愛數(shù)：2024事前-事中-事后體系化抵御勒索病毒攻擊 -勒索病毒發(fā)展趨勢及防御要點

D體系化抵御防勒索病毒攻擊目錄第一章|勒索病毒攻擊，整體態(tài)勢嚴峻02第二章|威脅加劇，勒索病毒攻擊手段持續(xù)升級03第三章1愛數(shù)體系化防勒索病毒方案05第四章|體系化構(gòu)筑勒索病毒的堅固防線11勒索病毒攻擊，整體態(tài)勢嚴峻勒索病毒以變種快、傳播快、勒索贖金高等特點，一躍成為了最受關注的數(shù)據(jù)安全威脅之一。NotPetya、BadRabbit、GandGrab、SamSam等勒索病毒噴涌而至，頻頻攜全球大型組織攻擊事件登上熱門。尤其是近年來遠勒索病毒看似遠在天邊，實則近在咫尺勒索病毒正在以驚人的速度急劇增長，據(jù)Gartner預計，到2025年，至少有75%的IT組織將面臨一次或多次攻擊，勒索病毒攻擊的頻率也將由2021年的11秒/次上升到2031年的2秒/次。層出不窮的勒索病毒攻擊事件勒索病毒攻擊者加密或竊取企業(yè)級用戶的核心數(shù)據(jù)，其直接目的便是換取巨額贖金。據(jù)Gartner報告顯示，遭受勒索病毒攻擊后，46%的組織最終支付了贖金，被攻擊用戶支付的平均贖金為235萬元，且不乏有備受關注的這一觀點，支付贖金后只有4%的組織成功恢復了所有數(shù)據(jù)。同時，支付贖金也助長了網(wǎng)絡犯罪的囂張氣勢，為然而，勒索病毒攻擊導致的損失僅僅只有贖金嗎?答案顯然是否定的。Gartner報告表明，勒索病毒攻擊后的恢復成本和由此導致的停機、聲譽損失可能是贖金的10到15倍。組織從勒索病毒攻擊中恢復過來所需的平均時間為30天，同時還會對業(yè)務與收入、運營能力、品牌形象、員工工作效率等造成巨大負面影響，甚至需要承擔235萬元10-15倍勒索病毒之所以來勢洶洶，真相在于背后存在著一批批極有組織的勒索團伙，勒索病毒早已發(fā)展為成熟的黑色產(chǎn)業(yè)，讓病毒從系統(tǒng)攻擊、虛擬貨幣支付到洗錢變現(xiàn)，可以有規(guī)劃、有組織地快速完成。Gartner曾在相關報告中表明，勒索病毒開發(fā)團隊越來越多地將勒索病毒的訪問權和代碼作為服務產(chǎn)品出售(勒索病毒即服務，RaaS)。這大幅增加了惡意軟件變種的數(shù)量，加快了勒索病毒的攻擊頻率與范圍。在創(chuàng)新網(wǎng)絡技術加持下，勒索病毒攻擊的手段持續(xù)升級，呈現(xiàn)出諸多新特點，不僅體現(xiàn)在攻擊手法的惡劣性上，還體現(xiàn)在攻擊對象范圍的進一步擴大。在這些新趨勢下，勒索病毒成為威脅最大的網(wǎng)絡安全隱患之一，也是組織數(shù)據(jù)安全最大的潛在殺手之一。從數(shù)據(jù)加密到“竊密+勒索”的捆綁攻擊早期勒索病毒往往以加密用戶設備或有價值的數(shù)據(jù)為手段，向被攻擊者索要贖金以解鎖設備或解密數(shù)據(jù)。然而，隨著勒索病毒黑色產(chǎn)業(yè)和技術的發(fā)展，勒索病毒的攻擊手段正在發(fā)生變化。從最初的加密數(shù)據(jù)，到“竊密+勒索”的捆綁攻擊。攻擊者通過竊取用戶的機密數(shù)據(jù)勒索高昂贖金，如果未收到贖金則會在暗網(wǎng)上公布數(shù)據(jù)。更有甚者，攻擊者會陸續(xù)公開用戶敏感數(shù)據(jù)，以達到多次威脅、勒索的作用，直至最后全部公開。攻擊者為了提升獲取贖金的成功率，往往會以多種技術層層疊加，從最初的加密數(shù)據(jù)，到竊取數(shù)據(jù)，再到發(fā)動分布式拒絕服務攻擊網(wǎng)絡，最后通過電話、郵件等方式層層給用戶進行施壓，以此逼迫用戶支付贖金，從而達成攻攻擊對象升級為全行業(yè)全規(guī)模組織勒索病毒攻擊逐漸升級，其矛頭已轉(zhuǎn)向關鍵信息基礎設施，政府、能源、通信、金融、交通、公共事業(yè)等重要行業(yè)都是勒索病毒攻擊的主要目標。