【51CTO.com原創(chuàng)稿件】2020年，突如其來(lái)的新冠肺炎疫情，在給各行各業(yè)帶來(lái)巨大影響的同時(shí)，也徹底讓企業(yè)看到了數(shù)字化轉(zhuǎn)型的重要性。疫情之后，企業(yè)數(shù)字轉(zhuǎn)型步入快車(chē)道，高速發(fā)展的數(shù)字化業(yè)務(wù)給勒索病毒帶來(lái)了巨大的“利好”，企業(yè)必須采取有效的安全防護(hù)措施，才能保護(hù)應(yīng)用和數(shù)據(jù)安全，確保業(yè)務(wù)的連續(xù)性。

　　安全成為企業(yè)噩夢(mèng)，形勢(shì)或許更加嚴(yán)峻

　　全球最早的勒索病毒雛形誕生于1989年，由Joseph Popp編寫(xiě)，該木馬程序以“艾滋病信息引導(dǎo)盤(pán)”的形式進(jìn)入系統(tǒng)，采用替換AUTOEXEC.BAT文件的方式，實(shí)現(xiàn)在開(kāi)機(jī)時(shí)記數(shù)。一旦系統(tǒng)啟動(dòng)次數(shù)達(dá)到90次時(shí)，該木馬將隱藏磁盤(pán)的多個(gè)目錄，C盤(pán)的全部文件名也會(huì)被加密，從而導(dǎo)致系統(tǒng)無(wú)法啟動(dòng)。在中國(guó)，第一個(gè)勒索病毒——Redplus勒索木馬出現(xiàn)在2006年，該木馬會(huì)隱藏用戶(hù)文檔和包裹文件，然后彈出窗口要求用戶(hù)將贖金匯入指定銀行賬號(hào)。

　　實(shí)際上，勒索病毒最初針對(duì)的是個(gè)人計(jì)算機(jī)，隨著企業(yè)實(shí)施數(shù)字化轉(zhuǎn)型，勒索病毒的主要攻擊目標(biāo)也隨之發(fā)生變化，由此勒索病毒成為令所有企業(yè)非常痛恨的一種網(wǎng)絡(luò)攻擊方式。近年來(lái)，企業(yè)因受勒索病毒攻擊造成的巨大損失事件層出不窮。有關(guān)數(shù)據(jù)顯示，2019年勒索病毒帶來(lái)的各種損失達(dá)到115億美元。

　　雖然企業(yè)越發(fā)重視勒索病毒的攻擊，并采取了一定的防護(hù)，但業(yè)界多家安全廠商對(duì)勒索病毒監(jiān)測(cè)發(fā)現(xiàn)，勒索病毒的攻擊勢(shì)頭仍然呈現(xiàn)上升趨勢(shì)，頻率也在增加。

　　在企業(yè)面臨的威脅當(dāng)中，除了對(duì)文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)、虛擬機(jī)和云環(huán)境進(jìn)行直接攻擊之外，勒索病毒還會(huì)搜索應(yīng)用和數(shù)據(jù)備份，并其進(jìn)行加密，讓企業(yè)防不勝防。此外，勒索病毒還把更多的目光轉(zhuǎn)向針對(duì)云服務(wù)器提供商或運(yùn)營(yíng)商，對(duì)云上的數(shù)據(jù)進(jìn)行加密勒索。

　　為了提高攻擊的成功率，攻擊者也開(kāi)始采取更長(zhǎng)期的觀察，從最初的輕微破壞網(wǎng)絡(luò)安全到完全控制受害者的公司網(wǎng)絡(luò)，其中一些攻擊可能需要數(shù)周或更長(zhǎng)時(shí)間。這意味著，攻擊者有足夠的時(shí)間和耐心來(lái)了解企業(yè)關(guān)鍵數(shù)字資產(chǎn)，從而讓他們對(duì)受害者施加更大的壓力。

