數(shù)據(jù)備份能否免受勒索軟件的侵害?
在2004年國(guó)信辦發(fā)布的《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》,強(qiáng)調(diào)了重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅(jiān)持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則,充分調(diào)動(dòng)和發(fā)揮各方面的積極性,提高抵御災(zāi)難破壞能力和災(zāi)難恢復(fù)能力。
災(zāi)難備份建設(shè)要統(tǒng)籌規(guī)劃、合理布局,突出重點(diǎn),避免重復(fù)建設(shè)。要從實(shí)際需求出發(fā),組織有關(guān)機(jī)構(gòu)和專(zhuān)家針對(duì)信息系統(tǒng)的安全威脅、脆弱性、防護(hù)措施有效性等進(jìn)行分析評(píng)估,根據(jù)信息系統(tǒng)的重要性、面臨的風(fēng)險(xiǎn)大小、業(yè)務(wù)中斷所帶來(lái)的損失等因素,綜合平衡安全成本和風(fēng)險(xiǎn),確定災(zāi)難備份建設(shè)等級(jí),選擇合適的災(zāi)難備份方案,嚴(yán)防不顧實(shí)際需求,一哄而上。
圖片
我們很多關(guān)于信息安全的工作,一定程度上以《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào),以下簡(jiǎn)稱《意見(jiàn)》)作為我們的遵循,所以信息(網(wǎng)絡(luò))安全的災(zāi)備工作其實(shí)國(guó)家層面是一早就做好了頂層設(shè)計(jì)了,而隨著信息化發(fā)展,網(wǎng)絡(luò)安全不斷復(fù)雜化,災(zāi)備在今天顯得尤為重要,當(dāng)網(wǎng)絡(luò)安全威脅到今天,我們不得不面對(duì)可能得勒索軟件攻擊,而備份作為網(wǎng)絡(luò)安全最后一道防線,能否扛得住勒索軟件攻擊,是我們關(guān)心的重要議題之一。
備份是任何可靠的反勒索軟件策略的重要組成部分。事實(shí)上,研究表明,使用備份的勒索軟件受害者的恢復(fù)成本中位數(shù)是支付贖金的受害者的一半。但并非所有數(shù)據(jù)備份方法都是一樣的。
另一份報(bào)告發(fā)現(xiàn),在 93% 的勒索軟件事件中,威脅行為者會(huì)主動(dòng)瞄準(zhǔn)備份存儲(chǔ)庫(kù)。這導(dǎo)致 75% 的受害者在攻擊期間至少丟失部分備份,并且超過(guò)三分之一 (39%) 的備份存儲(chǔ)庫(kù)完全丟失。
是什么讓一種備份策略比另一種更好?它從不變性開(kāi)始,但故事還有更多內(nèi)容。
勒索軟件繼續(xù)造成嚴(yán)重破壞
根據(jù)最近的國(guó)外Veeam 勒索軟件趨勢(shì)報(bào)告,85% 的組織在過(guò)去 12 個(gè)月內(nèi)至少遭受過(guò)一次網(wǎng)絡(luò)攻擊。該報(bào)告調(diào)查了 1,200 名 IT 領(lǐng)導(dǎo)者,他們的組織在 2022 年至少遭受過(guò)一次勒索軟件攻擊。參與者包括來(lái)自亞太及日本地區(qū)、歐洲、中東和非洲以及美洲 14 個(gè)不同國(guó)家的各種規(guī)模的公司。