一系列的攻擊事件也表明了這一點，2022年，哥斯達黎加政府被勒索病毒攻擊，宣布進入“國家緊急狀態(tài)”,同年，法國巴黎的一家醫(yī)院因遭遇攻擊迫使其將患者轉(zhuǎn)診至其他機構(gòu)……這些攻擊事件極其惡劣，不僅使這類組織在經(jīng)營和財務上付出了巨大的代價，也使人們的健康、安全和生命受到威脅。不僅如此，勒索病毒攻擊的對象也逐步演變?yōu)槿?guī)模組織。對于大型組織，尤其是上市公司，盡管其網(wǎng)絡及數(shù)據(jù)安全體系建設都較為完備，勒索者攻擊難度較大，但由于勒索贖金金額也會更大，對于勒索者而言依舊具備極強誘惑力。面對此類型組織，勒索者將會采用APT攻擊(高級長期威脅)以提升成功率。為更好執(zhí)行這一策略，行業(yè)化的勒索團隊應運而生。對于中小型組織而言，攻擊所獲得的收益相對較少，但由于其攻擊門檻低，可通過廣散網(wǎng)、擴大攻擊面等來彌補收益。簡而言之，無論組織規(guī)模大小，都已經(jīng)成為勒索病毒攻擊的目標。利用供應鏈進行攻擊，提升攻擊成功率隨著勒索者產(chǎn)業(yè)化的運作，攻擊手法也呈現(xiàn)出新的趨勢。滿心算計的勒索者，將目標瞄準在供應鏈上，以此提升攻擊的成功率。一方面，勒索病毒利用軟件供應鏈進行傳播。通過攻擊軟件供應商的相關服務器，利用其軟件供應鏈實現(xiàn)對勒索病毒的分發(fā)、傳播等，并在其生成或者更新過程中，篡改或中斷源代碼，隱藏惡意軟件。由于軟件通過受信任的供應商提供，極易繞過用戶的安全防護機制，達到實施勒索的目的。另一方面，勒索者對組織供應鏈的上下游企業(yè)也虎視眈眈，尤其是其中的薄弱環(huán)節(jié)，極有可能成為勒索病毒攻擊的目標。例如，重度依賴于供應鏈協(xié)作的制造業(yè)，一旦其材料供應商被勒索將會直接導致其業(yè)務受影響。毫不夸張地說，供應鏈網(wǎng)絡及數(shù)據(jù)安全的“木桶效應”早已顯現(xiàn)，也正成為勒索者實施勒索病毒攻擊的重要入口。2022年，汽車制造巨頭豐田就因其零部件供應商遭到勒索病毒攻擊，導致其在日工廠全部停產(chǎn)。備份系統(tǒng)成為勒索病毒攻擊的重要目標在勒索病毒持續(xù)泛濫的趨勢下，業(yè)務數(shù)據(jù)被加密后有兩種選擇，一種是從備份系統(tǒng)中恢復合適時間點的數(shù)據(jù)，另一種則是被迫支付贖金換取密鑰解密數(shù)據(jù)。諸多企業(yè)級用戶逐漸開始意識到數(shù)據(jù)備份的重要性。Gartner統(tǒng)計發(fā)現(xiàn)，為了應對日益嚴重的勒索病毒攻擊，企業(yè)部署數(shù)據(jù)備份方案明顯增多，當遭遇勒索病毒加密時，會首選自行恢復，而拒絕支付贖金。然而，為業(yè)務數(shù)據(jù)進行備份，真的就可以高枕無憂了嗎?遺憾的是，備份系統(tǒng)自身也危險重重，早已成為勒索病毒覬覦的目標。由于勒索病毒潛伏期長，難以及時發(fā)現(xiàn)，導致備份的源數(shù)據(jù)已被感染，該數(shù)據(jù)通過備份系統(tǒng)恢復不僅無法解勒索病毒攻擊的燃眉之急，還將造成二次感染。更有甚者，勒索病毒還將直接攻擊備份系統(tǒng)，以篡改備份數(shù)據(jù)為目標，從而攻破業(yè)務數(shù)據(jù)最后一道防線，提升獲取贖金的可能性。加之備份任務往往在閑時執(zhí)行，易備流量監(jiān)測軟件告警忽略，這為勒索病毒攻擊提供了極大便利。體系化抵御勒索病毒攻擊[勒索病毒無孔不入，攻擊事件層出不窮。加之隨著技術的迭代，攻擊手段也不斷升級，勒索病毒更加防不勝防。為從容應對勒索病毒攻擊，明智之舉是構(gòu)建體系化的勒索病毒防御方案，全方位增強數(shù)字化系統(tǒng)的韌性。