被勒索軟件攻擊后的五個應對步驟

■ 河南 崔賢

編者按：當前針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，當我們在遇到勒索軟件攻擊后，應采取哪些步驟有效地恢復數(shù)據(jù)？本文將討論一些較為有效的方法。

勒索軟件已被許多組織認定為面臨的最具威脅性的網(wǎng)絡安全風險，其原因是顯而易見的：在2019年，超過50%的企業(yè)受到勒索軟件攻擊，估計損失達115億美元。僅在去年的最后一個月，包括佳能、Garmin等在內(nèi)的公司就成為了主要勒索軟件攻擊的受害者，并為此支付了數(shù)百萬美元的費用。

當前關于勒索軟件對企業(yè)業(yè)務的影響還有很多討論，并采取了諸多措施來預防，但要確保如何在被攻擊之后對數(shù)據(jù)進行恢復，尚存在很多困難。

盡管對于企業(yè)而言，有些勒索攻擊的贖金可能較少，但重要的是企業(yè)的重要數(shù)據(jù)是否被損壞。當我們在遇到勒索軟件攻擊后，應采取哪些步驟有效地恢復數(shù)據(jù)？以下討論一些較為有效的方法。

檢測

可以說，從勒索軟件攻擊中恢復數(shù)據(jù)，最具挑戰(zhàn)性的步驟是從最開始就意識到出了問題——它也是最關鍵的步驟之一。用戶越早檢測到勒索軟件攻擊，受到影響的目標數(shù)據(jù)就越少。這也直接影響到恢復數(shù)據(jù)所需的時間。

勒索軟件通常會進行特殊的精心設計，這使其很難被發(fā)現(xiàn)。當用戶在看到顯示勒索贖金時，說明防護為時已晚，勒索軟件已經(jīng)對整個IT環(huán)境造成了損害。因此，擁有可以識別異常行為（例如異常文件共享）的網(wǎng)絡安全解決方案，可以幫助用戶快速隔離勒索軟件感染，并在其進一步蔓延之前進行阻斷。

與基于簽名或基于網(wǎng)絡流量的檢測相比，異常文件行為檢測技術是檢測勒索軟件攻擊最有效的方法之一，并且誤報最少。

檢測勒索軟件攻擊的另一種方法是使用“基于簽名”的方法。如果檢測到相關的惡意代碼，則可以通過該方法來進行查找。但這種方法的局限性在于，它只能檢測已知的勒索軟件。一般并不建議使用該方法，因為復雜的攻擊經(jīng)常變換新的代碼，往往以另一種新的未知的勒索軟件的形式出現(xiàn)。因此，建議使用基于AI/ML的方法，該方法通過查找惡意行為，例如文件的快速連續(xù)加密，來確定攻擊的發(fā)生。

其他有效的網(wǎng)絡安全手段還包括，對電子郵件等關鍵業(yè)務系統(tǒng)的防護。勒索軟件通常是通過網(wǎng)絡釣魚電子郵件攻擊或帶有危險文件附件，或者是超鏈接的電子郵件來達到感染系統(tǒng)的目的。

如果企業(yè)不具備處理危險電子郵件的能力，那么勒索軟件侵入企業(yè)內(nèi)部IT環(huán)境或SaaS云環(huán)境就會非常容易。因此，特別是在云SaaS環(huán)境中，控制云環(huán)境中第三方應用程序的訪問權限非常重要。

遏制

在檢測到勒索軟件攻擊之后，用戶可以通過隔離勒索軟件進程，來阻止其進一步傳播。如果是在云環(huán)境中，則這些攻擊通常源自遠程文件同步，或是運行勒索軟件加密過程的第三方應用程序，或是瀏覽器插件驅(qū)動的其他進程。挖掘并隔離勒索軟件攻擊的來源可以有效遏制感染，從而減輕對數(shù)據(jù)的破壞。為了達到有效的結(jié)果，該過程必須是自動化的。

很多攻擊是趁管理員未監(jiān)控IT環(huán)境間隙的數(shù)小時內(nèi)發(fā)生的。因此，一旦發(fā)生勒索攻擊，必須迅速做出反應以阻止病毒傳播。安全策略規(guī)則和腳本必須作為主動保護的一部分放在適當?shù)奈恢谩Ｒ虼?，在識別出感染后，自動化程序會通過刪除可執(zhí)行文件或擴展名來阻止攻擊，并將受感染的文件與IT環(huán)境的其他部分隔離開來。

