数据防勒索的三个最佳实践
除新冠肺炎疫情之外,勒索软件已成为全球经济面临的严重威胁之一。Gartner的调查研究数据表明,企业遭遇攻击早已不再是“会否”的问题,而只是“何时”的问题。
Gartner预测,到2025年,75%的企业将面临一次或多次攻击。由于勒索软件团伙采取更加激进的战术勒索赎金,美国国家安全机构发现,2020年遭勒索企业平均赎金支出已高达20万美元。
针对企业的大规模勒索软件攻击频频见诸报端,咨询公司埃森哲就是新鲜出炉的受害者。美国是此类攻击的高发地区,勒索软件攻击占美国所有网络攻击的30%,是全球比例的两倍多。
为什么勒索软件攻击状况如今更加严峻?
安全专家普遍的说法是,新冠肺炎疫情及其导致的封城和居家办公,为黑客创造了诱人的新机会。
员工有时会使用不安全的个人设备和网络,通过很容易入侵的远程桌面协议软件访问办公电脑,或者通过往往配置错误或防护不当的VPN接入办公系统。这就导致即使是具有大量IT预算和大型安全团队的大企业,也会遭遇漏洞完美风暴。而且,勒索软件攻击还变得越来越复杂。
勒索软件攻击如今发展出了多个阶段,从渗透网络到盗取登录凭证,再到攻击备份系统。在为期数周到数月的整个攻击过程中,不到最后有人突然发现文件被加密锁定无法使用,公司通常不会发觉自己遭到了攻击。
勒索软件攻击会对数据存储造成怎样的影响?
勒索软件攻击团伙会袭击所有IT基础设施,不仅仅是服务器和应用。ESET发布的勒索软件报告显示,2021年,附网存储(NAS)设备制造商QNAP向其客户发出警报称,eCh0raix正在攻击其NAS设备,尤其是使用弱口令的NAS设备。
这一前景实在不容乐观,因为数据增长是爆炸性的,而80%的企业数据现在基本上是非结构化文件数据,要么位于NAS存储,要么存放在云端。
非结构化文件数据面临勒索软件挑战
由于规模巨大、格式多样且增长迅速,文件数据保护相当棘手。IT部门必须制定多层策略,也就是说,除了保存本地备份副本,还必须在云端等不会被感染的其他地方单独保存一份额外的副本。
但如今,我们讨论的是天价遭攻击成本。很多企业的文件数据规模已达PB级,而1PB往往意味着几十亿个文件。公司本就难以备份所有这些数据。再添加一份额外的副本,可能会让首席财务官相当头痛。
万幸,我们还可以创建经济高效的多层策略。方法如下:
1. 重视可见性与审计
早期检测勒索软件是一个很好的目标,可以通过在企业各个网络和基础设施上监测操作行为和识别威胁与异常活动来实现。采用非结构化数据管理工具分析数据使用,可以揭示文件可疑操作,比如文件读取和写入次数异常。尽管早期检测可作为理想防线,但并非万无一失,因为勒索软件攻击也在不断进化。存储管理器应具有分析数据仪表盘,显示内部和云端各个位置所有数据使用的关键指标。大部分(80%)文件数据通常都是冷数据,一年多没用过的那种。想要创建经济高效的多层防御策略,关键在于知道哪些数据是经常使用的热数据,而哪些是不经常使用的冷数据。
2. 创建多层数据管理防御
• 热数据快照与备份。快照与备份能够在数据更新时跟踪记录数据的各项变更。经常使用的热数据需要快照与备份来防止用户误操作或系统故障导致的损失。但快照和备份也会遭到勒索软件攻击,如果很多天都没有检测出来,那它们“保护”的可能就是已损坏的数据了。想要抵御勒索软件,我们还需要在单独的物理位置,比如云端,再存上一份不可变(无法重写)的数据副本。快照和备份可不便宜,所以我们只这么备份通常仅占总量20%的热数据。
• 冷数据云分层和不可变存储。不应对所有数据一视同仁是现代数据管理的箴言之一。数据管理可不能搞民主。通过将冷数据从顶级NAS分层到云端对象锁定存储,我们就能以很少的成本获得冷文件数据的不可变副本。勒索软件无法重写这一副本。将冷数据转移到对象存储还能减少备份占用的空间,可以在减少备份许可成本的同时,再加上一道勒索软件防线。当然,你还可以创建异地(DR)磁带数据备份。不过,这样的话,恢复时间就会长上许多了。而且,在云时代,物理备份解决方案的吸引力早已不如从前。
3. 制定计划并加以验证
前两项就位后,团队应制定可行的计划来应对攻击场景。不要等到黑客成功锁定文件/系统并在电脑前笑等赎金入账的时候才来验证自己的计划是否可行。必须记录和测试计划,确保能通过快速恢复和替代数据访问方法来保护数据,这样才能在不中断业务或支付大笔赎金的情况下保持业务正常运行。
抵御勒索人人有责
与勒索软件的斗争正从安全团队扩展到企业IT的各个方面,包括数据存储。通过非结构化数据管理,存储专业人员可以采用多层防御策略来辅助安全同事的工作。这种策略始于跨所有存储的实时可见性,并纳入了快照、备份和对象锁定云存储。企业网络安全团队会对此感激不尽的。
随着网络犯罪团伙愈加激进,随着他们的攻击手段不断推陈出新,数据管理专业人员需要通过更为细致入微的灾难恢复计划加强防范。
