愛數(shù)：2024事前-事中-事后體系化抵御勒索病毒攻擊 -勒索病毒發(fā)展趨勢及防御要點

D體系化抵御防勒索病毒攻擊目錄第一章|勒索病毒攻擊，整體態(tài)勢嚴(yán)峻02第二章|威脅加劇，勒索病毒攻擊手段持續(xù)升級03第三章1愛數(shù)體系化防勒索病毒方案05第四章|體系化構(gòu)筑勒索病毒的堅固防線11勒索病毒攻擊，整體態(tài)勢嚴(yán)峻勒索病毒以變種快、傳播快、勒索贖金高等特點，一躍成為了最受關(guān)注的數(shù)據(jù)安全威脅之一。NotPetya、BadRabbit、GandGrab、SamSam等勒索病毒噴涌而至，頻頻攜全球大型組織攻擊事件登上熱門。尤其是近年來遠(yuǎn)勒索病毒看似遠(yuǎn)在天邊，實則近在咫尺勒索病毒正在以驚人的速度急劇增長，據(jù)Gartner預(yù)計，到2025年，至少有75%的IT組織將面臨一次或多次攻擊，勒索病毒攻擊的頻率也將由2021年的11秒/次上升到2031年的2秒/次。層出不窮的勒索病毒攻擊事件勒索病毒攻擊者加密或竊取企業(yè)級用戶的核心數(shù)據(jù)，其直接目的便是換取巨額贖金。據(jù)Gartner報告顯示，遭受勒索病毒攻擊后，46%的組織最終支付了贖金，被攻擊用戶支付的平均贖金為235萬元，且不乏有備受關(guān)注的這一觀點，支付贖金后只有4%的組織成功恢復(fù)了所有數(shù)據(jù)。同時，支付贖金也助長了網(wǎng)絡(luò)犯罪的囂張氣勢，為然而，勒索病毒攻擊導(dǎo)致的損失僅僅只有贖金嗎?答案顯然是否定的。Gartner報告表明，勒索病毒攻擊后的恢復(fù)成本和由此導(dǎo)致的停機(jī)、聲譽(yù)損失可能是贖金的10到15倍。組織從勒索病毒攻擊中恢復(fù)過來所需的平均時間為30天，同時還會對業(yè)務(wù)與收入、運營能力、品牌形象、員工工作效率等造成巨大負(fù)面影響，甚至需要承擔(dān)235萬元10-15倍勒索病毒之所以來勢洶洶，真相在于背后存在著一批批極有組織的勒索團(tuán)伙，勒索病毒早已發(fā)展為成熟的黑色產(chǎn)業(yè)，讓病毒從系統(tǒng)攻擊、虛擬貨幣支付到洗錢變現(xiàn)，可以有規(guī)劃、有組織地快速完成。Gartner曾在相關(guān)報告中表明，勒索病毒開發(fā)團(tuán)隊越來越多地將勒索病毒的訪問權(quán)和代碼作為服務(wù)產(chǎn)品出售(勒索病毒即服務(wù)，RaaS)。這大幅增加了惡意軟件變種的數(shù)量，加快了勒索病毒的攻擊頻率與范圍。在創(chuàng)新網(wǎng)絡(luò)技術(shù)加持下，勒索病毒攻擊的手段持續(xù)升級，呈現(xiàn)出諸多新特點，不僅體現(xiàn)在攻擊手法的惡劣性上，還體現(xiàn)在攻擊對象范圍的進(jìn)一步擴(kuò)大。在這些新趨勢下，勒索病毒成為威脅最大的網(wǎng)絡(luò)安全隱患之一，也是組織數(shù)據(jù)安全最大的潛在殺手之一。從數(shù)據(jù)加密到“竊密+勒索”的捆綁攻擊早期勒索病毒往往以加密用戶設(shè)備或有價值的數(shù)據(jù)為手段，向被攻擊者索要贖金以解鎖設(shè)備或解密數(shù)據(jù)。然而，隨著勒索病毒黑色產(chǎn)業(yè)和技術(shù)的發(fā)展，勒索病毒的攻擊手段正在發(fā)生變化。從最初的加密數(shù)據(jù)，到“竊密+勒索”的捆綁攻擊。攻擊者通過竊取用戶的機(jī)密數(shù)據(jù)勒索高昂贖金，如果未收到贖金則會在暗網(wǎng)上公布數(shù)據(jù)。更有甚者，攻擊者會陸續(xù)公開用戶敏感數(shù)據(jù)，以達(dá)到多次威脅、勒索的作用，直至最后全部公開。