勒索軟件未來十年仍然會是企業(yè)面臨的最大安全威脅之一。根據(jù)Cybersecurity Ventures的報(bào)告，到2031年，全球勒索軟件造成的損失預(yù)計(jì)將超過2650億美元，每兩秒就會發(fā)生一起勒索軟件攻擊事件。

有漏洞的地方就會有勒索軟件，而且漏洞不一定在企業(yè)的內(nèi)部，去年的一系列重大供應(yīng)鏈攻擊已經(jīng)證明了這一點(diǎn)。因此企業(yè)將勒索軟件的防御注意力都集中在了漏洞管理上，卻往往忽視了其他環(huán)節(jié)。

過去，企業(yè)的數(shù)據(jù)存儲解決方案通常被視為IT基礎(chǔ)設(shè)施架構(gòu)而不是網(wǎng)絡(luò)安全戰(zhàn)略的一部分，因此很多人忽視了對象存儲在勒索軟件攻擊中保護(hù)關(guān)鍵資產(chǎn)的重要價(jià)值。

包括服務(wù)器、網(wǎng)絡(luò)和存儲在內(nèi)的信息技術(shù)(IT)基礎(chǔ)架構(gòu)堆棧的每一層都對企業(yè)的安全態(tài)勢非常重要，存儲也不例外。企業(yè)已經(jīng)部署了多種類型的存儲，包括網(wǎng)絡(luò)附加存儲(NAS)、存儲區(qū)域網(wǎng)絡(luò) (SAN)和對象存儲，每一種都針對不同類型的數(shù)據(jù)、工作負(fù)載和用例進(jìn)行了優(yōu)化。

由于非結(jié)構(gòu)化數(shù)據(jù)內(nèi)容的快速增長，對象存儲已成為現(xiàn)代企業(yè)IT環(huán)境的共同基石。對象存儲廣泛部署在安全敏感領(lǐng)域，例如金融服務(wù)、醫(yī)療(醫(yī)院和生物科學(xué))、政府機(jī)構(gòu)等。

雖然對象存儲(以及其他存儲技術(shù))本身也是整體安全基礎(chǔ)架構(gòu)堆棧的通用組成部分，但業(yè)務(wù)系統(tǒng)的對象存儲層(正確配置后)還可以用來提高勒索軟件防御能力，并幫助企業(yè)更快地從勒索軟件攻擊中恢復(fù)，具體如下：

身份驗(yàn)證和訪問控制

對象存儲解決方案需要身份驗(yàn)證，它應(yīng)該在用戶進(jìn)入時(shí)驗(yàn)證用戶并確保他們被授權(quán)。理想情況下，用戶必須首先創(chuàng)建一個(gè)帳戶，使用該帳戶訪問數(shù)據(jù)時(shí)，用戶還需要出示他們的訪問密鑰，否則將被鎖定。

身份驗(yàn)證是安全的關(guān)鍵要素，可確保只有授權(quán)用戶才能訪問數(shù)據(jù)存儲環(huán)境中的信息，并將不良行為者拒之門外。一些對象存儲解決方案提供多租戶模型，在亞馬遜的AWS云中稱為身份和訪問管理(IAM)。這提供了分離租戶帳戶和用戶的概念，以確保數(shù)據(jù)保持隔離且未經(jīng)授權(quán)的用戶無法訪問。

網(wǎng)絡(luò)安全主管們可以在對象存儲解決方案中使用最小權(quán)限訪問原則——強(qiáng)制執(zhí)行用戶執(zhí)行工作所需的最低用戶權(quán)限級別或最低權(quán)限級別。管理員必須明確允許哪些操作，并通過精細(xì)控制來允許/拒絕對數(shù)據(jù)的特定操作的訪問。

安全數(shù)據(jù)加密的價(jià)值

安全性的另一個(gè)重要基礎(chǔ)是加密，它有兩個(gè)部分。首先是流動的數(shù)據(jù)和請求，這意味著如果一個(gè)請求進(jìn)入系統(tǒng)，它應(yīng)該被加密。這樣可以杜絕窺探技術(shù)，防止攻擊者通過抓包來獲取請求信息。這通常是通過安全套接字層(SSL)完成的，同時(shí)也意味著需要部署安全證書。安全通過加密，用戶可以安全地連接到系統(tǒng)和端點(diǎn)，這既適用于數(shù)據(jù)，也適用于命令。

加密的第二部分是靜態(tài)加密，通常是安全專業(yè)人員存儲數(shù)據(jù)時(shí)的加密操作。某些存儲解決方案中提供對象級加密功能，用戶可以決定對哪些數(shù)據(jù)進(jìn)行加密。

對象存儲如何防止勒索軟件

數(shù)據(jù)不變性是對象存儲的天然屬性——這意味著數(shù)據(jù)不能像文件系統(tǒng)那樣就地更新。相反，對象存儲只提供創(chuàng)建、讀取和刪除數(shù)據(jù)的基本操作。例如，在Amazon S3存儲桶(容器)層啟用版本控制，對現(xiàn)有對象的任何寫入都將在存儲新版本之前保留以前的版本，這意味著對象的先前版本狀態(tài)具備恢復(fù)能力。

網(wǎng)絡(luò)安全專業(yè)人員還可以借助另一種技術(shù)來確保數(shù)據(jù)不變性：例如，通過Amazon S3的對象鎖定API進(jìn)行對象鎖定。該操作對數(shù)據(jù)實(shí)施了不可撤銷的保留期，在此期間無法更新、修改或刪除對象。這使得勒索軟件難以通過加密數(shù)據(jù)的方式來勒索贖金。這種方法適用于任何靜態(tài)存儲的數(shù)據(jù)，無論是主副本還是輔助(備份)副本，可以有效防御勒索軟件的數(shù)據(jù)加密攻擊。

此外，網(wǎng)絡(luò)安全人員還可以通過對象存儲的版本控制、對象鎖定和自然數(shù)據(jù)不變性等功能和特性，以在關(guān)鍵任務(wù)用例中實(shí)現(xiàn)勒索軟件保護(hù)和恢復(fù)能力。

總結(jié)

如今所有行業(yè)，不同規(guī)模企業(yè)都面臨日益猖獗的勒索軟件攻擊的威脅。存儲系統(tǒng)貌似與企業(yè)的網(wǎng)絡(luò)安全態(tài)勢和策略關(guān)系不大，但它恰恰可能是最佳的防御環(huán)節(jié)。對象存儲的一些特性和組件，例如加密、身份驗(yàn)證和數(shù)據(jù)不變性，使其對于保護(hù)敏感數(shù)據(jù)免受勒索軟件攻擊至關(guān)重要，有助于為企業(yè)數(shù)據(jù)中心打造牢不可破的云存儲，有效防止勒索軟件攻擊。