近日Veeam在VeeamON 2022大會(huì)上公布了Veeam 2022勒索軟件趨勢(shì)報(bào)告，結(jié)果顯示，網(wǎng)絡(luò)犯罪分子平均成功加密了47%的生產(chǎn)數(shù)據(jù)，而受害者只能恢復(fù)69%的受影響數(shù)據(jù)。

根據(jù)該報(bào)告，企業(yè)在防御勒索軟件攻擊方面是失敗的，有72%的組織對(duì)備份存儲(chǔ)庫(kù)進(jìn)行了部分或完全的攻擊測(cè)試，這極大地影響了他們?cè)诓恢Ц囤H金的情況下恢復(fù)數(shù)據(jù)的能力。該報(bào)告還發(fā)現(xiàn)，已經(jīng)成功的攻擊中有80%是針對(duì)已知漏洞的，這凸顯了修補(bǔ)和升級(jí)軟件的重要性。幾乎所有攻擊者都試圖破壞備份存儲(chǔ)庫(kù)，讓受害者在不支付贖金的情況下無(wú)法恢復(fù)數(shù)據(jù)。

該報(bào)告公布了一家獨(dú)立研究公司對(duì)1000名IT領(lǐng)導(dǎo)者進(jìn)行調(diào)查的結(jié)果，發(fā)現(xiàn)受訪者所在的組織在過(guò)去12個(gè)月中至少有一次被勒索軟件攻擊成功。該報(bào)告調(diào)查了受訪者從這些事件中獲得重要經(jīng)驗(yàn)、事件對(duì)IT環(huán)境的影響、為實(shí)施現(xiàn)代數(shù)據(jù)保護(hù)策略以確保業(yè)務(wù)連續(xù)性而采取的措施等等，還專門調(diào)查了四中IT角色包括首席信息安全官、安全專家、備份管理員和IT運(yùn)營(yíng)，以了解組織內(nèi)部不同職能在網(wǎng)絡(luò)安全方面是否準(zhǔn)備就緒。

Veeam公司首席技術(shù)官Danny Allan表示：“勒索軟件使數(shù)據(jù)盜竊變得大眾化，這就需要各個(gè)行業(yè)組織展開(kāi)合作，加倍努力，以最大限度地提高他們?cè)诓恢Ц囤H金的情況下進(jìn)行補(bǔ)救和恢復(fù)的能力。向網(wǎng)絡(luò)犯罪分子支付贖金去恢復(fù)數(shù)據(jù)，這并不是一種數(shù)據(jù)保護(hù)策略。無(wú)法保證數(shù)據(jù)成功恢復(fù)、聲譽(yù)受損、客戶信心喪失，這帶來(lái)的風(fēng)險(xiǎn)很高，最重要的是，這對(duì)于犯罪行為也是一種助長(zhǎng)?！?/p>

支付贖金并不是一種數(shù)據(jù)恢復(fù)戰(zhàn)略

在接受調(diào)查的組織中，有76%的網(wǎng)絡(luò)安全受害者都有過(guò)支付贖金要求結(jié)束攻擊并恢復(fù)數(shù)據(jù)的經(jīng)歷。遺憾的是，雖然有52%的受訪者在支付贖金之后能夠恢復(fù)數(shù)據(jù)，但同時(shí)還有24%的受訪者支付了贖金卻依然無(wú)法恢復(fù)數(shù)據(jù)，也就是說(shuō)，每支付贖金的三個(gè)人里，有一個(gè)人就無(wú)法恢復(fù)數(shù)據(jù)。值得注意的是，有19%的受訪組織并沒(méi)有支付贖金，因?yàn)樗麄冏约嚎梢曰謴?fù)數(shù)據(jù)，但對(duì)于剩下81%的網(wǎng)絡(luò)安全受害者來(lái)說(shuō)，他們的最終目標(biāo)就是在不支付贖金的情況下也能恢復(fù)數(shù)據(jù)。

“強(qiáng)大的現(xiàn)代數(shù)據(jù)保護(hù)戰(zhàn)略有一個(gè)標(biāo)志，那就是要明確一個(gè)原則，即該組織永遠(yuǎn)不會(huì)支付贖金，而是盡其所能預(yù)防、補(bǔ)救和從攻擊中自行恢復(fù)。盡管勒索軟件帶來(lái)的威脅無(wú)處不在，而且是不可避免的，但要說(shuō)企業(yè)在面對(duì)勒索軟件威脅時(shí)束手無(wú)策，這是不準(zhǔn)確的。對(duì)員工進(jìn)行教育并確保他們嚴(yán)格實(shí)行了數(shù)據(jù)保護(hù)措施，定期對(duì)數(shù)據(jù)保護(hù)解決方案和協(xié)議進(jìn)行嚴(yán)格測(cè)試，并制定詳細(xì)的業(yè)務(wù)連續(xù)性計(jì)劃，讓關(guān)鍵利益相關(guān)者為最壞的情況做好準(zhǔn)備。”

