愛數：2024事前-事中-事后體系化抵御勒索病毒攻擊 -勒索病毒發(fā)展趨勢及防御要點

D體系化抵御防勒索病毒攻擊目錄第一章|勒索病毒攻擊，整體態(tài)勢嚴峻02第二章|威脅加劇，勒索病毒攻擊手段持續(xù)升級03第三章1愛數體系化防勒索病毒方案05第四章|體系化構筑勒索病毒的堅固防線11勒索病毒攻擊，整體態(tài)勢嚴峻勒索病毒以變種快、傳播快、勒索贖金高等特點，一躍成為了最受關注的數據安全威脅之一。NotPetya、BadRabbit、GandGrab、SamSam等勒索病毒噴涌而至，頻頻攜全球大型組織攻擊事件登上熱門。尤其是近年來遠勒索病毒看似遠在天邊，實則近在咫尺勒索病毒正在以驚人的速度急劇增長，據Gartner預計，到2025年，至少有75%的IT組織將面臨一次或多次攻擊，勒索病毒攻擊的頻率也將由2021年的11秒/次上升到2031年的2秒/次。層出不窮的勒索病毒攻擊事件勒索病毒攻擊者加密或竊取企業(yè)級用戶的核心數據，其直接目的便是換取巨額贖金。據Gartner報告顯示，遭受勒索病毒攻擊后，46%的組織最終支付了贖金，被攻擊用戶支付的平均贖金為235萬元，且不乏有備受關注的這一觀點，支付贖金后只有4%的組織成功恢復了所有數據。同時，支付贖金也助長了網絡犯罪的囂張氣勢，為然而，勒索病毒攻擊導致的損失僅僅只有贖金嗎?答案顯然是否定的。Gartner報告表明，勒索病毒攻擊后的恢復成本和由此導致的停機、聲譽損失可能是贖金的10到15倍。組織從勒索病毒攻擊中恢復過來所需的平均時間為30天，同時還會對業(yè)務與收入、運營能力、品牌形象、員工工作效率等造成巨大負面影響，甚至需要承擔235萬元10-15倍勒索病毒之所以來勢洶洶，真相在于背后存在著一批批極有組織的勒索團伙，勒索病毒早已發(fā)展為成熟的黑色產業(yè)，讓病毒從系統(tǒng)攻擊、虛擬貨幣支付到洗錢變現，可以有規(guī)劃、有組織地快速完成。Gartner曾在相關報告中表明，勒索病毒開發(fā)團隊越來越多地將勒索病毒的訪問權和代碼作為服務產品出售(勒索病毒即服務，RaaS)。這大幅增加了惡意軟件變種的數量，加快了勒索病毒的攻擊頻率與范圍。在創(chuàng)新網絡技術加持下，勒索病毒攻擊的手段持續(xù)升級，呈現出諸多新特點，不僅體現在攻擊手法的惡劣性上，還體現在攻擊對象范圍的進一步擴大。在這些新趨勢下，勒索病毒成為威脅最大的網絡安全隱患之一，也是組織數據安全最大的潛在殺手之一。從數據加密到“竊密+勒索”的捆綁攻擊早期勒索病毒往往以加密用戶設備或有價值的數據為手段，向被攻擊者索要贖金以解鎖設備或解密數據。然而，隨著勒索病毒黑色產業(yè)和技術的發(fā)展，勒索病毒的攻擊手段正在發(fā)生變化。從最初的加密數據，到“竊密+勒索”的捆綁攻擊。攻擊者通過竊取用戶的機密數據勒索高昂贖金，如果未收到贖金則會在暗網上公布數據。更有甚者，攻擊者會陸續(xù)公開用戶敏感數據，以達到多次威脅、勒索的作用，直至最后全部公開。攻擊者為了提升獲取贖金的成功率，往往會以多種技術層層疊加，從最初的加密數據，到竊取數據，再到發(fā)動分布式拒絕服務攻擊網絡，最后通過電話、郵件等方式層層給用戶進行施壓，以此逼迫用戶支付贖金，從而達成攻攻擊對象升級為全行業(yè)全規(guī)模組織勒索病毒攻擊逐漸升級，其矛頭已轉向關鍵信息基礎設施，政府、能源、通信、金融、交通、公共事業(yè)等重要行業(yè)都是勒索病毒攻擊的主要目標。