愛(ài)數(shù)：2024事前-事中-事后體系化抵御勒索病毒攻擊 -勒索病毒發(fā)展趨勢(shì)及防御要點(diǎn)

體系化抵御防勒索病毒攻擊第一章|勒索病毒攻擊，整體態(tài)勢(shì)嚴(yán)峻第二章|威脅加劇，勒索病毒攻擊手段持續(xù)升級(jí)第三章|愛(ài)數(shù)體系化防勒索病毒方案勒索病毒攻擊，整體態(tài)勢(shì)嚴(yán)峻勒索病毒以變種快、傳播快、勒索贖金高等特點(diǎn)，一躍成為了最受關(guān)注的數(shù)據(jù)安全威脅之一。NotPetya、BadRabbit、GandGrab、SamSam等勒索病毒噴涌而至，頻頻攜全球大型組織攻擊事件登上熱門(mén)。尤其是近年來(lái)遠(yuǎn)程辦公的普及，以及IT系統(tǒng)依賴性的加強(qiáng)，更是為勒索病毒的發(fā)展和攻擊提供了沃土。勒索病毒正在以驚人的速度急劇增長(zhǎng)，據(jù)Gartner預(yù)計(jì)，到2025年，至少有75％的IT組織將面臨一次或多次攻擊，勒索病毒攻擊的頻率也將由2021年的11秒/次上升到2031年的2秒/次。層出不窮的勒索病毒攻擊事件也都在表明，任何行業(yè)任何組織都是勒索病毒潛在的攻擊對(duì)象，看似遠(yuǎn)在天邊的勒索病毒，其實(shí)就近在咫尺。勒索病毒攻擊者加密或竊取企業(yè)級(jí)用戶的核心數(shù)據(jù)，其直接目的便是換取巨額贖金。據(jù)Gartner報(bào)告顯示，遭受勒索病毒攻擊后，46%的組織最終支付了贖金，被攻擊用戶支付的平均贖金為235萬(wàn)元，且不乏有備受關(guān)注的巨額勒索事件。遺憾的是，即使支付了贖金，也不能完全保證數(shù)據(jù)會(huì)被恢復(fù)，這是因?yàn)榧用苓^(guò)程中導(dǎo)致的數(shù)據(jù)損壞，加密的數(shù)據(jù)可能無(wú)法恢復(fù)，或是部分攻擊者即使收到贖金也不會(huì)遵守承諾解密或不泄密數(shù)據(jù)。Sophos的調(diào)查數(shù)據(jù)也證實(shí)了這一觀點(diǎn)，支付贖金后只有4%的組織成功恢復(fù)了所有數(shù)據(jù)。同時(shí)，支付贖金也助長(zhǎng)了網(wǎng)絡(luò)犯罪的囂張氣勢(shì)，為后期的犯罪活動(dòng)提供了資金支持。然而，勒索病毒攻擊導(dǎo)致的損失僅僅只有贖金嗎？答案顯然是否定的。Gartner報(bào)告表明，勒索病毒攻擊后的恢復(fù)成本和由此導(dǎo)致的停機(jī)、聲譽(yù)損失可能是贖金的10到15倍。組織從勒索病毒攻擊中恢復(fù)過(guò)來(lái)所需的平均時(shí)間為30天，同時(shí)還會(huì)對(duì)業(yè)務(wù)與收入、運(yùn)營(yíng)能力、品牌形象、員工工作效率等造成巨大負(fù)面影響，甚至需要承擔(dān)數(shù)據(jù)泄露的法律后果。10-1510-15倍效率235萬(wàn)元90%86%勒索病毒之所以來(lái)勢(shì)洶洶，真相在于背后存在著一批批極有組織的勒索團(tuán)伙，勒索病毒早已發(fā)展為成熟的黑色產(chǎn)業(yè)，讓病毒從系統(tǒng)攻擊、虛擬貨幣支付到洗錢(qián)變現(xiàn)，可以有規(guī)劃、有組織地快速完成。Gartner曾在相關(guān)報(bào)告中表明，勒索病毒開(kāi)發(fā)團(tuán)隊(duì)越來(lái)越多地將勒索病毒的訪問(wèn)權(quán)和代碼作為服務(wù)產(chǎn)品出售（勒索病毒即服務(wù)，RaaS）。