除新冠肺炎疫情之外，勒索軟件已成為全球經(jīng)濟(jì)面臨的嚴(yán)重威脅之一。Gartner的調(diào)查研究數(shù)據(jù)表明，企業(yè)遭遇攻擊早已不再是“會(huì)否”的問(wèn)題，而只是“何時(shí)”的問(wèn)題。

Gartner預(yù)測(cè)，到2025年，75%的企業(yè)將面臨一次或多次攻擊。由于勒索軟件團(tuán)伙采取更加激進(jìn)的戰(zhàn)術(shù)勒索贖金，美國(guó)國(guó)家安全機(jī)構(gòu)發(fā)現(xiàn)，2020年遭勒索企業(yè)平均贖金支出已高達(dá)20萬(wàn)美元。

針對(duì)企業(yè)的大規(guī)模勒索軟件攻擊頻頻見(jiàn)諸報(bào)端，咨詢公司埃森哲就是新鮮出爐的受害者。美國(guó)是此類(lèi)攻擊的高發(fā)地區(qū)，勒索軟件攻擊占美國(guó)所有網(wǎng)絡(luò)攻擊的30%，是全球比例的兩倍多。

[[437998]]

為什么勒索軟件攻擊狀況如今更加嚴(yán)峻?

安全專(zhuān)家普遍的說(shuō)法是，新冠肺炎疫情及其導(dǎo)致的封城和居家辦公，為黑客創(chuàng)造了誘人的新機(jī)會(huì)。

員工有時(shí)會(huì)使用不安全的個(gè)人設(shè)備和網(wǎng)絡(luò)，通過(guò)很容易入侵的遠(yuǎn)程桌面協(xié)議軟件訪問(wèn)辦公電腦，或者通過(guò)往往配置錯(cuò)誤或防護(hù)不當(dāng)?shù)奶摂M專(zhuān)用網(wǎng)接入辦公系統(tǒng)。這就導(dǎo)致即使是具有大量IT預(yù)算和大型安全團(tuán)隊(duì)的大企業(yè)，也會(huì)遭遇漏洞完美風(fēng)暴。而且，勒索軟件攻擊還變得越來(lái)越復(fù)雜。

勒索軟件攻擊如今發(fā)展出了多個(gè)階段，從滲透網(wǎng)絡(luò)到盜取登錄憑證，再到攻擊備份系統(tǒng)。在為期數(shù)周到數(shù)月的整個(gè)攻擊過(guò)程中，不到最后有人突然發(fā)現(xiàn)文件被加密鎖定無(wú)法使用，公司通常不會(huì)發(fā)覺(jué)自己遭到了攻擊。

勒索軟件攻擊會(huì)對(duì)數(shù)據(jù)存儲(chǔ)造成怎樣的影響?

勒索軟件攻擊團(tuán)伙會(huì)襲擊所有IT基礎(chǔ)設(shè)施，不僅僅是服務(wù)器和應(yīng)用。ESET發(fā)布的勒索軟件報(bào)告顯示，2021年，附網(wǎng)存儲(chǔ)(NAS)設(shè)備制造商QNAP向其客戶發(fā)出警報(bào)稱(chēng)，eCh0raix正在攻擊其N(xiāo)AS設(shè)備，尤其是使用弱口令的NAS設(shè)備。

這一前景實(shí)在不容樂(lè)觀，因?yàn)閿?shù)據(jù)增長(zhǎng)是爆炸性的，而80%的企業(yè)數(shù)據(jù)現(xiàn)在基本上是非結(jié)構(gòu)化文件數(shù)據(jù)，要么位于NAS存儲(chǔ)，要么存放在云端。

非結(jié)構(gòu)化文件數(shù)據(jù)面臨勒索軟件挑戰(zhàn)

由于規(guī)模巨大、格式多樣且增長(zhǎng)迅速，文件數(shù)據(jù)保護(hù)相當(dāng)棘手。IT部門(mén)必須制定多層策略，也就是說(shuō)，除了保存本地備份副本，還必須在云端等不會(huì)被感染的其他地方單獨(dú)保存一份額外的副本。

但如今，我們討論的是天價(jià)遭攻擊成本。很多企業(yè)的文件數(shù)據(jù)規(guī)模已達(dá)PB級(jí)，而1PB往往意味著幾十億個(gè)文件。公司本就難以備份所有這些數(shù)據(jù)。再添加一份額外的副本，可能會(huì)讓首席財(cái)務(wù)官相當(dāng)頭痛。

萬(wàn)幸，我們還可以創(chuàng)建經(jīng)濟(jì)高效的多層策略。方法如下：

1. 重視可見(jiàn)性與審計(jì)

