【51CTO.com原創(chuàng)稿件】2020年，突如其來的新冠肺炎疫情，在給各行各業(yè)帶來巨大影響的同時，也徹底讓企業(yè)看到了數(shù)字化轉(zhuǎn)型的重要性。疫情之后，企業(yè)數(shù)字轉(zhuǎn)型步入快車道，高速發(fā)展的數(shù)字化業(yè)務(wù)給勒索病毒帶來了巨大的“利好”，企業(yè)必須采取有效的安全防護措施，才能保護應(yīng)用和數(shù)據(jù)安全，確保業(yè)務(wù)的連續(xù)性。

　　安全成為企業(yè)噩夢，形勢或許更加嚴(yán)峻

　　全球最早的勒索病毒雛形誕生于1989年，由Joseph Popp編寫，該木馬程序以“艾滋病信息引導(dǎo)盤”的形式進入系統(tǒng)，采用替換AUTOEXEC.BAT文件的方式，實現(xiàn)在開機時記數(shù)。一旦系統(tǒng)啟動次數(shù)達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密，從而導(dǎo)致系統(tǒng)無法啟動。在中國，第一個勒索病毒——Redplus勒索木馬出現(xiàn)在2006年，該木馬會隱藏用戶文檔和包裹文件，然后彈出窗口要求用戶將贖金匯入指定銀行賬號。

　　實際上，勒索病毒最初針對的是個人計算機，隨著企業(yè)實施數(shù)字化轉(zhuǎn)型，勒索病毒的主要攻擊目標(biāo)也隨之發(fā)生變化，由此勒索病毒成為令所有企業(yè)非常痛恨的一種網(wǎng)絡(luò)攻擊方式。近年來，企業(yè)因受勒索病毒攻擊造成的巨大損失事件層出不窮。有關(guān)數(shù)據(jù)顯示，2019年勒索病毒帶來的各種損失達到115億美元。

　　雖然企業(yè)越發(fā)重視勒索病毒的攻擊，并采取了一定的防護，但業(yè)界多家安全廠商對勒索病毒監(jiān)測發(fā)現(xiàn)，勒索病毒的攻擊勢頭仍然呈現(xiàn)上升趨勢，頻率也在增加。

　　在企業(yè)面臨的威脅當(dāng)中，除了對文件服務(wù)器、數(shù)據(jù)庫服務(wù)、虛擬機和云環(huán)境進行直接攻擊之外，勒索病毒還會搜索應(yīng)用和數(shù)據(jù)備份，并其進行加密，讓企業(yè)防不勝防。此外，勒索病毒還把更多的目光轉(zhuǎn)向針對云服務(wù)器提供商或運營商，對云上的數(shù)據(jù)進行加密勒索。

　　為了提高攻擊的成功率，攻擊者也開始采取更長期的觀察，從最初的輕微破壞網(wǎng)絡(luò)安全到完全控制受害者的公司網(wǎng)絡(luò)，其中一些攻擊可能需要數(shù)周或更長時間。這意味著，攻擊者有足夠的時間和耐心來了解企業(yè)關(guān)鍵數(shù)字資產(chǎn)，從而讓他們對受害者施加更大的壓力。

　　可以說，勒索病毒已經(jīng)成為全球企業(yè)的噩夢，且情況變得越來越糟糕。

　　勒索病毒無孔不入，安全意識必須樹牢

　　在攻擊方式上，勒索病毒與其它病毒最大的區(qū)別在于其不但會直接利用木馬等攻擊企業(yè)的數(shù)據(jù)中心，而且還會利用各種移動、桌面設(shè)備進行攻擊，例如通過企業(yè)員工的電腦漏洞來攻擊企業(yè)的數(shù)據(jù)中心等等。此外，其還會偽裝為盜版軟件、外掛軟件、色情播放器等，誘導(dǎo)受害者下載運行病毒，以此來形成傳播，感染企業(yè)的應(yīng)用和數(shù)據(jù)，造成巨大損失。

　　相關(guān)報道顯示，截至2019年第四季度，超過57%的勒索病毒攻擊載體通過遠程桌面協(xié)議(RDP)漏洞切入，超過26%通過網(wǎng)絡(luò)釣魚攻擊傳播，還有超過12%來自軟件漏洞。

　　因此，在應(yīng)對勒索病毒方面，首先要讓員工樹立強大的安全意識，這也正是Veeam倡導(dǎo)的防范勒索病毒的3個終極策略之一：培訓(xùn)。

　　由于勒索病毒能夠通過任何員工的設(shè)備實現(xiàn)攻擊，因此培訓(xùn)的對象不僅僅是IT人員，還包括企業(yè)的每一位員工。通過對所有員工進行攻擊載體識別培訓(xùn)，讓他們了解RDP、網(wǎng)絡(luò)釣魚和軟件更新是攻擊切入的三大機制，找準(zhǔn)應(yīng)對勒索病毒攻擊的著力點，樹立牢固的安全意識。