一系列的攻擊事件也表明了這一點，2022年，哥斯達黎加政府被勒索病毒攻擊，宣布進入“國家緊急狀態(tài)”,同年，法國巴黎的一家醫(yī)院因遭遇攻擊迫使其將患者轉診至其他機構……這些攻擊事件極其惡劣，不僅使這類組織在經營和財務上付出了巨大的代價，也使人們的健康、安全和生命受到威脅。不僅如此，勒索病毒攻擊的對象也逐步演變?yōu)槿?guī)模組織。對于大型組織，尤其是上市公司，盡管其網絡及數據安全體系建設都較為完備，勒索者攻擊難度較大，但由于勒索贖金金額也會更大，對于勒索者而言依舊具備極強誘惑力。面對此類型組織，勒索者將會采用APT攻擊(高級長期威脅)以提升成功率。為更好執(zhí)行這一策略，行業(yè)化的勒索團隊應運而生。對于中小型組織而言，攻擊所獲得的收益相對較少，但由于其攻擊門檻低，可通過廣散網、擴大攻擊面等來彌補收益。簡而言之，無論組織規(guī)模大小，都已經成為勒索病毒攻擊的目標。利用供應鏈進行攻擊，提升攻擊成功率隨著勒索者產業(yè)化的運作，攻擊手法也呈現出新的趨勢。滿心算計的勒索者，將目標瞄準在供應鏈上，以此提升攻擊的成功率。一方面，勒索病毒利用軟件供應鏈進行傳播。通過攻擊軟件供應商的相關服務器，利用其軟件供應鏈實現對勒索病毒的分發(fā)、傳播等，并在其生成或者更新過程中，篡改或中斷源代碼，隱藏惡意軟件。由于軟件通過受信任的供應商提供，極易繞過用戶的安全防護機制，達到實施勒索的目的。另一方面，勒索者對組織供應鏈的上下游企業(yè)也虎視眈眈，尤其是其中的薄弱環(huán)節(jié)，極有可能成為勒索病毒攻擊的目標。例如，重度依賴于供應鏈協(xié)作的制造業(yè)，一旦其材料供應商被勒索將會直接導致其業(yè)務受影響。毫不夸張地說，供應鏈網絡及數據安全的“木桶效應”早已顯現，也正成為勒索者實施勒索病毒攻擊的重要入口。2022年，汽車制造巨頭豐田就因其零部件供應商遭到勒索病毒攻擊，導致其在日工廠全部停產。備份系統(tǒng)成為勒索病毒攻擊的重要目標在勒索病毒持續(xù)泛濫的趨勢下，業(yè)務數據被加密后有兩種選擇，一種是從備份系統(tǒng)中恢復合適時間點的數據，另一種則是被迫支付贖金換取密鑰解密數據。諸多企業(yè)級用戶逐漸開始意識到數據備份的重要性。Gartner統(tǒng)計發(fā)現，為了應對日益嚴重的勒索病毒攻擊，企業(yè)部署數據備份方案明顯增多，當遭遇勒索病毒加密時，會首選自行恢復，而拒絕支付贖金。然而，為業(yè)務數據進行備份，真的就可以高枕無憂了嗎?遺憾的是，備份系統(tǒng)自身也危險重重，早已成為勒索病毒覬覦的目標。由于勒索病毒潛伏期長，難以及時發(fā)現，導致備份的源數據已被感染，該數據通過備份系統(tǒng)恢復不僅無法解勒索病毒攻擊的燃眉之急，還將造成二次感染。更有甚者，勒索病毒還將直接攻擊備份系統(tǒng)，以篡改備份數據為目標，從而攻破業(yè)務數據最后一道防線，提升獲取贖金的可能性。加之備份任務往往在閑時執(zhí)行，易備流量監(jiān)測軟件告警忽略，這為勒索病毒攻擊提供了極大便利。體系化抵御勒索病毒攻擊[勒索病毒無孔不入，攻擊事件層出不窮。加之隨著技術的迭代，攻擊手段也不斷升級，勒索病毒更加防不勝防。