　　可以說(shuō)，勒索病毒已經(jīng)成為全球企業(yè)的噩夢(mèng)，且情況變得越來(lái)越糟糕。

　　勒索病毒無(wú)孔不入，安全意識(shí)必須樹(shù)牢

　　在攻擊方式上，勒索病毒與其它病毒最大的區(qū)別在于其不但會(huì)直接利用木馬等攻擊企業(yè)的數(shù)據(jù)中心，而且還會(huì)利用各種移動(dòng)、桌面設(shè)備進(jìn)行攻擊，例如通過(guò)企業(yè)員工的電腦漏洞來(lái)攻擊企業(yè)的數(shù)據(jù)中心等等。此外，其還會(huì)偽裝為盜版軟件、外掛軟件、色情播放器等，誘導(dǎo)受害者下載運(yùn)行病毒，以此來(lái)形成傳播，感染企業(yè)的應(yīng)用和數(shù)據(jù)，造成巨大損失。

　　相關(guān)報(bào)道顯示，截至2019年第四季度，超過(guò)57%的勒索病毒攻擊載體通過(guò)遠(yuǎn)程桌面協(xié)議(RDP)漏洞切入，超過(guò)26%通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊傳播，還有超過(guò)12%來(lái)自軟件漏洞。

　　因此，在應(yīng)對(duì)勒索病毒方面，首先要讓員工樹(shù)立強(qiáng)大的安全意識(shí)，這也正是Veeam倡導(dǎo)的防范勒索病毒的3個(gè)終極策略之一：培訓(xùn)。

　　由于勒索病毒能夠通過(guò)任何員工的設(shè)備實(shí)現(xiàn)攻擊，因此培訓(xùn)的對(duì)象不僅僅是IT人員，還包括企業(yè)的每一位員工。通過(guò)對(duì)所有員工進(jìn)行攻擊載體識(shí)別培訓(xùn)，讓他們了解RDP、網(wǎng)絡(luò)釣魚(yú)和軟件更新是攻擊切入的三大機(jī)制，找準(zhǔn)應(yīng)對(duì)勒索病毒攻擊的著力點(diǎn)，樹(shù)立牢固的安全意識(shí)。

　　當(dāng)然，在對(duì)企業(yè)IT部門(mén)人員進(jìn)行培訓(xùn)時(shí)，需要要求員工學(xué)習(xí)使用各種工具，以便能夠在發(fā)生勒索病毒攻擊并需要還原數(shù)據(jù)時(shí)，可以及時(shí)并快速應(yīng)對(duì)。為此，Veeam推出了Veeam Backup & Replication™安全恢復(fù)、Veeam DataLabs™數(shù)據(jù)備份等防勒索病毒產(chǎn)品，讓企業(yè)在受到勒索病毒攻擊后快速還原應(yīng)用和數(shù)據(jù)，保證業(yè)務(wù)不中斷。

　　Veeam Backup & Replication™在安全恢復(fù)期間會(huì)掛載企業(yè)計(jì)劃還原的機(jī)器磁盤(pán)，觸發(fā)殺毒軟件掃描已掛載磁盤(pán)中的文件，如果檢測(cè)到惡意軟件，則 Veeam Backup & Replication 將中止還原流程，或者根據(jù)安全恢復(fù)設(shè)置中的限制條件還原機(jī)器或還原磁盤(pán)。

　　Veeam DataLab 是一項(xiàng) SureBackup® 作業(yè)，能夠在隔離的環(huán)境中執(zhí)行并打開(kāi)虛擬機(jī) (VM) 備份，此功能不但旨在驗(yàn)證系統(tǒng)是否確實(shí)可恢復(fù)，也可用于測(cè)試應(yīng)用程序或操作系統(tǒng)更新等。DataLabs 不但能夠用于獲取還原點(diǎn)，并在還原之前確保系統(tǒng)按預(yù)期運(yùn)行，還可以在不連接網(wǎng)絡(luò)的情況下打開(kāi)DataLab中的一個(gè)或多個(gè)系統(tǒng)，以執(zhí)行一些可能的修復(fù)。

　　當(dāng)然，Veeam還建議用戶(hù)掌握SureBackup 的使用方法，以便于在進(jìn)行勒索病毒修復(fù)時(shí)，能夠輕松運(yùn)行 SureBackup作業(yè)，確保系統(tǒng)能夠正確還原，并且應(yīng)用程序按預(yù)期運(yùn)行。

