隔離勒索軟件攻擊的來源可以有效遏制感染,從而減輕對數(shù)據(jù)的破壞。為了達(dá)到有效的結(jié)果,該過程必須是自動化的。
很多攻擊是趁管理員未監(jiān)控IT環(huán)境間隙的數(shù)小時內(nèi)發(fā)生的。因此,一旦發(fā)生勒索攻擊,必須迅速做出反應(yīng)以阻止病毒傳播。安全策略規(guī)則和腳本必須作為主動保護(hù)的一部分放在適當(dāng)?shù)奈恢谩R虼?,在識別出感染后,自動化程序會通過刪除可執(zhí)行文件或擴(kuò)展名來阻止攻擊,并將受感染的文件與IT環(huán)境的其他部分隔離開來。
在遭遇勒索軟件攻擊時,還有一種方法可以讓企業(yè)能夠挽回或彌補(bǔ)損失,那就是購買網(wǎng)絡(luò)保險(xiǎn)。網(wǎng)絡(luò)保險(xiǎn)是一種網(wǎng)絡(luò)安全領(lǐng)域里的保險(xiǎn),旨在保護(hù)企業(yè)(以及為企業(yè)提供服務(wù)的個人)免受基于互聯(lián)網(wǎng)的風(fēng)險(xiǎn)(如勒索軟件攻擊),以及與IT基礎(chǔ)架構(gòu)、隱私、數(shù)據(jù)治理相關(guān)的其他風(fēng)險(xiǎn)。在這種情況下,網(wǎng)絡(luò)保險(xiǎn)可以幫助企業(yè)減輕恢復(fù)數(shù)據(jù)的部分財(cái)務(wù)負(fù)擔(dān)。當(dāng)然,目前網(wǎng)絡(luò)保險(xiǎn)制度在國內(nèi)市場尚未成熟,但其發(fā)展前景非常廣闊。
在大多數(shù)情況下,即使快速檢測到并遏制了勒索軟件攻擊,仍然會有一部分?jǐn)?shù)據(jù)受到影響并需要還原。這就需要對數(shù)據(jù)進(jìn)行備份,才能實(shí)現(xiàn)對被破壞數(shù)據(jù)的恢復(fù)。在進(jìn)行備份時,可以遵循如下“3-2-1”原則,將備份數(shù)據(jù)與實(shí)際運(yùn)行環(huán)境隔離開。
·保留任何重要文件的3個副本,包括一個主要文件和兩個備份文件。
·將文件保留在2種不同的介質(zhì)類型上。
·異地維護(hù)1份副本。
如果您的備份是在SaaS環(huán)境中的,則需要通過云備份供應(yīng)商來存儲重要數(shù)據(jù),以符合“異地”的原則。這將極大地減少備份數(shù)據(jù)與生產(chǎn)數(shù)據(jù)一同受到影響的幾率。
因此,從勒索軟件攻擊中恢復(fù)數(shù)據(jù)的可靠方法,是對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行備份。但目前在面對勒索軟件攻擊時,備份的重要性尚未能得到足夠的重視。相對于絞盡腦汁地防范隨時可能出現(xiàn)的勒索軟件,采取備份操作并從備份中恢復(fù)數(shù)據(jù),對業(yè)務(wù)數(shù)據(jù)的保護(hù)更能占據(jù)主動權(quán)。
當(dāng)前企業(yè)在采用云服務(wù)時可能存在一個誤區(qū),很多企業(yè)可能會錯誤地認(rèn)為云服務(wù)提供商已采取了完備的方案來保護(hù)客戶的數(shù)據(jù),而不需要自己做什么。當(dāng)然,在保護(hù)客戶數(shù)據(jù)安全方面,云服務(wù)提供商確實(shí)采取了一些機(jī)制。但實(shí)際上,保護(hù)云環(huán)境中的數(shù)據(jù)安全往往采取的是責(zé)任共擔(dān)的方式,確保云上數(shù)據(jù)安全不僅僅是云服務(wù)提供商的責(zé)任,還包括客戶自己。
當(dāng)前世界各國和地區(qū)針對數(shù)據(jù)保護(hù)都頒布了相關(guān)的法律法規(guī)及行業(yè)標(biāo)準(zhǔn),因此企業(yè)需要遵循當(dāng)?shù)氐脑S多合規(guī)性法規(guī),例如PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))、GDPR(通用數(shù)據(jù)保護(hù)條例)等,許多法規(guī)都要求企業(yè)應(yīng)將違規(guī)行為通知相關(guān)監(jiān)管機(jī)構(gòu)。因此,一旦出現(xiàn)了相關(guān)的違規(guī)行為,就應(yīng)立即報(bào)告相關(guān)部門。特別是如果您的企業(yè)屬于某些受監(jiān)管的行業(yè)(例如金融行業(yè)),那么同樣有針對該行業(yè)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),這些都是需要企業(yè)熟知的。
在對數(shù)據(jù)進(jìn)行恢復(fù)后,還需要測試對數(shù)據(jù)和任何其它受影響的關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問,以確保成功恢復(fù)了數(shù)據(jù)和服務(wù)。這樣,才算是徹底解決了所有的問題,然后再考慮將整個系統(tǒng)重新投入運(yùn)行。
而如果是在IT環(huán)境中遇到的響應(yīng)時間比平常慢,或者文件大小比正常情況大時,那么這可能表明數(shù)據(jù)庫或存儲系統(tǒng)中仍潛藏著某些風(fēng)險(xiǎn)。
俗話說“最好的防守就是進(jìn)攻”,這句話帶給我們的啟示是,在網(wǎng)絡(luò)安全領(lǐng)域中,不要總是被動防范,要掌握主動權(quán)。面對勒索軟件攻擊,只有兩種選擇,要么您具有足夠的前瞻性思維,做好備份,則可以從備份中還原數(shù)據(jù),要么支付贖金。但選擇支付贖金是有風(fēng)險(xiǎn)的,因?yàn)檎l都無法保證,在支付完贖金后,網(wǎng)絡(luò)犯罪分子是否會真的給你解密來恢復(fù)數(shù)據(jù)。
與網(wǎng)絡(luò)犯罪分子進(jìn)行這種交易可沒有簽署合同或行為準(zhǔn)則。相關(guān)報(bào)告顯示,為勒索病毒支付贖金的企業(yè)中約有42%的文件并未被解密。
鑒于當(dāng)前針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加,如果沒有適當(dāng)?shù)陌踩珎浞莺蜋z測機(jī)制,后果將是災(zāi)難性的?,F(xiàn)在采用相關(guān)的安全解決方案可以確保您以后不會為受破壞的數(shù)據(jù)而懊惱。而且從其他企業(yè)受勒索攻擊的案例中吸取教訓(xùn),也可以幫助您避免遭受同樣的悲劇。