文/ Veritas公司大中华区技术销售与服务总监 蔡报永
由于没有备份数据,导致病毒侵入后3个月无法恢复,致使某一产品订单减少60%...…这并不是耸人听闻的故事,而是一家制造业企业血淋淋的教训。在数字化已经发展到如此高水平、高普及的时代,这种实例越来越常见,但即使大多数企业明知可能会成为勒索攻击的下一个目标,出于种种原因,真正下力气做好安全工作,采取完备数据保护措施以应对不时之需的,却并不多见。
毋庸置疑,越来越多的创新数字化技术,在企业降本增效,优化管理,追求可持续发展等方面做出了重要的贡献,但数字化的深入就像达摩克斯之剑,让更多加速数字化转型的企业面临日益加剧的网络信息安全威胁。根据我们的观察,大量科技金融、医疗、制造业等企业正成为黑客最关注的目标,且针对虚拟化平台、Linux系统的攻击也越来越多。
如果未来企业被勒索攻击成为“大概率事件”,那么我们需要如何应对,才能将这块阻碍数字化转型和制约信息安全的“绊脚石”移除,并将企业蒙受的损失降到最低呢?Veritas认为,唯有知己知彼,方可药到病除。
想战胜它,先了解它
俗话说,知己知彼,百战不殆。那么导致勒索攻击泛滥的主要原因究竟是什么?简单来说,可以归为“外患”和“内忧”。
从外部环境来看,随着技术的迭代,勒索病毒如今已经形成产业化,即使是“门外汉”,也可以轻松地在类似RaaS(勒索软件即服务)平台上获取病毒,对目标进行勒索,也就是说勒索的门槛降低了;其次,区块链、加密数字货币等技术的出现,让勒索行为变得更隐秘,执法部门更难以追踪,这让勒索的风险降低了;最后,生成式AI的强大功能也成为了黑客的“帮凶”,其无限制的滥用使生成钓鱼软件、开发零漏洞代码等变得更快更容易,使勒索的手段丰富了。
从企业内部来看,大致可以归因为两点,首先是企业对自身IT安全能力有误判,大部分安全措施仍然停留在基于业务灾难设计的原始阶段,并未考虑勒索攻击带来的后果;第二,由于很多企业不知道数据备份需要投入资金、人力等,因而未能在预算上进行精准投入。可以说,企业对“敌我形势”的刻板印象,为勒索攻击留下了太多“可乘之机”,也因此承受了巨大的损失。
对症下药,治标治本
即使我们对于勒索攻击的调查与分析从未停止,但面对层出不穷且“花样翻新”的勒索病毒,仍然难免“百密一疏”。有数据显示,目前每11秒就有一家企业成为勒索攻击的受害者,因此,在追因过后,我们需要考虑更有效的应对之策。
如何做到“心中不慌”?我们认为需要做到这三点:未雨绸缪的防御,有的放矢的恢复,事无巨细的检查。
首先,对于Veritas的众多客户而言,提前做好数据备份已经形成了共识。在此基础上,我们认为在严峻的环境中,企业的数据保护不仅需要备份,更需要提高备份的防御韧性。我们建议企业遵循 3-2-1-1 的方法,对数据进行定期且频繁的备份,并通过加密数据、限制访问权限、制定危机应对计划、加强测试和培训等手段提高防御能力。这里需要格外注意的是,备份体系架构设计应基于勒索攻击进行考量,以避免方向偏离实际环境致使备份系统的整体覆灭。
然而,正像我们之前提到的,“百密一疏”难以避免,一旦遭遇勒索攻击,企业首先需要进行评估,然后根据受攻击的范围和防范程度等选择最适合的恢复方案,其中包括裸机恢复、颗粒级恢复、从虚拟机(VM)即时回滚、数据中心按需服务等,这也就意味着企业需要投入一定时间对不同恢复方案进行了解,以便在攻击发生后的第一时间做出更明智的决策,来达到以最快速度,最低影响恢复数据的目标。
值得一提的是,完成数据恢复有时并非意味着万事大吉。根据我们的经验,由于未能做到“斩草除根”,当企业把业务系统恢复到生产环境时,仍然还留有黑客驻留的恶意程序,为后续再次或持续遭受攻击留下了隐患。对此,我们也建议企业在数据恢复后,能够及时溯源,并对服务器端、网络端、防火墙等多环节进行检查,把勒索攻击隐患彻底从系统环境里清理出来。
不得不承认,在如今的网络环境下,没有一家企业能够100%保证不受勒索攻击。但即使如此,一旦遭受攻击,比起支付赎金,我们更建议企业可以及时向业界专家、可提供数据保护及恢复服务的供应商寻求帮助和支持。作为全球企业级多云数据管理领域的领导者,Veritas希望能够凭借领先的技术及创新的产品,成为用户抵御勒索攻击的基石和底气,并期待能够与整个行业一同努力向前,共创安全未来。