　　Veeam認(rèn)為，培訓(xùn)對(duì)于企業(yè)防止勒索病毒的攻擊有著重要意義，不但能夠讓企業(yè)所有員工樹(shù)立預(yù)防勒索病毒的意識(shí)，而且還能夠讓所有員工熟練掌握防勒索病毒的處理流程，讓IT部門(mén)員工熟練使用各種工具，快速處理各種風(fēng)險(xiǎn)，在保持業(yè)務(wù)連續(xù)性的同時(shí)，將安全風(fēng)險(xiǎn)、成本降至最低。因此，培訓(xùn)是防止勒索病毒攻擊的必要措施，企業(yè)不得有半點(diǎn)松懈。

　　夯實(shí)備份基礎(chǔ)架構(gòu)，彈性抵御勒索病毒攻擊

　　當(dāng)企業(yè)遭遇勒索病毒攻擊時(shí)，快速處理和補(bǔ)救措施必須高效快速，這就必須借助簡(jiǎn)單、靈活和可靠的備份產(chǎn)品和解決方案。實(shí)際上，這也是Veeam防范勒索病毒的3個(gè)終極策略中的另外兩個(gè)：實(shí)施和補(bǔ)救。

　　筆者認(rèn)為，簡(jiǎn)單、靈活和可靠的備份產(chǎn)品和解決方案，必須具備以下幾大要素。首先，必須操作簡(jiǎn)單，易于使用，這樣才能做到在企業(yè)受到攻擊后能夠快速恢復(fù)，降低因操作帶來(lái)的復(fù)雜度。其次，必須能夠很好的兼容企業(yè)所有存儲(chǔ)產(chǎn)品。由于大部分企業(yè)往往會(huì)使用不同品牌、不同型號(hào)的存儲(chǔ)設(shè)備，這就要求備份產(chǎn)品必須能夠支持各種存儲(chǔ)設(shè)備，具備極高的靈活性。最后，必須具備極強(qiáng)的數(shù)據(jù)自我復(fù)原能力，即使遇到再?gòu)?qiáng)大的攻擊，也能夠完整的恢復(fù)業(yè)務(wù)數(shù)據(jù)。以上這些，也是Veeam提出的彈性抵御勒索病毒攻擊的主要理念。

　　在抵御勒索病毒的威脅時(shí)，Veeam不但提供了保護(hù)Veeam Backup & Replication服務(wù)器和組件、實(shí)現(xiàn)檢測(cè)勒索病毒的 Veeam 功能、多種恢復(fù)技術(shù)配置、多種終端保護(hù)、NAS保護(hù)、備份數(shù)據(jù)加密和編排式備份和副本恢復(fù)，而且還提出了超彈性備份存儲(chǔ)和 3-2-1 原則，即建議至少為重要數(shù)據(jù)保存三個(gè)副本，并保存在兩種不同介質(zhì)上，其中一個(gè)副本為異地存儲(chǔ)。3-2-1 原則的優(yōu)勢(shì)在于對(duì)硬件類(lèi)型沒(méi)有特別要求，并且具有普遍適用性，能夠應(yīng)對(duì)幾乎任何故障場(chǎng)景。

　　此外，由于勒索病毒威脅不斷加劇，Veeam 強(qiáng)調(diào)其中“一個(gè)”數(shù)據(jù)副本必須具有超強(qiáng)的彈性(即物理隔離、離線或不可變)。

　　實(shí)際上，Veeam的超彈性備份存儲(chǔ)不但支持磁帶備份，S3或兼容S3的對(duì)象存儲(chǔ)中的不可變備份，而且提供物理隔離和離線介質(zhì)(即移動(dòng)硬盤(pán)、輪轉(zhuǎn)驅(qū)動(dòng)器)以及帶內(nèi)部保護(hù)功能 Veeam Cloud Connect中的備份。

　　Veeam認(rèn)為，從彈性抵御勒索病毒的角度來(lái)說(shuō)，備份解決方案的實(shí)施與合規(guī)性審計(jì)非常一致。產(chǎn)品合規(guī)性可能并不在于產(chǎn)品本身，而是完全由產(chǎn)品的實(shí)施和審核方式來(lái)決定。當(dāng)遭到勒索病毒攻擊時(shí)，企業(yè)的彈性處理能力完全取決于備份解決方案的實(shí)施方式、威脅行為和修復(fù)過(guò)程。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】