预测称,勒索病毒攻击频率到2031年会从2021年的每11秒一次提高到每2秒一次。如果企业关键业务数据突然遭到勒索,不法分子使用高级加密技术使其无法访问,并要求支付赎金才能解密,你会如何应对?如果拒绝支付,或者即使支付,你能保证自己的数据安全吗?当你在思考要做何选择时,你的企业会一直处于瘫痪状态,每过一分钟你都将面临更大的压力来做出正确的选择。
别让支付赎金成为你的唯一选项
Gartner将勒索病毒攻击定义为一种通过恶意软件入侵计算机系统并加密数据,然后进行勒索,直到受害者支付赎金的网络勒索。就像现实中的劫持事件一样,不法分子会以企业数据威胁索要赎金。
然而,要不要支付赎金是一个备受争议的话题。许多政府安全部门建议不要支付赎金。例如,美国政府强烈建议不要支付赎金,因为这样做会助长加密锁攻击。即使支付了赎金,企业也不能确保能够恢复所有数据。在支付勒索病毒赎金的受害者中,只有8%的受害者能拿回所有数据,只有29%的受害者能拿回近一半。即使使用加密密钥,也可能需要几天、几周甚至几个月才能恢复所有数据。
企业需要考虑,支付赎金后,不法分子会提供密钥让企业取回文件吗?他们会留下恶意软件再次攻击吗?企业是否愿意因为支付而被锁定为未来的目标?
如果没有有效的恢复策略,企业唯一的选择可能就是支付赎金,剩下的只能听天由命了。为尽量避免这种状况,勒索病毒防范必须成为企业安全工作的首要任务之一。
“一刀”切不掉“一千个头”
“所有勒索病毒攻击都是相似的,可以通过‘一刀切’的形式加以防范”,这是一种很常见的误解。事实上,由于不同类型的勒索病毒通常是为了入侵不同的目标网络而开发的,它们的操作方式可能大相径庭。
例如Locky,顾名思义,Locky会锁定文件,并用扩展名.lockey替换文件。该勒索病毒传播速度极快,与很多其他的勒索病毒相比能够更快地感染整个网络中的文件,具有极大的杀伤力。再例如Crysis,它劫持企业数据并将其移动到新的虚拟位置,将数据攻击提升到新的水平。此外还有CryptoWall、Cerber、Samsam、Maze等等。攻击者还能够组合多种类型的勒索病毒。
勒索病毒攻击就像“一千个头”的怪物一般,千变万化,狡猾多端。企业必须了解现有的各种攻击类型,并制定一个在各种故障模式下都具备弹性的恢复方案,有时数据恢复事件需要恢复到中断前的实例,有时可能需要将业务应用程序完全恢复到一个新的位置。为了确保数据恢复,企业需要具有合适的技术、人员和流程的有效解决方案,确保自己的恢复就绪状态和快速恢复能力。
时刻就绪,有备而来
通过制定计划、持续监控和采用强大的备份和恢复解决方案,企业可以通过做好充分准备降低勒索病毒风险。企业应当为勒索病毒防御和恢复制定尽可能周全的计划。企业应当制定多层安全策略,并且牢记:恢复就绪至关重要。
开展员工安全培训、及时更新安全补丁、安装防病毒和反恶意软件防护软件、实施多因素身份验证、对网络进行分段、深入了解自身数据、执行定期备份、多次测试等等都是企业保护数据,确保自身数据恢复就绪状态,降低勒索病毒风险的技巧。企业还可以借助Commvault这样的第三方供应商来强化自身的数据恢复就绪状态,并确保在防御失败的时候能够快速恢复。
Commvault多层安全遵循零信任原则,并基于国家标准与技术研究所(NIST)网络安全框架,用于保护数据,以及在遭遇勒索病毒攻击时快速恢复。Commvault有助于保护和隔离数据,提供主动监控和警报,并实现快速恢复。由人工智能和机器学习(包括蜜罐)提供支持的高级技术可以在潜在攻击来临之际及时发现并发出示警,以便企业快速响应。通过使企业的备份远离危险,使其能够在服务水平协议范围内恢复,即使勒索病毒攻击成功,企业也可以尽可能降低它的影响,以便尽快恢复正常运营,并且避免支付昂贵的赎金。
勒索病毒攻击总能引发广泛关注是有原因的。它们毫无征兆,不留情面,唯利是图,让受害者感到无能为力。企业不应当让支付赎金成为应对勒索病毒攻击的“唯一选项”,而应当时刻保持警惕,实施分层安全方法,从而降低风险,尽可能减少勒索病毒的影响。