這大幅增加了惡意軟件變種的數(shù)量，加快了勒索病毒的攻擊頻率與范圍。在創(chuàng)新網(wǎng)絡(luò)技術(shù)加持下，勒索病毒攻擊的手段持續(xù)升級(jí)，呈現(xiàn)出諸多新特點(diǎn)，不僅體現(xiàn)在攻擊手法的惡劣性上，還體現(xiàn)在攻擊對(duì)象范圍的進(jìn)一步擴(kuò)大。在這些新趨勢(shì)下，勒索病毒成為威脅最大的網(wǎng)絡(luò)安全隱患之一，也是組織數(shù)據(jù)安全最大的潛在殺手之一。從數(shù)據(jù)加密到“竊密+勒索”的捆綁攻擊早期勒索病毒往往以加密用戶設(shè)備或有價(jià)值的數(shù)據(jù)為手段，向被攻擊者索要贖金以解鎖設(shè)備或解密數(shù)據(jù)。然而，隨著勒索病毒黑色產(chǎn)業(yè)和技術(shù)的發(fā)展，勒索病毒的攻擊手段正在發(fā)生變化。從最初的加密數(shù)據(jù)，到“竊密+勒索”的捆綁攻擊。攻擊者通過(guò)竊取用戶的機(jī)密數(shù)據(jù)勒索高昂贖金，如果未收到贖金則會(huì)在暗網(wǎng)上公布數(shù)據(jù)。更有甚者，攻擊者會(huì)陸續(xù)公開(kāi)用戶敏感數(shù)據(jù)，以達(dá)到多次威脅、勒索的作用，直至最后全部公開(kāi)。攻擊者為了提升獲取贖金的成功率，往往會(huì)以多種技術(shù)層層疊加，從最初的加密數(shù)據(jù)，到竊取數(shù)據(jù)，再到發(fā)動(dòng)分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)，最后通過(guò)電話、郵件等方式層層給用戶進(jìn)行施壓，以此逼迫用戶支付贖金，從而達(dá)成攻擊目的。攻擊對(duì)象升級(jí)為全行業(yè)全規(guī)模組織勒索病毒攻擊逐漸升級(jí)，其矛頭已轉(zhuǎn)向關(guān)鍵信息基礎(chǔ)設(shè)施，政府、能源、通信、金融、交通、公共事業(yè)等重要行業(yè)都是勒索病毒攻擊的主要目標(biāo)。一系列的攻擊事件也表明了這一點(diǎn)，2022年，哥斯達(dá)黎加政府被勒索病毒攻擊，宣布進(jìn)入“國(guó)家緊急狀態(tài)”，同年，法國(guó)巴黎的一家醫(yī)院因遭遇攻擊迫使其將患者轉(zhuǎn)診至其他機(jī)構(gòu)……這些攻擊事件極其惡劣，不僅使這類組織在經(jīng)營(yíng)和財(cái)務(wù)上付出了巨大的代價(jià)，也使人們的健康、安全和生命受到威脅。不僅如此，勒索病毒攻擊的對(duì)象也逐步演變?yōu)槿?guī)模組織。對(duì)于大型組織，尤其是上市公司，盡管其網(wǎng)絡(luò)及數(shù)據(jù)安全體系建設(shè)都較為完備，勒索者攻擊難度較大，但由于勒索贖金金額也會(huì)更大，對(duì)于勒索者而言依舊具備極強(qiáng)誘惑力。面對(duì)此類型組織，勒索者將會(huì)采用APT攻擊（高級(jí)長(zhǎng)期威脅）以提升成功率。為更好執(zhí)行這一策略，行業(yè)化的勒索團(tuán)隊(duì)?wèi)?yīng)運(yùn)而生。對(duì)于中小型組織而言，攻擊所獲得的收益相對(duì)較少，但由于其攻擊門(mén)檻低，可通過(guò)廣散網(wǎng)、擴(kuò)大攻擊面等來(lái)彌補(bǔ)收益。簡(jiǎn)而言之，無(wú)論組織規(guī)模大小，都已經(jīng)成為勒索病毒攻擊的目標(biāo)。