作者:Edwin Weijdema,Veeam欧洲、中东及非洲地区首席技术官兼首席网络安全技术专家
《Veeam2023数据保护趋势报告》显示,去年一年内,85%的企业至少遭受过一次勒索软件的攻击。几乎没有哪一家公司能够幸免于难,我们能明显感觉到这一问题在现如今不仅普遍存在,而且不可避免。尽管这一事实让人生寒,但只有认清事实,我们才能应对这场无处不在的威胁。那么,让我们来看看企业能够利用哪些解决方案来达成与勒索软件的共存。
保险的作用有限
无论是看新闻,还是坐在会议室里,我们每天都能看到勒索软件攻击的情况。这样的现象已经成为了十分真实且现实的威胁。考虑到勒索软件攻击的普遍性,企业需要意识到,你所面临的不再是“是否”会成为攻击目标的问题,而是“多久”会遭受到一次攻击。尽管《Veeam2023数据保护趋势报告》显示很多企业在去年至少经历过一次攻击,但还有48%的企业曾遭受过两次或三次攻击。无论企业的规模如何,这都是令人难以承受的前景。自然而言地,许多企业选择依靠网络保险以寻求心安。
网络保险可能会赔偿勒索软件攻击造成的损失,但更重要的一点是,它无法阻止或消除这种损失以及损失造成的连锁反应,比如丢失客户和客户信任。不过,教育和透明度的确有助于防止勒索软件造成的损失,但也会受到网络保险政策的限制。
随着勒索软件威胁的不断增加,网络保险公司的规定也在随之增加。近期的Veeam勒索软件趋势报告还发现,超过20%的企业表示,其网络保险公司并未承保勒索软件攻击,即使在承保范围内,一些保险公司也规定企业不得公开谈论一些泄漏事件。这样的做法将会导致不幸的结果——将勒索软件攻击这一普遍存在的现实问题隐藏起来。希望在未来几年,这样的情况能有所改变。因为只有通过分享经验教训和曾经犯过的错误来教育他人,我们才能在防御勒索软件攻击方面变得越来越加强大。
多多谈论勒索软件攻击也是为了揭开它的神秘面纱。尽管勒索软件的话题在媒体上频频出现,但很多人并不知道它们到底是如何展开的。在很多人看来,它似乎像是轻按一下开关或是像变魔术一样的简单,但实际情况要复杂的多、也漫长的多。请时刻记住,所有的企业都会遭受到勒索软件的攻击,甚至很多企业已经遭受过,了解整个过程对于提前准备和成功恢复至关重要。
勒索软件就像是一头看得见的野兽
关于勒索软件攻击的讨论很少承认,其实这就是不良行为者精心策划出来的一系列事件的高潮。勒索软件并不是凭空出现的,而是经过数天、数周、数月、甚至数年的铺垫之后埋下的伏笔。让我们回过头来看看幕后发生了什么。
坏人会先从观察阶段开始。他们会简单地观察目标,收集相关人员、流程和技术的信息,从中获取机会。就像窃贼首先需要熟悉建筑物出入口的位置和居住人的信息一样,网络犯罪者也想要知道他们要应对的是什么样的情况。
之后,就要进入建筑大楼了。对于网络犯罪者来说,可以通过发送类似网络钓鱼的链接进入到目标的基础设施中,并建立行动基地。此时,他们仍然是隐身的,但却能造成重大的破坏。攻击者会在这个阶段窃取数据,甚至在完全未被发现的情况下销毁备份,直到在最后阶段启动勒索软件攻击并索要赎金时,他们才会暴露自己的存在。
探索这个完整的过程自然是令人不知所措的。因为安全团队要应对的不仅是看得见的威胁,还有隐藏在后台的未知且隐形的敌人。然而,“知识就是力量”这句话一次次被证明是正确的。凭借这些信息,企业可以定制强大的备份和勒索软件恢复策略。
不要单凭运气
虽然勒索软件的攻击不可避免,但数据丢失却并非必然。事实上,如果采取了正确的预防措施百分百地恢复是有可能实现的。这或许听起来令人难以置信,但只要掌握几个关键要素,任何企业都可以制定出如同铁板一块的数据保护策略。
这包括三个部分。首先,安全团队需要确保拥有不可更改的数据副本,这样黑客便无法以任何方式更改或加密数据。然后,安全团队还需要对数据进行加密,这样即使数据被盗或是被破解,黑客也无法访问或使用这些数据。
封锁要塞的最重要阶段就是所谓的3-2-1-1-0备份规则:至少要保留3份数据副本,这样即使在2台设备受到威胁或出现故障时,仍保留有1份额外的副本。三台设备发生故障的可能性要小很多。除此之外,企业还应将这些备份储存在2种不同类型的介质中。例如,1份存储在内部硬盘上,另1份存储在云端。然后其中1份应始终保存在安全的异地位置,另1份离线保存,与主IT基础设施要没有任何联系。0的部分是最重要的:备份数据中不应该有任何错误,可以通过定期测试、持续监控和恢复来确保达成。
如果能遵循这些步骤的指引,当勒索软件攻击不可避免地发生时,企业可以依旧保持冷静,因为他们知道自己已经把黑客拒之门外。
底线
企业会在某些时候面临勒索软件的攻击,这是当今社会面对的现实。但随着人们意识的增强,各类准备工作也在不断完善。虽然网络攻击总是会带来混乱,但只要采取正确的措施,就可以让混乱变得可控。最终,一切也会变得不同。