有效預(yù)防需要IT和用戶的共同努力

網(wǎng)絡(luò)犯罪分子的“攻擊面”是多種多樣的。他們通常首先通過(guò)用戶點(diǎn)擊惡意鏈接、訪問(wèn)不安全的網(wǎng)站、或者打開(kāi)了網(wǎng)絡(luò)釣魚電子郵件來(lái)訪問(wèn)生產(chǎn)環(huán)境，這也暴露出一個(gè)問(wèn)題，那就是很多網(wǎng)絡(luò)攻擊事件其實(shí)是可以避免的。網(wǎng)絡(luò)犯罪分子在成功侵入環(huán)境之后，數(shù)據(jù)中心服務(wù)器、遠(yuǎn)程辦公平臺(tái)、云托管服務(wù)器之間的感染率幾乎沒(méi)有差別。

在大多數(shù)情況下，入侵者會(huì)利用已知漏洞，包括常見(jiàn)的操作系統(tǒng)和管理程序、NAS平臺(tái)和數(shù)據(jù)庫(kù)服務(wù)器，不遺余力地利用任何未修補(bǔ)或過(guò)時(shí)的軟件。值得注意的是，與IT運(yùn)營(yíng)或CISO相比，安全專業(yè)人員和備份管理員報(bào)告的感染率要高得多，這意味著“那些更接近問(wèn)題的人會(huì)看到更多的問(wèn)題”。

補(bǔ)救措施始于不變性

受訪者證實(shí)，有94%的攻擊者試圖破壞備份存儲(chǔ)庫(kù)，在72%的情況下，這種策略至少有一部分最終成功了。攻陷企業(yè)組織的數(shù)據(jù)恢復(fù)生命線，是一種很流行的攻擊策略，因?yàn)檫@增加了受害者除了支付贖金別無(wú)選擇的可能性。防止這種情況的唯一方法，就是在數(shù)據(jù)保護(hù)框架內(nèi)至少有一個(gè)不可變的層——調(diào)查中有95%的受訪者表示他們現(xiàn)在有這個(gè)不可變層或者離線層。有很多組織稱，他們?cè)诖疟P、云、磁帶策略中設(shè)置了不止一層的不可變層或者離線媒介。

Veeam 2022勒索軟件趨勢(shì)報(bào)告的其他主要發(fā)現(xiàn)包括：

編排很重要：為了主動(dòng)確保系統(tǒng)的可恢復(fù)性，有16%的IT團(tuán)隊(duì)會(huì)自動(dòng)驗(yàn)證和恢復(fù)其備份，以確保服務(wù)器的可恢復(fù)性。然后，有46%的受訪者在修復(fù)勒索軟件攻擊期間，會(huì)使用隔離的“沙箱”或者暫存/測(cè)試區(qū)域來(lái)確保他們恢復(fù)的數(shù)據(jù)在系統(tǒng)重新投入生產(chǎn)之前是干凈的。

組織上下必須一致統(tǒng)一：有81%的人受訪者認(rèn)為，他們組織的網(wǎng)絡(luò)和業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)戰(zhàn)略是一致的，但是52%的受訪者認(rèn)為，不同團(tuán)隊(duì)之間的互動(dòng)方式需要改進(jìn)。

存儲(chǔ)庫(kù)多樣化是關(guān)鍵：幾乎所有(95%)的組織都至少有一個(gè)不可變的或者離線的數(shù)據(jù)保護(hù)層。有74%使用提供不變性的云存儲(chǔ)庫(kù)，67%使用具有不變性或鎖定的本地磁盤存儲(chǔ)庫(kù)，22%使用的是磁帶。無(wú)論是否不變，組織指出，除了磁盤存儲(chǔ)庫(kù)外，45%的生產(chǎn)數(shù)據(jù)仍存儲(chǔ)在磁帶上，62%的數(shù)據(jù)在數(shù)據(jù)生命周期的某個(gè)階段進(jìn)入云端。