為從容應對勒索病毒攻擊，明智之舉是構建體系化的勒索病毒防御方案，全方位增強數字化系統(tǒng)的韌性。相關法律法規(guī)也持續(xù)完善，要求廣大組織建立防御體系及應急措施，如《網絡安全事件報告管理辦法(征求意見稿)》要求發(fā)生較大、重大或特別重大網絡安全事件需1小時內進行報告，《香港安全第三級數據備份指南(STDB)》要求具備備份系統(tǒng)具備不可變、Air-Gap、可驗證等能力。愛數作為領先的全域數據能力服務商，致力于為各行業(yè)客戶抵御勒索病毒等數據安全風險。在諸多創(chuàng)新技術的加持下，愛數以AnyBackupFamily8和AnyRobotEyes5兩大產品，再結合防勒索病毒管理體系專業(yè)服務，聯合打造體系化防勒索病毒方案，從產品、技術、組織與管理等維度，在事前-事中-事后全流程部署針對性措施，全方位構筑勒索病毒防御的堅固防線。·事前：積極部署防御策略，如部署勒索病毒識別、監(jiān)測工具，對核心業(yè)務數據提供專業(yè)可靠的備份保護，并進行定期災難恢復演練，盡量做到未雨綢繆，有備無患；·事中：精準定位勒索病毒攻擊源頭，及時阻斷攻擊鏈條，對感染數據進行應急備份，并快速恢復業(yè)務與數據，最小化停機時間，保障業(yè)務連續(xù)運行；·事后：日志合規(guī)留存與審計，利用應急備份副本進行攻擊鏈路還原，輔助調查取證，并復盤應急方案，發(fā)現薄弱環(huán)節(jié)，優(yōu)化應對機制。事后優(yōu)化勒索病毒觀測防勒索災備建設勒索病毒應急處置業(yè)務與數據恢復取證與優(yōu)化體系化抵御勒索病毒攻擊|05事前預防：加固數據安全防線，做到有備無患勒索分析識別及時發(fā)現勒索病毒并告警，對于防勒索病毒至關重要，不僅能降低感染數據規(guī)模，且可快速啟動應急預案，降低攻擊導致的損失。AnyRobotEyes5可觀測性平臺，在勒索病毒防御過程中起到了眼觀四面、耳聽八方的重要作用。面向業(yè)務系統(tǒng)，AnyRobotEyes5可基于核心業(yè)務的指標、日志和鏈路等數據進行關聯分析，實時監(jiān)測和識別勒索病毒行為，一旦出現流量激增、大量數據更名或刪除等異常行為，將會及時自動告警。此外，AnyRobotEyes5還可以將這些異常行為與第三方情報進行比對，從而快速識別勒索病毒，有效降低安全風險。險3-2-1-0災備策略配置Gartner建議組織按照3-2-1策略進行存儲數據，即至少保留3個數據副本，保存在2種備份介質中，并且其中1個副本在異地。通過3-2-1策略，可有效避免單一副本、單一硬件設備、甚至是單一數據中心發(fā)生災難而導致的數據丟失和業(yè)務停機影響。愛數在此基礎上，進一步將3-2-1策略升級為3-2-1-0策略，其中，“0”強調O篡改，確保備份數據在任意攻擊下都能不被篡改。個數據副本種備份介質個異地篡改體系化御防勒索病毒攻擊|06虛擬機云主機虛擬機云主機生產環(huán)境√病毒查殺病毒查殺病毒查殺演練管理生成無病毒鏡像標記未感染時間點數據沙箱體系化御防勒索病毒攻擊|07追蹤攻擊者的行為和入侵路徑，可以追溯到勒索攻擊的起源。執(zhí)行阻斷5.定位到風險IP,識別出是通過網站泥洞入侵4.發(fā)現內網主機與外網可疑IP進行通信，存在數據泄漏1.發(fā)現辦公區(qū)主機登錄可疑外網P,有被控制的風險3.