在遭遇勒索軟件攻擊時，還有一種方法可以讓企業(yè)能夠挽回或彌補損失，那就是購買網(wǎng)絡保險。網(wǎng)絡保險是一種網(wǎng)絡安全領域里的保險，旨在保護企業(yè)（以及為企業(yè)提供服務的個人）免受基于互聯(lián)網(wǎng)的風險（如勒索軟件攻擊），以及與IT基礎架構(gòu)、隱私、數(shù)據(jù)治理相關的其他風險。在這種情況下，網(wǎng)絡保險可以幫助企業(yè)減輕恢復數(shù)據(jù)的部分財務負擔。當然，目前網(wǎng)絡保險制度在國內(nèi)市場尚未成熟，但其發(fā)展前景非常廣闊。

備份

在大多數(shù)情況下，即使快速檢測到并遏制了勒索軟件攻擊，仍然會有一部分數(shù)據(jù)受到影響并需要還原。這就需要對數(shù)據(jù)進行備份，才能實現(xiàn)對被破壞數(shù)據(jù)的恢復。在進行備份時，可以遵循如下“3-2-1”原則，將備份數(shù)據(jù)與實際運行環(huán)境隔離開。

·保留任何重要文件的3個副本，包括一個主要文件和兩個備份文件。

·將文件保留在2種不同的介質(zhì)類型上。

·異地維護1份副本。

如果您的備份是在SaaS環(huán)境中的，則需要通過云備份供應商來存儲重要數(shù)據(jù)，以符合“異地”的原則。這將極大地減少備份數(shù)據(jù)與生產(chǎn)數(shù)據(jù)一同受到影響的幾率。

因此，從勒索軟件攻擊中恢復數(shù)據(jù)的可靠方法，是對關鍵業(yè)務數(shù)據(jù)進行備份。但目前在面對勒索軟件攻擊時，備份的重要性尚未能得到足夠的重視。相對于絞盡腦汁地防范隨時可能出現(xiàn)的勒索軟件，采取備份操作并從備份中恢復數(shù)據(jù)，對業(yè)務數(shù)據(jù)的保護更能占據(jù)主動權。

當前企業(yè)在采用云服務時可能存在一個誤區(qū)，很多企業(yè)可能會錯誤地認為云服務提供商已采取了完備的方案來保護客戶的數(shù)據(jù)，而不需要自己做什么。當然，在保護客戶數(shù)據(jù)安全方面，云服務提供商確實采取了一些機制。但實際上，保護云環(huán)境中的數(shù)據(jù)安全往往采取的是責任共擔的方式，確保云上數(shù)據(jù)安全不僅僅是云服務提供商的責任，還包括客戶自己。

報告相關部門

當前世界各國和地區(qū)針對數(shù)據(jù)保護都頒布了相關的法律法規(guī)及行業(yè)標準，因此企業(yè)需要遵循當?shù)氐脑S多合規(guī)性法規(guī)，例如PCI-DSS（第三方支付行業(yè)數(shù)據(jù)安全標準）、GDPR（通用數(shù)據(jù)保護條例）等，許多法規(guī)都要求企業(yè)應將違規(guī)行為通知相關監(jiān)管機構(gòu)。因此，一旦出現(xiàn)了相關的違規(guī)行為，就應立即報告相關部門。特別是如果您的企業(yè)屬于某些受監(jiān)管的行業(yè)（例如金融行業(yè)），那么同樣有針對該行業(yè)的數(shù)據(jù)保護標準，這些都是需要企業(yè)熟知的。

測試

在對數(shù)據(jù)進行恢復后，還需要測試對數(shù)據(jù)和任何其它受影響的關鍵業(yè)務系統(tǒng)的訪問，以確保成功恢復了數(shù)據(jù)和服務。這樣，才算是徹底解決了所有的問題，然后再考慮將整個系統(tǒng)重新投入運行。

而如果是在IT環(huán)境中遇到的響應時間比平常慢，或者文件大小比正常情況大時，那么這可能表明數(shù)據(jù)庫或存儲系統(tǒng)中仍潛藏著某些風險。

結(jié)語

俗話說“最好的防守就是進攻”，這句話帶給我們的啟示是，在網(wǎng)絡安全領域中，不要總是被動防范，要掌握主動權。面對勒索軟件攻擊，只有兩種選擇，要么您具有足夠的前瞻性思維，做好備份，則可以從備份中還原數(shù)據(jù)，要么支付贖金。但選擇支付贖金是有風險的，因為誰都無法保證，在支付完贖金后，網(wǎng)絡犯罪分子是否會真的給你解密來恢復數(shù)據(jù)。

與網(wǎng)絡犯罪分子進行這種交易可沒有簽署合同或行為準則。相關報告顯示，為勒索病毒支付贖金的企業(yè)中約有42%的文件并未被解密。

鑒于當前針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，如果沒有適當?shù)陌踩珎浞莺蜋z測機制，后果將是災難性的?，F(xiàn)在采用相關的安全解決方案可以確保您以后不會為受破壞的數(shù)據(jù)而懊惱。而且從其他企業(yè)受勒索攻擊的案例中吸取教訓，也可以幫助您避免遭受同樣的悲劇。