攻擊者為了提升獲取贖金的成功率，往往會以多種技術(shù)層層疊加，從最初的加密數(shù)據(jù)，到竊取數(shù)據(jù)，再到發(fā)動分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)，最后通過電話、郵件等方式層層給用戶進(jìn)行施壓，以此逼迫用戶支付贖金，從而達(dá)成攻攻擊對象升級為全行業(yè)全規(guī)模組織勒索病毒攻擊逐漸升級，其矛頭已轉(zhuǎn)向關(guān)鍵信息基礎(chǔ)設(shè)施，政府、能源、通信、金融、交通、公共事業(yè)等重要行業(yè)都是勒索病毒攻擊的主要目標(biāo)。一系列的攻擊事件也表明了這一點，2022年，哥斯達(dá)黎加政府被勒索病毒攻擊，宣布進(jìn)入“國家緊急狀態(tài)”,同年，法國巴黎的一家醫(yī)院因遭遇攻擊迫使其將患者轉(zhuǎn)診至其他機(jī)構(gòu)……這些攻擊事件極其惡劣，不僅使這類組織在經(jīng)營和財務(wù)上付出了巨大的代價，也使人們的健康、安全和生命受到威脅。不僅如此，勒索病毒攻擊的對象也逐步演變?yōu)槿?guī)模組織。對于大型組織，尤其是上市公司，盡管其網(wǎng)絡(luò)及數(shù)據(jù)安全體系建設(shè)都較為完備，勒索者攻擊難度較大，但由于勒索贖金金額也會更大，對于勒索者而言依舊具備極強(qiáng)誘惑力。面對此類型組織，勒索者將會采用APT攻擊(高級長期威脅)以提升成功率。為更好執(zhí)行這一策略，行業(yè)化的勒索團(tuán)隊?wèi)?yīng)運而生。對于中小型組織而言，攻擊所獲得的收益相對較少，但由于其攻擊門檻低，可通過廣散網(wǎng)、擴(kuò)大攻擊面等來彌補(bǔ)收益。簡而言之，無論組織規(guī)模大小，都已經(jīng)成為勒索病毒攻擊的目標(biāo)。利用供應(yīng)鏈進(jìn)行攻擊，提升攻擊成功率隨著勒索者產(chǎn)業(yè)化的運作，攻擊手法也呈現(xiàn)出新的趨勢。滿心算計的勒索者，將目標(biāo)瞄準(zhǔn)在供應(yīng)鏈上，以此提升攻擊的成功率。一方面，勒索病毒利用軟件供應(yīng)鏈進(jìn)行傳播。通過攻擊軟件供應(yīng)商的相關(guān)服務(wù)器，利用其軟件供應(yīng)鏈實現(xiàn)對勒索病毒的分發(fā)、傳播等，并在其生成或者更新過程中，篡改或中斷源代碼，隱藏惡意軟件。由于軟件通過受信任的供應(yīng)商提供，極易繞過用戶的安全防護(hù)機(jī)制，達(dá)到實施勒索的目的。另一方面，勒索者對組織供應(yīng)鏈的上下游企業(yè)也虎視眈眈，尤其是其中的薄弱環(huán)節(jié)，極有可能成為勒索病毒攻擊的目標(biāo)。例如，重度依賴于供應(yīng)鏈協(xié)作的制造業(yè)，一旦其材料供應(yīng)商被勒索將會直接導(dǎo)致其業(yè)務(wù)受影響。毫不夸張地說，供應(yīng)鏈網(wǎng)絡(luò)及數(shù)據(jù)安全的“木桶效應(yīng)”早已顯現(xiàn)，也正成為勒索者實施勒索病毒攻擊的重要入口。2022年，汽車制造巨頭豐田就因其零部件供應(yīng)商遭到勒索病毒攻擊，導(dǎo)致其在日工廠全部停產(chǎn)。備份系統(tǒng)成為勒索病毒攻擊的重要目標(biāo)在勒索病毒持續(xù)泛濫的趨勢下，業(yè)務(wù)數(shù)據(jù)被加密后有兩種選擇，一種是從備份系統(tǒng)中恢復(fù)合適時間點的數(shù)據(jù)，另一種則是被迫支付贖金換取密鑰解密數(shù)據(jù)。