相關法律法規(guī)也持續(xù)完善，要求廣大組織建立防御體系及應急措施，如《網(wǎng)絡安全事件報告管理辦法(征求意見稿)》要求發(fā)生較大、重大或特別重大網(wǎng)絡安全事件需1小時內(nèi)進行報告，《香港安全第三級數(shù)據(jù)備份指南(STDB)》要求具備備份系統(tǒng)具備不可變、Air-Gap、可驗證等能力。愛數(shù)作為領先的全域數(shù)據(jù)能力服務商，致力于為各行業(yè)客戶抵御勒索病毒等數(shù)據(jù)安全風險。在諸多創(chuàng)新技術的加持下，愛數(shù)以AnyBackupFamily8和AnyRobotEyes5兩大產(chǎn)品，再結(jié)合防勒索病毒管理體系專業(yè)服務，聯(lián)合打造體系化防勒索病毒方案，從產(chǎn)品、技術、組織與管理等維度，在事前-事中-事后全流程部署針對性措施，全方位構(gòu)筑勒索病毒防御的堅固防線?！な虑埃悍e極部署防御策略，如部署勒索病毒識別、監(jiān)測工具，對核心業(yè)務數(shù)據(jù)提供專業(yè)可靠的備份保護，并進行定期災難恢復演練，盡量做到未雨綢繆，有備無患；·事中：精準定位勒索病毒攻擊源頭，及時阻斷攻擊鏈條，對感染數(shù)據(jù)進行應急備份，并快速恢復業(yè)務與數(shù)據(jù)，最小化停機時間，保障業(yè)務連續(xù)運行；·事后：日志合規(guī)留存與審計，利用應急備份副本進行攻擊鏈路還原，輔助調(diào)查取證，并復盤應急方案，發(fā)現(xiàn)薄弱環(huán)節(jié)，優(yōu)化應對機制。事后優(yōu)化勒索病毒觀測防勒索災備建設勒索病毒應急處置業(yè)務與數(shù)據(jù)恢復取證與優(yōu)化體系化抵御勒索病毒攻擊|05事前預防：加固數(shù)據(jù)安全防線，做到有備無患勒索分析識別及時發(fā)現(xiàn)勒索病毒并告警，對于防勒索病毒至關重要，不僅能降低感染數(shù)據(jù)規(guī)模，且可快速啟動應急預案，降低攻擊導致的損失。AnyRobotEyes5可觀測性平臺，在勒索病毒防御過程中起到了眼觀四面、耳聽八方的重要作用。面向業(yè)務系統(tǒng)，AnyRobotEyes5可基于核心業(yè)務的指標、日志和鏈路等數(shù)據(jù)進行關聯(lián)分析，實時監(jiān)測和識別勒索病毒行為，一旦出現(xiàn)流量激增、大量數(shù)據(jù)更名或刪除等異常行為，將會及時自動告警。此外，AnyRobotEyes5還可以將這些異常行為與第三方情報進行比對，從而快速識別勒索病毒，有效降低安全風險。險3-2-1-0災備策略配置Gartner建議組織按照3-2-1策略進行存儲數(shù)據(jù)，即至少保留3個數(shù)據(jù)副本，保存在2種備份介質(zhì)中，并且其中1個副本在異地。通過3-2-1策略，可有效避免單一副本、單一硬件設備、甚至是單一數(shù)據(jù)中心發(fā)生災難而導致的數(shù)據(jù)丟失和業(yè)務停機影響。愛數(shù)在此基礎上，進一步將3-2-1策略升級為3-2-1-0策略，其中，“0”強調(diào)O篡改，確保備份數(shù)據(jù)在任意攻擊下都能不被篡改。個數(shù)據(jù)副本種備份介質(zhì)個異地篡改體系化御防勒索病毒攻擊|06虛擬機云主機虛擬機云主機生產(chǎn)環(huán)境√病毒查殺病毒查殺病毒查殺演練管理生成無病毒鏡像標記未感染時間點數(shù)據(jù)沙箱體系化御防勒索病毒攻擊|07追蹤攻擊者的行為和入侵路徑，可以追溯到勒索攻擊的起源。執(zhí)行阻斷5.定位到風險IP,識別出是通過網(wǎng)站泥洞入侵4.發(fā)現(xiàn)內(nèi)網(wǎng)主機與外網(wǎng)可疑IP進行通信，存在數(shù)據(jù)泄漏1.發(fā)現(xiàn)辦公區(qū)主機登錄可疑外網(wǎng)P,有被控制的風險3.