利用供應(yīng)鏈進(jìn)行攻擊，提升攻擊成功率隨著勒索者產(chǎn)業(yè)化的運(yùn)作，攻擊手法也呈現(xiàn)出新的趨勢(shì)。滿心算計(jì)的勒索者，將目標(biāo)瞄準(zhǔn)在供應(yīng)鏈上，以此提升攻擊的成功率。一方面，勒索病毒利用軟件供應(yīng)鏈進(jìn)行傳播。通過(guò)攻擊軟件供應(yīng)商的相關(guān)服務(wù)器，利用其軟件供應(yīng)鏈實(shí)現(xiàn)對(duì)勒索病毒的分發(fā)、傳播等，并在其生成或者更新過(guò)程中，篡改或中斷源代碼，隱藏惡意軟件。由于軟件通過(guò)受信任的供應(yīng)商提供，極易繞過(guò)用戶的安全防護(hù)機(jī)制，達(dá)到實(shí)施勒索的目的。另一方面，勒索者對(duì)組織供應(yīng)鏈的上下游企業(yè)也虎視眈眈，尤其是其中的薄弱環(huán)節(jié)，極有可能成為勒索病毒攻擊的目標(biāo)。例如，重度依賴于供應(yīng)鏈協(xié)作的制造業(yè)，一旦其材料供應(yīng)商被勒索將會(huì)直接導(dǎo)致其業(yè)務(wù)受影響。毫不夸張地說(shuō)，供應(yīng)鏈網(wǎng)絡(luò)及數(shù)據(jù)安全的“木桶效應(yīng)”早已顯現(xiàn)，也正成為勒索者實(shí)施勒索病毒攻擊的重要入口。2022年，汽車制造巨頭豐田就因其零部件供應(yīng)商遭到勒索病毒攻擊，導(dǎo)致其在日工廠全部停產(chǎn)。備份系統(tǒng)成為勒索病毒攻擊的重要目標(biāo)在勒索病毒持續(xù)泛濫的趨勢(shì)下，業(yè)務(wù)數(shù)據(jù)被加密后有兩種選擇，一種是從備份系統(tǒng)中恢復(fù)合適時(shí)間點(diǎn)的數(shù)據(jù)，另一種則是被迫支付贖金換取密鑰解密數(shù)據(jù)。諸多企業(yè)級(jí)用戶逐漸開(kāi)始意識(shí)到數(shù)據(jù)備份的重要性。Gartner統(tǒng)計(jì)發(fā)現(xiàn)，為了應(yīng)對(duì)日益嚴(yán)重的勒索病毒攻擊，企業(yè)部署數(shù)據(jù)備份方案明顯增多，當(dāng)遭遇勒索病毒加密時(shí)，會(huì)首選自行恢復(fù)，而拒絕支付贖金。然而，為業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，真的就可以高枕無(wú)憂了嗎？遺憾的是，備份系統(tǒng)自身也危險(xiǎn)重重，早已成為勒索病毒覬覦的目標(biāo)。由于勒索病毒潛伏期長(zhǎng)，難以及時(shí)發(fā)現(xiàn)，導(dǎo)致備份的源數(shù)據(jù)已被感染，該數(shù)據(jù)通過(guò)備份系統(tǒng)恢復(fù)不僅無(wú)法解勒索病毒攻擊的燃眉之急，還將造成二次感染。更有甚者，勒索病毒還將直接攻擊備份系統(tǒng)，以篡改備份數(shù)據(jù)為目標(biāo)，從而攻破業(yè)務(wù)數(shù)據(jù)最后一道防線，提升獲取贖金的可能性。加之備份任務(wù)往往在閑時(shí)執(zhí)行，易備流量監(jiān)測(cè)軟件告警忽略，這為勒索病毒攻擊提供了極大便利。事后優(yōu)化取證與優(yōu)化調(diào)查取證防勒索災(zāi)備建設(shè)勒索病毒觀測(cè)事后優(yōu)化取證與優(yōu)化調(diào)查取證防勒索災(zāi)備建設(shè)勒索病毒觀測(cè)勒索風(fēng)險(xiǎn)識(shí)別病毒查殺演練勒索病毒無(wú)孔不入，攻擊事件層出不窮。