諸多企業(yè)級用戶逐漸開始意識到數(shù)據(jù)備份的重要性。Gartner統(tǒng)計發(fā)現(xiàn)，為了應(yīng)對日益嚴(yán)重的勒索病毒攻擊，企業(yè)部署數(shù)據(jù)備份方案明顯增多，當(dāng)遭遇勒索病毒加密時，會首選自行恢復(fù)，而拒絕支付贖金。然而，為業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，真的就可以高枕無憂了嗎?遺憾的是，備份系統(tǒng)自身也危險重重，早已成為勒索病毒覬覦的目標(biāo)。由于勒索病毒潛伏期長，難以及時發(fā)現(xiàn)，導(dǎo)致備份的源數(shù)據(jù)已被感染，該數(shù)據(jù)通過備份系統(tǒng)恢復(fù)不僅無法解勒索病毒攻擊的燃眉之急，還將造成二次感染。更有甚者，勒索病毒還將直接攻擊備份系統(tǒng)，以篡改備份數(shù)據(jù)為目標(biāo)，從而攻破業(yè)務(wù)數(shù)據(jù)最后一道防線，提升獲取贖金的可能性。加之備份任務(wù)往往在閑時執(zhí)行，易備流量監(jiān)測軟件告警忽略，這為勒索病毒攻擊提供了極大便利。體系化抵御勒索病毒攻擊[勒索病毒無孔不入，攻擊事件層出不窮。加之隨著技術(shù)的迭代，攻擊手段也不斷升級，勒索病毒更加防不勝防。為從容應(yīng)對勒索病毒攻擊，明智之舉是構(gòu)建體系化的勒索病毒防御方案，全方位增強(qiáng)數(shù)字化系統(tǒng)的韌性。相關(guān)法律法規(guī)也持續(xù)完善，要求廣大組織建立防御體系及應(yīng)急措施，如《網(wǎng)絡(luò)安全事件報告管理辦法(征求意見稿)》要求發(fā)生較大、重大或特別重大網(wǎng)絡(luò)安全事件需1小時內(nèi)進(jìn)行報告，《香港安全第三級數(shù)據(jù)備份指南(STDB)》要求具備備份系統(tǒng)具備不可變、Air-Gap、可驗證等能力。愛數(shù)作為領(lǐng)先的全域數(shù)據(jù)能力服務(wù)商，致力于為各行業(yè)客戶抵御勒索病毒等數(shù)據(jù)安全風(fēng)險。在諸多創(chuàng)新技術(shù)的加持下，愛數(shù)以AnyBackupFamily8和AnyRobotEyes5兩大產(chǎn)品，再結(jié)合防勒索病毒管理體系專業(yè)服務(wù)，聯(lián)合打造體系化防勒索病毒方案，從產(chǎn)品、技術(shù)、組織與管理等維度，在事前-事中-事后全流程部署針對性措施，全方位構(gòu)筑勒索病毒防御的堅固防線?！な虑埃悍e極部署防御策略，如部署勒索病毒識別、監(jiān)測工具，對核心業(yè)務(wù)數(shù)據(jù)提供專業(yè)可靠的備份保護(hù)，并進(jìn)行定期災(zāi)難恢復(fù)演練，盡量做到未雨綢繆，有備無患；·事中：精準(zhǔn)定位勒索病毒攻擊源頭，及時阻斷攻擊鏈條，對感染數(shù)據(jù)進(jìn)行應(yīng)急備份，并快速恢復(fù)業(yè)務(wù)與數(shù)據(jù)，最小化停機(jī)時間，保障業(yè)務(wù)連續(xù)運行；·事后：日志合規(guī)留存與審計，利用應(yīng)急備份副本進(jìn)行攻擊鏈路還原，輔助調(diào)查取證，并復(fù)盤應(yīng)急方案，發(fā)現(xiàn)薄弱環(huán)節(jié)，優(yōu)化應(yīng)對機(jī)制。