該研究中最值得注意的發(fā)現(xiàn)之一是團(tuán)隊(duì)領(lǐng)導(dǎo)者敏銳地意識(shí)到 IT 備份團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的脫節(jié)。事實(shí)上,70% 的備份管理員和 59% 的安全專(zhuān)業(yè)人員認(rèn)為團(tuán)隊(duì)一致性需要“重大改進(jìn)”或“徹底改革”。
為什么這些團(tuán)隊(duì)會(huì)感覺(jué)到巨大的一致性差距?原因之一可能是只有 16% 的調(diào)查受訪者表示他們?nèi)』亓藬?shù)據(jù)并避免支付贖金。此外,21% 的人支付了贖金,但從未恢復(fù)過(guò)數(shù)據(jù)。與此同時(shí),59% 的人支付了贖金以取回?cái)?shù)據(jù)。
受影響的備份存儲(chǔ)庫(kù)
根據(jù)該報(bào)告,到 2022 年,惡意行為者至少有 93% 的攻擊以備份為目標(biāo)。75% 的攻擊中,對(duì)手成功滲透了備份存儲(chǔ)庫(kù)。根據(jù)研究數(shù)據(jù),Veeam 得出了以下令人震驚的結(jié)論:
- 備份存儲(chǔ)庫(kù)有 75% 的可能性會(huì)受到網(wǎng)絡(luò)攻擊的影響
- 受影響時(shí),39% 的存儲(chǔ)庫(kù)將變得無(wú)法使用
- 近三分之一 (29%) 的數(shù)據(jù)恢復(fù)嘗試不可行。
圖片
與此同時(shí),調(diào)查受訪者估計(jì),他們平均需要 3.3 周的時(shí)間才能認(rèn)為康復(fù)工作已完成?,F(xiàn)實(shí)情況是,一些恢復(fù)工作可能會(huì)持續(xù)數(shù)月。
使數(shù)據(jù)可恢復(fù)
不到 25% 的勒索軟件受害者表示攻擊并未影響他們的備份存儲(chǔ)庫(kù)。根據(jù) Veeam 的說(shuō)法,這些組織實(shí)現(xiàn)這種級(jí)別的備份保護(hù)的方式始于不變性或網(wǎng)閘。
對(duì)于不變性,82% 的受訪者使用不可變?cè)疲?4% 使用不可變磁盤(pán)。不可變?cè)苽浞菔侵冈谥付〞r(shí)間內(nèi)備份數(shù)據(jù)無(wú)法修改、更改或刪除的備份策略。它確保備份數(shù)據(jù)保持完整且防篡改,防止意外或惡意更改。嚴(yán)格的訪問(wèn)控制和寫(xiě)保護(hù)機(jī)制可以幫助防止對(duì)備份文件的修改。
網(wǎng)閘可以將計(jì)算機(jī)或網(wǎng)絡(luò)與不安全或可能受到威脅的網(wǎng)絡(luò)隔離。涉及從物理上斷開(kāi)系統(tǒng)或網(wǎng)絡(luò)與任何外部連接(例如互聯(lián)網(wǎng)或其他網(wǎng)絡(luò))的連接。隔離系統(tǒng)或網(wǎng)絡(luò)會(huì)形成一道屏障,使攻擊者難以滲透或泄露數(shù)據(jù)。這意味著將備份數(shù)據(jù)存儲(chǔ)在獨(dú)立的離線存儲(chǔ)介質(zhì)上,例如外部硬盤(pán)驅(qū)動(dòng)器、磁帶或光盤(pán)。
即使數(shù)據(jù)備份沒(méi)有丟失,但如果被污染怎么辦?Veeam 報(bào)告還指出,即使使用了不變性工具,56% 的組織在恢復(fù)過(guò)程中也面臨著再次感染的風(fēng)險(xiǎn)。
數(shù)據(jù)備份不變性加掃描
不可變數(shù)據(jù)備份支持創(chuàng)建具有網(wǎng)絡(luò)彈性的時(shí)間點(diǎn)數(shù)據(jù)副本,副本無(wú)法因用戶錯(cuò)誤、惡意操作或勒索軟件攻擊而更改或刪除。不變性可以將備份副本與生產(chǎn)數(shù)據(jù)隔離,因此如果發(fā)生網(wǎng)絡(luò)攻擊,可以快速?gòu)母北局谢謴?fù)數(shù)據(jù)。