加之隨著技術(shù)的迭代，攻擊手段也不斷升級(jí)，勒索病毒更加防不勝防。為從容應(yīng)對(duì)勒索病毒攻擊，明智之舉是構(gòu)建體系化的勒索病毒防御方案，全方位增強(qiáng)數(shù)字化系統(tǒng)的韌性。相關(guān)法律法規(guī)也持續(xù)完善，要求廣大組織建立防御體系及應(yīng)急措施，如《網(wǎng)絡(luò)安全事件報(bào)告管理辦法(征求意見(jiàn)稿)》要求發(fā)生較大、重大或特別重大網(wǎng)絡(luò)安全事件需1小時(shí)內(nèi)進(jìn)行報(bào)告，《香港安全第三級(jí)數(shù)據(jù)備份指南（STDB）》要 求具備備份系統(tǒng)具備不可變、Air-Gap、可驗(yàn)證等能力。愛(ài)數(shù)作為領(lǐng)先的全域數(shù)據(jù)能力服務(wù)商，致力于為各行業(yè)客戶抵御勒索病毒等數(shù)據(jù)安全風(fēng)險(xiǎn)。在諸多創(chuàng)新技術(shù)的加持下，愛(ài)數(shù)以AnyBackupFamily8和AnyRobotEyes5兩大產(chǎn)品，再結(jié)合防勒索病毒管理體系專業(yè)服務(wù)，聯(lián)合打造體系化防勒索病毒方案，從產(chǎn)品、技術(shù)、組織與管理等維度，在事前-事中-事后全流程部署針對(duì)性措施，全方位構(gòu)筑勒索病毒防御的堅(jiān)固防線。?事前：積極部署防御策略，如部署勒索病毒識(shí)別、監(jiān)測(cè)工具，對(duì)核心業(yè)務(wù)數(shù)據(jù)提供專業(yè)可靠的備份保護(hù)，并進(jìn)行定期災(zāi)難恢復(fù)演練，盡量做到未雨綢繆，有備無(wú)患；?事中：精準(zhǔn)定位勒索病毒攻擊源頭，及時(shí)阻斷攻擊鏈條，對(duì)感染數(shù)據(jù)進(jìn)行應(yīng)急備份，并快速恢復(fù)業(yè)務(wù)與數(shù)據(jù)，最小化停機(jī)時(shí)間，保障業(yè)務(wù)連續(xù)運(yùn)行；?事后：日志合規(guī)留存與審計(jì)，利用應(yīng)急備份副本進(jìn)行攻擊鏈路還原，輔助調(diào)查取證，并復(fù)盤(pán)應(yīng)急方案，發(fā)現(xiàn)薄弱環(huán)節(jié)，優(yōu)化應(yīng)對(duì)機(jī)制。事中響應(yīng)事前預(yù)防事中響應(yīng)勒索病毒應(yīng)急處置溯源分析與阻斷溯源分析與阻斷受損范圍評(píng)估及統(tǒng)計(jì)受損范圍評(píng)估及統(tǒng)計(jì)業(yè)務(wù)與數(shù)據(jù)恢復(fù)災(zāi)難恢復(fù)計(jì)劃執(zhí)行災(zāi)難恢復(fù)計(jì)劃執(zhí)行不可變存儲(chǔ)不可變存儲(chǔ)/WORMAir-Gap零信任安全數(shù)據(jù)加密雙因子認(rèn)證數(shù)據(jù)訪問(wèn)審計(jì)數(shù)據(jù)沙箱平臺(tái)平臺(tái)/工具服務(wù)管理制度文件防勒索病毒管理體系專業(yè)服務(wù)TPA最佳實(shí)踐專業(yè)服務(wù)險(xiǎn)文件服務(wù)器險(xiǎn)文件服務(wù)器勒索分析識(shí)別及時(shí)發(fā)現(xiàn)勒索病毒并告警，對(duì)于防勒索病毒至關(guān)重要，不僅能降低感染數(shù)據(jù)規(guī)模，且可快速啟動(dòng)應(yīng)急預(yù)案，降低攻擊導(dǎo)致的損失。