事后優(yōu)化勒索病毒觀測防勒索災(zāi)備建設(shè)勒索病毒應(yīng)急處置業(yè)務(wù)與數(shù)據(jù)恢復(fù)取證與優(yōu)化體系化抵御勒索病毒攻擊|05事前預(yù)防：加固數(shù)據(jù)安全防線，做到有備無患勒索分析識別及時發(fā)現(xiàn)勒索病毒并告警，對于防勒索病毒至關(guān)重要，不僅能降低感染數(shù)據(jù)規(guī)模，且可快速啟動應(yīng)急預(yù)案，降低攻擊導(dǎo)致的損失。AnyRobotEyes5可觀測性平臺，在勒索病毒防御過程中起到了眼觀四面、耳聽八方的重要作用。面向業(yè)務(wù)系統(tǒng)，AnyRobotEyes5可基于核心業(yè)務(wù)的指標(biāo)、日志和鏈路等數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，實時監(jiān)測和識別勒索病毒行為，一旦出現(xiàn)流量激增、大量數(shù)據(jù)更名或刪除等異常行為，將會及時自動告警。此外，AnyRobotEyes5還可以將這些異常行為與第三方情報進(jìn)行比對，從而快速識別勒索病毒，有效降低安全風(fēng)險。險3-2-1-0災(zāi)備策略配置Gartner建議組織按照3-2-1策略進(jìn)行存儲數(shù)據(jù)，即至少保留3個數(shù)據(jù)副本，保存在2種備份介質(zhì)中，并且其中1個副本在異地。通過3-2-1策略，可有效避免單一副本、單一硬件設(shè)備、甚至是單一數(shù)據(jù)中心發(fā)生災(zāi)難而導(dǎo)致的數(shù)據(jù)丟失和業(yè)務(wù)停機(jī)影響。愛數(shù)在此基礎(chǔ)上，進(jìn)一步將3-2-1策略升級為3-2-1-0策略，其中，“0”強(qiáng)調(diào)O篡改，確保備份數(shù)據(jù)在任意攻擊下都能不被篡改。個數(shù)據(jù)副本種備份介質(zhì)個異地篡改體系化御防勒索病毒攻擊|06虛擬機(jī)云主機(jī)虛擬機(jī)云主機(jī)生產(chǎn)環(huán)境√病毒查殺病毒查殺病毒查殺演練管理生成無病毒鏡像標(biāo)記未感染時間點數(shù)據(jù)沙箱體系化御防勒索病毒攻擊|07追蹤攻擊者的行為和入侵路徑，可以追溯到勒索攻擊的起源。執(zhí)行阻斷5.定位到風(fēng)險IP,識別出是通過網(wǎng)站泥洞入侵4.發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)與外網(wǎng)可疑IP進(jìn)行通信，存在數(shù)據(jù)泄漏1.發(fā)現(xiàn)辦公區(qū)主機(jī)登錄可疑外網(wǎng)P,有被控制的風(fēng)險3.發(fā)觀局域網(wǎng)內(nèi)大量應(yīng)用端口被掃描，存在橫移風(fēng)險2.通過被控制主機(jī)上行為日志，分析出有訪問敏感數(shù)據(jù)安全隔離應(yīng)急備份C受損范圍評估及統(tǒng)計勒索病毒攻擊告警后，AnyRobotEyes5結(jié)合第三方阻斷工具切斷傳播源后，需要對受損范圍進(jìn)行評估，以更好地執(zhí)行應(yīng)急預(yù)案和災(zāi)難恢復(fù)計劃。AnyRobotEyes5通過統(tǒng)計系統(tǒng)和服務(wù)的入侵記錄，可追溯到受損主機(jī)，基于主機(jī)之間的關(guān)系，評估受損范圍?；谑軗p范圍，精準(zhǔn)匹配不同的防勒索應(yīng)急預(yù)案，避免出現(xiàn)處置不足或過度處置的情況.況.防勒索應(yīng)急響應(yīng)預(yù)案海量數(shù)據(jù)快速恢復(fù)，最小化停機(jī)損失當(dāng)勒索病毒攻擊導(dǎo)致業(yè)務(wù)中斷，第一要務(wù)便是快速恢復(fù)數(shù)據(jù)，保障業(yè)務(wù)連續(xù)運行?？