勒索软件攻击会窃取并加密价值数据,要求缴纳赎金来解密。根据世界经济论坛《2022年全球网络安全展望》,勒索软件攻击已成为全球网络领导者最关心的网络威胁。
大型企业和基础设施成为勒索软件攻击重点,企业数据安全风险直线上升。
2021年,美国燃油管道运营商Colonial Pipeline遭遇勒索软件攻击,导致其管道业务全部停止,支付价值440万美元的赎金。同年,美国保险公司CNA Financial遭到勒索软件攻击,15000台设备被加密,向黑客支付了4000万美元。2022年4月,丰田多家供应链遭遇勒索软件攻击,导致1.4TB数据泄露,产能被迫削减50万辆。
越来越多的勒索组织开始有计划地瞄准大型企业和基础设施,通过会员、订阅或定制,向其他“攻击者”售卖勒索软件攻击相关服务,让勒索软件攻击成本和门槛下降,攻击无处不在,企业数据安全风险直线上升。
遭遇勒索软件攻击后,由于本地、甚至灾备中心的所有数据副本均被删除, 数据往往难以恢复,且伴随着隐私、机密数据的泄露。遭受勒索后,企业不仅面临赎金损失,还会面临商誉、商业机会、法律诉讼、人力和时间成本等连带损失,连带损失甚至是赎金损失的23倍以上,对企业造成巨大的持续伤害。另外,不是支付赎金就能一劳永逸,根据统计,49%支付了赎金的企业只拿回了部分数据甚至没有拿回数据,80%支付赎金的企业甚至遭到二次攻击。
传统的物理因素破坏包含自然灾害和系统硬件故障等,如火灾、洪水、硬盘损坏等。面对这些威胁,使用灾备方案、硬盘磨损度检测技术等可以轻松应对。当前,以勒索软件攻击为代表的人因性破坏持续增多,造成严重的经济损失,需要构建从网络到存储的全方位数据安全防护。
勒索软件可使用零日漏洞,即还没有补丁的安全漏洞、钓鱼邮件攻击等社会工程学攻击,内鬼物理攻击等方式入侵系统并植入勒索软件,使得勒索软件攻击难以防御。
网络的作用是防止勒索软件入侵、阻断勒索软件扩散、查杀勒索软件的作用。在勒索软件入侵后,网络已经无法阻止勒索软件对数据的破坏。此时,就需要数据存储来对数据进行保护。存储可以通过相关技术模式识别、机器学习等技术进行勒索识别,并且通过勒索检测、安全快照、数据隔离、数据恢复等数据安全能力来做好数据的逻辑和物理防护。
存储作为数据的最终载体,构建存储安全防护能力至关重要。在生产存储和生产隔离存储开启勒索检测功能,保障勒索攻击能够在第一时间被发现和阻止。
如果是高端存储,性能在满足业务诉求后还有余量,建议选择在存储上开启内置勒索检测功能,以降低系统部署复杂度。如果存储性能负载较满或者部署有多台存储,建议选择数据安全一体机类型的设备,实现统一管理的同时提升检测性能。专用设备不仅仅本身在抗攻击能力上具备显著的优势,而且聚焦于单项功能,也会更加稳定。勒索检测功能一般包括数据写入的事前拦截、事中实时侦测以及事后的全面扫描。
在防勒索的过程中,存储能否对勒索软件进行准确检测至关重要。业界领先的检测方法是:
将存储团队加入到数据安全团队,建立更加全面的数据安全防护体系
当前企业的数据安全团队主要由网络团队构成,他们的主要职责是通过防火墙等网络安全设备,制定严格的安全策略,封堵高危端口,减小暴露面。为了应对勒索软件攻击,应该将存储团队加入到数据安全团队,建立全面的数据安全防护体系。存储作为数据的最终载体,存储团队负责数据安全的存储防护层的建设,使用安全快照、数据隔离等方式对数据进行保护,对勒索攻击进行精准检测和快速响应,在遭遇勒索后尽快恢复。
在存储侧,构建全面的存储防勒索解决方案,夯实数据安全最后一道防线
在生产存储, 企业需要根据自身的应用SLA诉求和 数据重要等级识别需要保护的数据。 备份存储对数据副本进行防篡改保护和离线保护,保留一份干净的副本用于恢复。
事前(勒索病毒发动攻击前)——勒索文件拦截,识别勒索软件特征,阻止勒索软件对数据的破坏行为,达到拦截勒索攻击的作用;
事中(勒索病毒加密数据过程中)——实时勒索检测,在线监测勒索病毒攻击的IO行为,发现勒索攻击后,立即触发安全快照功能对检测到勒索攻击的文件系统进行主动保护,减少数据损失;
事后(勒索病毒加密数据后)——智能勒索检测,可以检测出数据副本是否被勒索病毒感染,确保用于恢复的数据副本的绝对安全。同时,积极选择全闪存存储作为生产、备份存储,在遭遇勒索软件攻击后,高性能的全闪存存储能够快速恢复业务,降低业务停机损失。
了解更多华为防勒索方案,敬请关注华为官网!
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0
添加新评论0 条评论