AnyRobotEyes5可觀測(cè)性平臺(tái)，在勒索病毒防御過(guò)程中起到了眼觀四面、耳聽(tīng)八方的重要作用。面向業(yè)務(wù)系統(tǒng)，AnyRobotEyes5可基于核心業(yè)務(wù)的指標(biāo)、日志和鏈路等數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，實(shí)時(shí)監(jiān)測(cè)和識(shí)別勒索病毒行為，一旦出現(xiàn)流量激增、大量數(shù)據(jù)更名或刪除等異常行為，將會(huì)及時(shí)自動(dòng)告警。此外，AnyRobotEyes5還可以將這些異常行為與第三方情報(bào)進(jìn)行比對(duì)，從而快速識(shí)別勒索病毒，有效降低安全風(fēng)險(xiǎn)。文件服務(wù)器訪問(wèn)和操作分析，及時(shí)識(shí)別系統(tǒng)風(fēng)險(xiǎn)并告警風(fēng)險(xiǎn)分風(fēng)險(xiǎn)分info運(yùn)維操作風(fēng)險(xiǎn)分析安全事件風(fēng)險(xiǎn)分析運(yùn)維操作風(fēng)險(xiǎn)分析歷史日志重復(fù)檢查歷史日志重復(fù)檢查情報(bào)網(wǎng)站比對(duì)網(wǎng)絡(luò)日志、行為日志PC端路由器防火墻互聯(lián)網(wǎng)交換機(jī)交換機(jī)3-2-1-0災(zāi)備策略配置Gartner建議組織按照3-2-1策略進(jìn)行存儲(chǔ)數(shù)據(jù)，即至少保留3個(gè)數(shù)據(jù)副本，保存在2種備份介質(zhì)中，并且其中1個(gè)副本在異地。通過(guò)3-2-1策略，可有效避免單一副本、單一硬件設(shè)備、甚至是單一數(shù)據(jù)中心發(fā)生災(zāi)難而導(dǎo)致的數(shù)據(jù)丟失和業(yè)務(wù)停機(jī)影響。愛(ài)數(shù)在此基礎(chǔ)上，進(jìn)一步將3-2-1策略升級(jí)為3-2-1-0策略，其中，“0”強(qiáng)調(diào)0篡改，確保備份數(shù)據(jù)在任意攻擊下都能不被篡改。個(gè)數(shù)據(jù)副本種備份介質(zhì)個(gè)數(shù)據(jù)副本種備份介質(zhì)報(bào)告與通知資源清理可用性驗(yàn)證掛載/恢復(fù)數(shù)據(jù)備份生成無(wú)病毒鏡像標(biāo)記未感染時(shí)間點(diǎn)第三方殺毒引擎內(nèi)置殺毒引擎報(bào)告與通知資源清理可用性驗(yàn)證掛載/恢復(fù)數(shù)據(jù)備份生成無(wú)病毒鏡像標(biāo)記未感染時(shí)間點(diǎn)第三方殺毒引擎內(nèi)置殺毒引擎這是由于備份系統(tǒng)也已成為勒索病毒攻擊的目標(biāo)，一旦備份系統(tǒng)被勒索病毒攻擊并被篡改數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)將驟增。備份系統(tǒng)也需要加強(qiáng)自身的安全防護(hù)，從而確保始終有安全的數(shù)據(jù)副本用于恢復(fù)。AnyBackupFamily8以不可變存儲(chǔ)、WORM屬性、強(qiáng)制數(shù)據(jù)保留、Air-Gap、數(shù)據(jù)加密、雙因子認(rèn)證等技術(shù)，打造零信任安全的備份系統(tǒng)，為業(yè)務(wù)數(shù)據(jù)安全守好最后一道防線，真正做到無(wú)懼勒索。