　　當(dāng)然，在對企業(yè)IT部門人員進行培訓(xùn)時，需要要求員工學(xué)習(xí)使用各種工具，以便能夠在發(fā)生勒索病毒攻擊并需要還原數(shù)據(jù)時，可以及時并快速應(yīng)對。為此，Veeam推出了Veeam Backup & Replication™安全恢復(fù)、Veeam DataLabs™數(shù)據(jù)備份等防勒索病毒產(chǎn)品，讓企業(yè)在受到勒索病毒攻擊后快速還原應(yīng)用和數(shù)據(jù)，保證業(yè)務(wù)不中斷。

　　Veeam Backup & Replication™在安全恢復(fù)期間會掛載企業(yè)計劃還原的機器磁盤，觸發(fā)殺毒軟件掃描已掛載磁盤中的文件，如果檢測到惡意軟件，則 Veeam Backup & Replication 將中止還原流程，或者根據(jù)安全恢復(fù)設(shè)置中的限制條件還原機器或還原磁盤。

　　Veeam DataLab 是一項 SureBackup® 作業(yè)，能夠在隔離的環(huán)境中執(zhí)行并打開虛擬機 (VM) 備份，此功能不但旨在驗證系統(tǒng)是否確實可恢復(fù)，也可用于測試應(yīng)用程序或操作系統(tǒng)更新等。DataLabs 不但能夠用于獲取還原點，并在還原之前確保系統(tǒng)按預(yù)期運行，還可以在不連接網(wǎng)絡(luò)的情況下打開DataLab中的一個或多個系統(tǒng)，以執(zhí)行一些可能的修復(fù)。

　　當(dāng)然，Veeam還建議用戶掌握SureBackup 的使用方法，以便于在進行勒索病毒修復(fù)時，能夠輕松運行 SureBackup作業(yè)，確保系統(tǒng)能夠正確還原，并且應(yīng)用程序按預(yù)期運行。

　　Veeam認(rèn)為，培訓(xùn)對于企業(yè)防止勒索病毒的攻擊有著重要意義，不但能夠讓企業(yè)所有員工樹立預(yù)防勒索病毒的意識，而且還能夠讓所有員工熟練掌握防勒索病毒的處理流程，讓IT部門員工熟練使用各種工具，快速處理各種風(fēng)險，在保持業(yè)務(wù)連續(xù)性的同時，將安全風(fēng)險、成本降至最低。因此，培訓(xùn)是防止勒索病毒攻擊的必要措施，企業(yè)不得有半點松懈。

　　夯實備份基礎(chǔ)架構(gòu)，彈性抵御勒索病毒攻擊

　　當(dāng)企業(yè)遭遇勒索病毒攻擊時，快速處理和補救措施必須高效快速，這就必須借助簡單、靈活和可靠的備份產(chǎn)品和解決方案。實際上，這也是Veeam防范勒索病毒的3個終極策略中的另外兩個：實施和補救。

　　筆者認(rèn)為，簡單、靈活和可靠的備份產(chǎn)品和解決方案，必須具備以下幾大要素。首先，必須操作簡單，易于使用，這樣才能做到在企業(yè)受到攻擊后能夠快速恢復(fù)，降低因操作帶來的復(fù)雜度。其次，必須能夠很好的兼容企業(yè)所有存儲產(chǎn)品。由于大部分企業(yè)往往會使用不同品牌、不同型號的存儲設(shè)備，這就要求備份產(chǎn)品必須能夠支持各種存儲設(shè)備，具備極高的靈活性。最后，必須具備極強的數(shù)據(jù)自我復(fù)原能力，即使遇到再強大的攻擊，也能夠完整的恢復(fù)業(yè)務(wù)數(shù)據(jù)。以上這些，也是Veeam提出的彈性抵御勒索病毒攻擊的主要理念。

　　在抵御勒索病毒的威脅時，Veeam不但提供了保護Veeam Backup & Replication服務(wù)器和組件、實現(xiàn)檢測勒索病毒的 Veeam 功能、多種恢復(fù)技術(shù)配置、多種終端保護、NAS保護、備份數(shù)據(jù)加密和編排式備份和副本恢復(fù)，而且還提出了超彈性備份存儲和 3-2-1 原則，即建議至少為重要數(shù)據(jù)保存三個副本，并保存在兩種不同介質(zhì)上，其中一個副本為異地存儲。3-2-1 原則的優(yōu)勢在于對硬件類型沒有特別要求，并且具有普遍適用性，能夠應(yīng)對幾乎任何故障場景。

　　此外，由于勒索病毒威脅不斷加劇，Veeam 強調(diào)其中“一個”數(shù)據(jù)副本必須具有超強的彈性(即物理隔離、離線或不可變)。

　　實際上，Veeam的超彈性備份存儲不但支持磁帶備份，S3或兼容S3的對象存儲中的不可變備份，而且提供物理隔離和離線介質(zhì)(即移動硬盤、輪轉(zhuǎn)驅(qū)動器)以及帶內(nèi)部保護功能 Veeam Cloud Connect中的備份。

　　Veeam認(rèn)為，從彈性抵御勒索病毒的角度來說，備份解決方案的實施與合規(guī)性審計非常一致。產(chǎn)品合規(guī)性可能并不在于產(chǎn)品本身，而是完全由產(chǎn)品的實施和審核方式來決定。當(dāng)遭到勒索病毒攻擊時，企業(yè)的彈性處理能力完全取決于備份解決方案的實施方式、威脅行為和修復(fù)過程。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】