發(fā)觀局域網(wǎng)內(nèi)大量應用端口被掃描，存在橫移風險2.通過被控制主機上行為日志，分析出有訪問敏感數(shù)據(jù)安全隔離應急備份C受損范圍評估及統(tǒng)計勒索病毒攻擊告警后，AnyRobotEyes5結(jié)合第三方阻斷工具切斷傳播源后，需要對受損范圍進行評估，以更好地執(zhí)行應急預案和災難恢復計劃。AnyRobotEyes5通過統(tǒng)計系統(tǒng)和服務的入侵記錄，可追溯到受損主機，基于主機之間的關系，評估受損范圍?；谑軗p范圍，精準匹配不同的防勒索應急預案，避免出現(xiàn)處置不足或過度處置的情況.況.防勒索應急響應預案海量數(shù)據(jù)快速恢復，最小化停機損失當勒索病毒攻擊導致業(yè)務中斷，第一要務便是快速恢復數(shù)據(jù)，保障業(yè)務連續(xù)運行。快速恢復海量數(shù)據(jù)的重要意義，不僅體現(xiàn)在能避免高昂贖金，還體現(xiàn)在能將停機損失降至最低，AnyBeckupFamily8通過構(gòu)建副本數(shù)據(jù)湖架構(gòu)，不斷優(yōu)化數(shù)據(jù)恢復性能，月在海量數(shù)據(jù)場最下。依然表現(xiàn)出色。張系化抵御勒素病善收擊108開始結(jié)束數(shù)據(jù)級恢復開始結(jié)束數(shù)據(jù)級恢復2.5分鐘匹配應用級災難恢復應用B應用B一鍵執(zhí)行災難恢復計劃一鍵執(zhí)行災難恢復計劃災難恢復計劃管理主機級一鍵接管中源預編排的災難恢復計劃，遭遇勒索病毒攻擊后，一鍵恢復少180天要求預案優(yōu)化預案優(yōu)化應急管理后評價框架以通用數(shù)據(jù)為樣本、定性定時相結(jié)合、尋找規(guī)律、抓準痛點、對癥下藥綜合原因外部原因內(nèi)部原因外部原因時長分析時長分析時長分影響因素分析原因分析1、突發(fā)事件預案預案飯復階段業(yè)務驗證5、事后分析重大故障重大故障體系化構(gòu)筑勒索病毒的堅固防線為從容應對勒索病毒攻擊，將損失降至最低，愛數(shù)基于勒索病毒攻擊的趨勢，并結(jié)合自身豐富的技術底蘊和行業(yè)實勒索病毒防御道路干萬條，備份仍是不可或缺的一環(huán)。隨著技術的讓單點防御方案防不勝防。事前的防火墻、殺毒軟件一旦失效，就存在極大的被勒索風險。通過數(shù)據(jù)備份，恢復被加密或篡改的數(shù)據(jù)，也成為避免高額贖金、快速恢復業(yè)務的關鍵方案。備份，早已成為名副其實的勒索病毒最后一道防線。若這道防線堅固程度不足，勒索病毒將猶如洪水猛獸一般擊潰數(shù)據(jù)安全的底線。明智的做法是，采用3-2-1-0策略加固備份方案，并確保備份系統(tǒng)符合零信任安全要求，即具備數(shù)據(jù)不可變、Air-Gap、嚴格的加密和訪問權隨著勒索病毒即服務模式(RaaS:Ransomware-as-a-Service)模式的廣泛流行，勒索病毒已轉(zhuǎn)變?yōu)楫a(chǎn)業(yè)化的攻防御產(chǎn)業(yè)化勒索病毒攻擊變得至關重要。在全面性方面，防勒索病毒不應局限于技術層面，而應從組織、管理、技術等多維度出發(fā)，全方位進行勒索病毒防御建設，不讓任何一塊成為短板。在有效性方面，需從事前科學預防、事中快速響應、事后復盤優(yōu)化等全流程增強勒索病毒防御能力，在任何階段都具備制勝勒索病毒的絕招。此外，防勒索病毒并非一時之事，病毒攻擊的持續(xù)性必然決定了勒索病毒防御的持續(xù)性。防勒索病毒方案也需與時俱進，通過部署全面、有效和可持續(xù)的體系化防勒索病毒方案，不僅需要組織內(nèi)部各個部門的協(xié)作配合，還需要借助專業(yè)服一方面通過專業(yè)的產(chǎn)品能力構(gòu)建從事前-事中-事后全流程的防勒索堡壘，另外一方面，需加強組