真正全面的數(shù)據(jù)不變性還會(huì)自動(dòng)掃描數(shù)據(jù)副本,以查找惡意軟件或勒索軟件引起的損壞跡象。掃描可以幫助在勒索軟件攻擊發(fā)起后立即識(shí)別它。數(shù)據(jù)掃描還可以識(shí)別未受攻擊影響的數(shù)據(jù)副本。有了這些信息,備份團(tuán)隊(duì)就可以快速識(shí)別正在進(jìn)行的攻擊并恢復(fù)干凈的數(shù)據(jù)副本。
數(shù)據(jù)不變性和掃描還可以幫助 IT 人員執(zhí)行事件評(píng)估所需的取證分析。在此基礎(chǔ)上,團(tuán)隊(duì)可以制定最佳恢復(fù)計(jì)劃并確定文件、數(shù)據(jù)庫(kù)或整個(gè)系統(tǒng)的恢復(fù)范圍。
減少違規(guī)時(shí)間和影響
Veeam 報(bào)告強(qiáng)調(diào)了這樣一個(gè)事實(shí):數(shù)據(jù)備份只是可靠的網(wǎng)絡(luò)彈性計(jì)劃的一部分。事實(shí)上,強(qiáng)大的備份框架有四個(gè)關(guān)鍵要素:
- 數(shù)據(jù)復(fù)制不變性:這會(huì)創(chuàng)建無(wú)法更改或刪除(不可變)的活動(dòng)生產(chǎn)數(shù)據(jù)的安全、時(shí)間點(diǎn)副本或快照。數(shù)據(jù)副本通常是在與生產(chǎn)環(huán)境不同的存儲(chǔ)環(huán)境中創(chuàng)建的。
- 主動(dòng)監(jiān)控:利用多種數(shù)據(jù)源以及分析工具和技術(shù)檢測(cè)惡意模式。這包括訪問(wèn)日志、啟發(fā)式、與其他系統(tǒng)的日志(例如網(wǎng)絡(luò)日志或服務(wù)器日志)的關(guān)聯(lián)、網(wǎng)絡(luò)流和數(shù)據(jù)包數(shù)據(jù)。
- 數(shù)據(jù)副本的測(cè)試/驗(yàn)證:主動(dòng)檢測(cè)數(shù)據(jù)損壞或確保在執(zhí)行任何進(jìn)一步操作之前副本已驗(yàn)證干凈。
- 快速恢復(fù):包括對(duì)問(wèn)題進(jìn)行取證調(diào)查,以確定識(shí)別攻擊原因和范圍所需的恢復(fù)操作、工具和程序。恢復(fù)工具從備份副本中提取數(shù)據(jù)并邏輯地將其恢復(fù)到生產(chǎn)環(huán)境。如果出現(xiàn)有意或無(wú)意的數(shù)據(jù)丟失,此操作對(duì)于將數(shù)據(jù)、文件或系統(tǒng)恢復(fù)到生產(chǎn)用途至關(guān)重要。
真正有效的數(shù)據(jù)備份
如果組織要投資備份策略,應(yīng)該是完全不可變的,并且能夠從攻擊中快速恢復(fù)。數(shù)據(jù)掃描和監(jiān)控是這個(gè)方程的關(guān)鍵部分。任何數(shù)據(jù)污染都應(yīng)該是可檢測(cè)的,這使得違規(guī)解決更快、更容易。這樣,就可以更快地啟動(dòng)和運(yùn)行運(yùn)營(yíng),有時(shí)甚至在幾小時(shí)內(nèi)而不是幾周內(nèi)。
有效的備份,自是安全可靠的保障,無(wú)效的備份,只是一堆設(shè)備的空耗,浪費(fèi)人力與金錢(qián)的同時(shí),增加了風(fēng)險(xiǎn)。