焖倩謴?fù)海量數(shù)據(jù)的重要意義，不僅體現(xiàn)在能避免高昂贖金，還體現(xiàn)在能將停機(jī)損失降至最低，AnyBeckupFamily8通過構(gòu)建副本數(shù)據(jù)湖架構(gòu)，不斷優(yōu)化數(shù)據(jù)恢復(fù)性能，月在海量數(shù)據(jù)場最下。依然表現(xiàn)出色。張系化抵御勒素病善收擊108開始結(jié)束數(shù)據(jù)級恢復(fù)開始結(jié)束數(shù)據(jù)級恢復(fù)2.5分鐘匹配應(yīng)用級災(zāi)難恢復(fù)應(yīng)用B應(yīng)用B一鍵執(zhí)行災(zāi)難恢復(fù)計劃一鍵執(zhí)行災(zāi)難恢復(fù)計劃災(zāi)難恢復(fù)計劃管理主機(jī)級一鍵接管中源預(yù)編排的災(zāi)難恢復(fù)計劃，遭遇勒索病毒攻擊后，一鍵恢復(fù)少180天要求預(yù)案優(yōu)化預(yù)案優(yōu)化應(yīng)急管理后評價框架以通用數(shù)據(jù)為樣本、定性定時相結(jié)合、尋找規(guī)律、抓準(zhǔn)痛點、對癥下藥綜合原因外部原因內(nèi)部原因外部原因時長分析時長分析時長分影響因素分析原因分析1、突發(fā)事件預(yù)案預(yù)案飯復(fù)階段業(yè)務(wù)驗證5、事后分析重大故障重大故障體系化構(gòu)筑勒索病毒的堅固防線為從容應(yīng)對勒索病毒攻擊，將損失降至最低，愛數(shù)基于勒索病毒攻擊的趨勢，并結(jié)合自身豐富的技術(shù)底蘊(yùn)和行業(yè)實勒索病毒防御道路干萬條，備份仍是不可或缺的一環(huán)。隨著技術(shù)的讓單點防御方案防不勝防。事前的防火墻、殺毒軟件一旦失效，就存在極大的被勒索風(fēng)險。通過數(shù)據(jù)備份，恢復(fù)被加密或篡改的數(shù)據(jù)，也成為避免高額贖金、快速恢復(fù)業(yè)務(wù)的關(guān)鍵方案。備份，早已成為名副其實的勒索病毒最后一道防線。若這道防線堅固程度不足，勒索病毒將猶如洪水猛獸一般擊潰數(shù)據(jù)安全的底線。明智的做法是，采用3-2-1-0策略加固備份方案，并確保備份系統(tǒng)符合零信任安全要求，即具備數(shù)據(jù)不可變、Air-Gap、嚴(yán)格的加密和訪問權(quán)隨著勒索病毒即服務(wù)模式(RaaS:Ransomware-as-a-Service)模式的廣泛流行，勒索病毒已轉(zhuǎn)變?yōu)楫a(chǎn)業(yè)化的攻防御產(chǎn)業(yè)化勒索病毒攻擊變得至關(guān)重要。在全面性方面，防勒索病毒不應(yīng)局限于技術(shù)層面，而應(yīng)從組織、管理、技術(shù)等多維度出發(fā)，全方位進(jìn)行勒索病毒防御建設(shè)，不讓任何一塊成為短板。在有效性方面，需從事前科學(xué)預(yù)防、事中快速響應(yīng)、事后復(fù)盤優(yōu)化等全流程增強(qiáng)勒索病毒防御能力，在任何階段都具備制勝勒索病毒的絕招。此外，防勒索病毒并非一時之事，病毒攻擊的持續(xù)性必然決定了勒索病毒防御的持續(xù)性。防勒索病毒方案也需與時俱進(jìn)，通過部署全面、有效和可持續(xù)的體系化防勒索病毒方案，不僅需要組織內(nèi)部各個部門的協(xié)作配合，還需要借助專業(yè)服一方面通過專業(yè)的產(chǎn)品能力構(gòu)建從事前-事中-事后全流程的防勒索堡壘，另外一方面，需加強(qiáng)組