發(fā)觀局域網內大量應用端口被掃描，存在橫移風險2.通過被控制主機上行為日志，分析出有訪問敏感數據安全隔離應急備份C受損范圍評估及統(tǒng)計勒索病毒攻擊告警后，AnyRobotEyes5結合第三方阻斷工具切斷傳播源后，需要對受損范圍進行評估，以更好地執(zhí)行應急預案和災難恢復計劃。AnyRobotEyes5通過統(tǒng)計系統(tǒng)和服務的入侵記錄，可追溯到受損主機，基于主機之間的關系，評估受損范圍?；谑軗p范圍，精準匹配不同的防勒索應急預案，避免出現處置不足或過度處置的情況.況.防勒索應急響應預案海量數據快速恢復，最小化停機損失當勒索病毒攻擊導致業(yè)務中斷，第一要務便是快速恢復數據，保障業(yè)務連續(xù)運行?？焖倩謴秃Ａ繑祿闹匾饬x，不僅體現在能避免高昂贖金，還體現在能將停機損失降至最低，AnyBeckupFamily8通過構建副本數據湖架構，不斷優(yōu)化數據恢復性能，月在海量數據場最下。依然表現出色。張系化抵御勒素病善收擊108開始結束數據級恢復開始結束數據級恢復2.5分鐘匹配應用級災難恢復應用B應用B一鍵執(zhí)行災難恢復計劃一鍵執(zhí)行災難恢復計劃災難恢復計劃管理主機級一鍵接管中源預編排的災難恢復計劃，遭遇勒索病毒攻擊后，一鍵恢復少180天要求預案優(yōu)化預案優(yōu)化應急管理后評價框架以通用數據為樣本、定性定時相結合、尋找規(guī)律、抓準痛點、對癥下藥綜合原因外部原因內部原因外部原因時長分析時長分析時長分影響因素分析原因分析1、突發(fā)事件預案預案飯復階段業(yè)務驗證5、事后分析重大故障重大故障體系化構筑勒索病毒的堅固防線為從容應對勒索病毒攻擊，將損失降至最低，愛數基于勒索病毒攻擊的趨勢，并結合自身豐富的技術底蘊和行業(yè)實勒索病毒防御道路干萬條，備份仍是不可或缺的一環(huán)。隨著技術的讓單點防御方案防不勝防。事前的防火墻、殺毒軟件一旦失效，就存在極大的被勒索風險。通過數據備份，恢復被加密或篡改的數據，也成為避免高額贖金、快速恢復業(yè)務的關鍵方案。備份，早已成為名副其實的勒索病毒最后一道防線。若這道防線堅固程度不足，勒索病毒將猶如洪水猛獸一般擊潰數據安全的底線。明智的做法是，采用3-2-1-0策略加固備份方案，并確保備份系統(tǒng)符合零信任安全要求，即具備數據不可變、Air-Gap、嚴格的加密和訪問權隨著勒索病毒即服務模式(RaaS:Ransomware-as-a-Service)模式的廣泛流行，勒索病毒已轉變?yōu)楫a業(yè)化的攻防御產業(yè)化勒索病毒攻擊變得至關重要。在全面性方面，防勒索病毒不應局限于技術層面，而應從組織、管理、技術等多維度出發(fā)，全方位進行勒索病毒防御建設，不讓任何一塊成為短板。在有效性方面，需從事前科學預防、事中快速響應、事后復盤優(yōu)化等全流程增強勒索病毒防御能力，在任何階段都具備制勝勒索病毒的絕招。此外，防勒索病毒并非一時之事，病毒攻擊的持續(xù)性必然決定了勒索病毒防御的持續(xù)性。防勒索病毒方案也需與時俱進，通過部署全面、有效和可持續(xù)的體系化防勒索病毒方案，不僅需要組織內部各個部門的協(xié)作配合，還需要借助專業(yè)服一方面通過專業(yè)的產品能力構建從事前-事中-事后全流程的防勒索堡壘，另外一方面，需加強組