早期檢測(cè)勒索軟件是一個(gè)很好的目標(biāo)，可以通過(guò)在企業(yè)各個(gè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施上監(jiān)測(cè)操作行為和識(shí)別威脅與異常活動(dòng)來(lái)實(shí)現(xiàn)。采用非結(jié)構(gòu)化數(shù)據(jù)管理工具分析數(shù)據(jù)使用，可以揭示文件可疑操作，比如文件讀取和寫(xiě)入次數(shù)異常。盡管早期檢測(cè)可作為理想防線，但并非萬(wàn)無(wú)一失，因?yàn)槔账鬈浖粢苍诓粩噙M(jìn)化。存儲(chǔ)管理器應(yīng)具有分析數(shù)據(jù)儀表盤(pán)，顯示內(nèi)部和云端各個(gè)位置所有數(shù)據(jù)使用的關(guān)鍵指標(biāo)。大部分(80%)文件數(shù)據(jù)通常都是冷數(shù)據(jù)，一年多沒(méi)用過(guò)的那種。想要?jiǎng)?chuàng)建經(jīng)濟(jì)高效的多層防御策略，關(guān)鍵在于知道哪些數(shù)據(jù)是經(jīng)常使用的熱數(shù)據(jù)，而哪些是不經(jīng)常使用的冷數(shù)據(jù)。

2. 創(chuàng)建多層數(shù)據(jù)管理防御

• 熱數(shù)據(jù)快照與備份?？煺张c備份能夠在數(shù)據(jù)更新時(shí)跟蹤記錄數(shù)據(jù)的各項(xiàng)變更。經(jīng)常使用的熱數(shù)據(jù)需要快照與備份來(lái)防止用戶誤操作或系統(tǒng)故障導(dǎo)致的損失。但快照和備份也會(huì)遭到勒索軟件攻擊，如果很多天都沒(méi)有檢測(cè)出來(lái)，那它們“保護(hù)”的可能就是已損壞的數(shù)據(jù)了。想要抵御勒索軟件，我們還需要在單獨(dú)的物理位置，比如云端，再存上一份不可變(無(wú)法重寫(xiě))的數(shù)據(jù)副本?？煺蘸蛡浞菘刹槐阋耍晕覀冎贿@么備份通常僅占總量20%的熱數(shù)據(jù)。

• 冷數(shù)據(jù)云分層和不可變存儲(chǔ)。不應(yīng)對(duì)所有數(shù)據(jù)一視同仁是現(xiàn)代數(shù)據(jù)管理的箴言之一。數(shù)據(jù)管理可不能搞民主。通過(guò)將冷數(shù)據(jù)從頂級(jí)NAS分層到云端對(duì)象鎖定存儲(chǔ)，我們就能以很少的成本獲得冷文件數(shù)據(jù)的不可變副本。勒索軟件無(wú)法重寫(xiě)這一副本。將冷數(shù)據(jù)轉(zhuǎn)移到對(duì)象存儲(chǔ)還能減少備份占用的空間，可以在減少備份許可成本的同時(shí)，再加上一道勒索軟件防線。當(dāng)然，你還可以創(chuàng)建異地(DR)磁帶數(shù)據(jù)備份。不過(guò)，這樣的話，恢復(fù)時(shí)間就會(huì)長(zhǎng)上許多了。而且，在云時(shí)代，物理備份解決方案的吸引力早已不如從前。

3. 制定計(jì)劃并加以驗(yàn)證

前兩項(xiàng)就位后，團(tuán)隊(duì)?wèi)?yīng)制定可行的計(jì)劃來(lái)應(yīng)對(duì)攻擊場(chǎng)景。不要等到黑客成功鎖定文件/系統(tǒng)并在電腦前笑等贖金入賬的時(shí)候才來(lái)驗(yàn)證自己的計(jì)劃是否可行。必須記錄和測(cè)試計(jì)劃，確保能通過(guò)快速恢復(fù)和替代數(shù)據(jù)訪問(wèn)方法來(lái)保護(hù)數(shù)據(jù)，這樣才能在不中斷業(yè)務(wù)或支付大筆贖金的情況下保持業(yè)務(wù)正常運(yùn)行。

抵御勒索人人有責(zé)

與勒索軟件的斗爭(zhēng)正從安全團(tuán)隊(duì)擴(kuò)展到企業(yè)IT的各個(gè)方面，包括數(shù)據(jù)存儲(chǔ)。通過(guò)非結(jié)構(gòu)化數(shù)據(jù)管理，存儲(chǔ)專(zhuān)業(yè)人員可以采用多層防御策略來(lái)輔助安全同事的工作。這種策略始于跨所有存儲(chǔ)的實(shí)時(shí)可見(jiàn)性，并納入了快照、備份和對(duì)象鎖定云存儲(chǔ)。企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)會(huì)對(duì)此感激不盡的。

隨著網(wǎng)絡(luò)犯罪團(tuán)伙愈加激進(jìn)，隨著他們的攻擊手段不斷推陳出新，數(shù)據(jù)管理專(zhuān)業(yè)人員需要通過(guò)更為細(xì)致入微的災(zāi)難恢復(fù)計(jì)劃加強(qiáng)防范。