病毒查殺演練傳統(tǒng)防勒索方案中，病毒查殺往往用于生產(chǎn)系統(tǒng)。然而，由于勒索病毒隱蔽性強(qiáng)、潛伏期不定，定期的備份也會(huì)將攜帶勒索病毒的數(shù)據(jù)備份起來(lái)，一旦直接恢復(fù)至生產(chǎn)系統(tǒng)，就極可能對(duì)生產(chǎn)數(shù)據(jù)造成二次感染。因此，在數(shù)據(jù)恢復(fù)之前，對(duì)備份數(shù)據(jù)進(jìn)行病毒查殺就顯得尤為必要。AnyBackupFamily8通過(guò)設(shè)置數(shù)據(jù)沙箱，結(jié)合殺毒引擎和及時(shí)更新的病毒庫(kù)，對(duì)災(zāi)難恢復(fù)及演練過(guò)程中需要恢復(fù)的數(shù)據(jù)進(jìn)行病毒查殺，從而驗(yàn)證數(shù)據(jù)是否被病毒感染，確保安全恢復(fù)。由于數(shù)據(jù)沙箱與外部生產(chǎn)環(huán)境絕對(duì)隔離，因此可避免在病毒查殺過(guò)程中，病毒通過(guò)網(wǎng)絡(luò)感染外部的生產(chǎn)系統(tǒng)。文件系統(tǒng)文件系統(tǒng)對(duì)象存儲(chǔ)對(duì)象存儲(chǔ)虛擬機(jī)虛擬機(jī)被病毒感染恢復(fù)策略恢復(fù)策略恢復(fù)資源應(yīng)用數(shù)據(jù)病毒查殺病毒查殺病毒查殺演練管理病毒查殺演練管理NGNG備份數(shù)據(jù)??溯源分析與阻斷一旦遭到勒索病毒攻擊，AnyRobotEyes5可通過(guò)被勒索病毒攻擊的主機(jī)IP，追蹤攻擊者的行為及入侵路徑，從而追溯勒索病毒攻擊的源頭，并結(jié)合第三方工具進(jìn)行阻斷勒索病毒，避免攻擊范圍的進(jìn)一步擴(kuò)大。同時(shí)，AnyBackupFamily8支持應(yīng)急備份，保留被感染環(huán)境，為后續(xù)的復(fù)盤(pán)和應(yīng)急預(yù)案優(yōu)化提供依據(jù)。追蹤攻擊者的行為和入侵路徑，可以追溯到勒索攻擊的起源。執(zhí)行阻斷是通過(guò)網(wǎng)站漏洞入侵4.發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)與外網(wǎng)可疑風(fēng)險(xiǎn)安全隔離安全隔離3.發(fā)現(xiàn)局域網(wǎng)內(nèi)大量應(yīng)用端口被掃描，存在橫應(yīng)急備份應(yīng)急備份2.通過(guò)被控制主機(jī)上行為日志，分析出有訪問(wèn)敏感數(shù)據(jù)的動(dòng)作受損范圍評(píng)估及統(tǒng)計(jì)勒索病毒攻擊告警后，AnyRobotEyes5結(jié)合第三方阻斷工具切斷傳播源后，需要對(duì)受損范圍進(jìn)行評(píng)估，以更好地執(zhí)行應(yīng)急預(yù)案和災(zāi)難恢復(fù)計(jì)劃。AnyRobotEyes5通過(guò)統(tǒng)計(jì)系統(tǒng)和服務(wù)的入侵記錄，可追溯到受損主機(jī)，基于主機(jī)之間的關(guān)系，評(píng)估受損范圍?；谑軗p范圍，精準(zhǔn)匹配不同的防勒索應(yīng)急預(yù)案，避免出現(xiàn)處置不足或過(guò)度處置的情況。海量數(shù)據(jù)快速恢復(fù)，最小化停機(jī)損失當(dāng)勒索病毒攻擊導(dǎo)致業(yè)務(wù)中斷，第一要?jiǎng)?wù)便是快速恢復(fù)數(shù)據(jù)，保障業(yè)務(wù)連續(xù)運(yùn)行?？焖倩謴?fù)海量數(shù)據(jù)的重要意義，不僅體現(xiàn)在能避免高昂贖金，還體現(xiàn)在能將停機(jī)損失降至最低。AnyBackupFamily8通過(guò)構(gòu)建副本數(shù)據(jù)湖架構(gòu)，不斷優(yōu)化數(shù)據(jù)恢復(fù)性能，且在海量數(shù)據(jù)場(chǎng)景下，依然表現(xiàn)出色。 數(shù)據(jù)級(jí)恢復(fù)主機(jī)級(jí)一鍵接管應(yīng)用配置清理驗(yàn)證網(wǎng)絡(luò)管理自定義腳本結(jié)束開(kāi)始災(zāi)難恢復(fù)計(jì)劃可用性與一致性驗(yàn)證按需執(zhí)行服務(wù)修復(fù)、配置…單點(diǎn)故障網(wǎng)絡(luò)切換清理演練資源 數(shù)據(jù)級(jí)恢復(fù)主機(jī)級(jí)一鍵接管應(yīng)用配置清理驗(yàn)證網(wǎng)絡(luò)管理自定義腳本結(jié)束開(kāi)始災(zāi)難恢復(fù)計(jì)劃可用性與一致性驗(yàn)證按需執(zhí)行服務(wù)修復(fù)、配置…單點(diǎn)故障網(wǎng)絡(luò)切換清理演練資源憑借多并發(fā)恢復(fù)、分鐘級(jí)掛載恢復(fù)、災(zāi)難恢復(fù)編排等技術(shù)，AnyBackupFamily8可實(shí)現(xiàn)海量數(shù)據(jù)的快速恢復(fù)，保障業(yè)務(wù)連續(xù)性。同時(shí)，通過(guò)在事前制定災(zāi)難恢復(fù)計(jì)劃、災(zāi)難恢復(fù)預(yù)編排，將各類恢復(fù)準(zhǔn)備工作前置，一旦遭到勒索病毒攻擊，即可一鍵執(zhí)行恢復(fù)，大幅提升災(zāi)難恢復(fù)效率。災(zāi)難恢復(fù)計(jì)劃管理災(zāi)難恢復(fù)計(jì)劃管理應(yīng)用級(jí)災(zāi)難恢復(fù)應(yīng)用級(jí)災(zāi)難恢復(fù)應(yīng)用A應(yīng)用A恢復(fù)應(yīng)用C恢復(fù)應(yīng)用應(yīng)用B恢復(fù)調(diào)查取證一方面可以輔助相關(guān)部門(mén)打擊勒索攻擊等違法行為，另一方面基于調(diào)查結(jié)果可進(jìn)一步優(yōu)化應(yīng)急預(yù)案。結(jié)合AnyRobotEyes5的全平臺(tái)日志的采集、海量日志的合規(guī)留存、事后的審計(jì)分析等能力，輸出相關(guān)的調(diào)查取證報(bào)告。另外，基于AnyBackupFamily8提供的應(yīng)急備份，通過(guò)數(shù)據(jù)恢復(fù)、掛載恢復(fù)等多種方式，可對(duì)勒索病毒攻擊的路徑進(jìn)行沙盤(pán)還原，發(fā)現(xiàn)勒索病毒防御的薄弱環(huán)節(jié)，針對(duì)性進(jìn)行加固。事后另外一個(gè)關(guān)鍵點(diǎn)在于應(yīng)急預(yù)案的優(yōu)化，可通過(guò)對(duì)勒索病毒發(fā)現(xiàn)時(shí)間、業(yè)務(wù)恢復(fù)時(shí)間、業(yè)務(wù)驗(yàn)證時(shí)間、相關(guān)流程制度的合理性、事件造成的損失等各種內(nèi)外部因素進(jìn)行綜合分析，判斷是否需要將此類勒索病毒攻擊事件調(diào)整至更高級(jí)別的管理，從而相應(yīng)優(yōu)化整個(gè)防勒索的應(yīng)急預(yù)案。事后防勒索應(yīng)急預(yù)案的優(yōu)化，有助于加固整個(gè)勒索病毒防線的堅(jiān)固程度，提升相關(guān)攻擊事件的處置效率，從而降低停機(jī)損失。為從容應(yīng)對(duì)勒索病毒攻擊，將損失降至最低，愛(ài)數(shù)基于勒索病毒攻擊的趨勢(shì)，并結(jié)合自身豐富的技術(shù)底蘊(yùn)和行業(yè)實(shí)踐，提出以下建議，希望以此為廣大客戶提供防御指引。備份，仍是應(yīng)對(duì)勒索病毒的最后一道防線勒索病毒防御道路千萬(wàn)條，備份仍是不可或缺的一環(huán)。隨著技術(shù)的迭代，勒索病毒變異快，攻擊手段也愈發(fā)多樣化，讓單點(diǎn)防御方案防不勝防。事前的防火墻、殺毒軟件一旦失效，就存在極大的被勒索風(fēng)險(xiǎn)。通過(guò)數(shù)據(jù)備份，恢復(fù)被加密或篡改的數(shù)據(jù)，也成為避免高額贖金、快速恢復(fù)業(yè)務(wù)的關(guān)鍵方案。備份，早已成為名副其實(shí)的勒索病毒最后一道防線。若這道防線堅(jiān)固程度不足，勒索病毒將猶如洪水猛獸一般擊潰數(shù)據(jù)安全的底線。明智的做法是，采用3-2-1-0策略加固備份方案，并確保備份系統(tǒng)符合零信任安全要求，即具備數(shù)據(jù)不可變、Air-Gap、嚴(yán)格的加密和訪問(wèn)權(quán)限控制等技術(shù)，才能讓勒索病毒束手無(wú)策，真正實(shí)現(xiàn)無(wú)懼勒索。體系化構(gòu)建防御方案，對(duì)防勒索至關(guān)重要隨著勒索病毒即服務(wù)模式（RaaS：Ransomware-as-a-Service）模式的廣泛流行，勒索病毒已轉(zhuǎn)變?yōu)楫a(chǎn)業(yè)化的攻擊趨勢(shì)，給組織和社會(huì)來(lái)了嚴(yán)重威脅。因此，對(duì)于組織而言，采取具備全面性、有效性、可持續(xù)性的體系化方案來(lái)防御產(chǎn)業(yè)化勒索病毒攻擊變得至關(guān)重要。在全面性方面，防勒索病毒不應(yīng)局限于技術(shù)層面，而應(yīng)從組織、管理、技術(shù)等多維度出發(fā)，全方位進(jìn)行勒索病毒防御建設(shè)，不讓任何一塊成為短板。在有效性方面，需從事前科學(xué)預(yù)防、事中快速響應(yīng)、事后復(fù)盤(pán)優(yōu)化等全流程增強(qiáng)勒索病毒防御能力，在任何階段都具備制勝勒索病毒的絕招。此外，防勒索病毒并非一時(shí)之事，病毒攻擊的持續(xù)性必然決定了勒索病毒防御的持續(xù)性。防勒索病毒方案也需與時(shí)俱進(jìn)，通過(guò)不斷優(yōu)化與完善，才能從容應(yīng)對(duì)抵御產(chǎn)業(yè)化的、不斷發(fā)展的勒索病毒攻擊。強(qiáng)化防勒索病毒管理體系建設(shè)部署全面、有效和可持續(xù)的體系化防勒索病毒方案，不僅需要組織內(nèi)部各個(gè)部門(mén)的協(xié)作配合，還需要借助專業(yè)服務(wù)廠商的支持，共同構(gòu)建起強(qiáng)大的防勒索病毒體系。一方面通過(guò)專業(yè)的產(chǎn)品能力構(gòu)建從事前-事中-事后全流程的防勒索堡壘，另外一方面，需加強(qiáng)組織人員、制度流程建設(shè)，從而形成更為立體的防護(hù)，避免勒索病毒有可乘之機(jī)。同時(shí)，不僅需聚焦組織自身的安全體系建設(shè)，還需要加強(qiáng)對(duì)供應(yīng)鏈的安全管理。在實(shí)踐過(guò)程中，組織可借