數據防勒索的三個最佳實踐
除新冠肺炎疫情之外,勒索軟件已成為全球經濟面臨的嚴重威脅之一。Gartner的調查研究數據表明,企業遭遇攻擊早已不再是“會否”的問題,而只是“何時”的問題。
Gartner預測,到2025年,75%的企業將面臨一次或多次攻擊。由于勒索軟件團伙采取更加激進的戰術勒索贖金,美國國家安全機構發現,2020年遭勒索企業平均贖金支出已高達20萬美元。
針對企業的大規模勒索軟件攻擊頻頻見諸報端,咨詢公司埃森哲就是新鮮出爐的受害者。美國是此類攻擊的高發地區,勒索軟件攻擊占美國所有網絡攻擊的30%,是全球比例的兩倍多。
為什么勒索軟件攻擊狀況如今更加嚴峻?
安全專家普遍的說法是,新冠肺炎疫情及其導致的封城和居家辦公,為黑客創造了誘人的新機會。
員工有時會使用不安全的個人設備和網絡,通過很容易入侵的遠程桌面協議軟件訪問辦公電腦,或者通過往往配置錯誤或防護不當的VPN接入辦公系統。這就導致即使是具有大量IT預算和大型安全團隊的大企業,也會遭遇漏洞完美風暴。而且,勒索軟件攻擊還變得越來越復雜。
勒索軟件攻擊如今發展出了多個階段,從滲透網絡到盜取登錄憑證,再到攻擊備份系統。在為期數周到數月的整個攻擊過程中,不到最后有人突然發現文件被加密鎖定無法使用,公司通常不會發覺自己遭到了攻擊。
勒索軟件攻擊會對數據存儲造成怎樣的影響?
勒索軟件攻擊團伙會襲擊所有IT基礎設施,不僅僅是服務器和應用。ESET發布的勒索軟件報告顯示,2021年,附網存儲(NAS)設備制造商QNAP向其客戶發出警報稱,eCh0raix正在攻擊其NAS設備,尤其是使用弱口令的NAS設備。
這一前景實在不容樂觀,因為數據增長是爆炸性的,而80%的企業數據現在基本上是非結構化文件數據,要么位于NAS存儲,要么存放在云端。
非結構化文件數據面臨勒索軟件挑戰
由于規模巨大、格式多樣且增長迅速,文件數據保護相當棘手。IT部門必須制定多層策略,也就是說,除了保存本地備份副本,還必須在云端等不會被感染的其他地方單獨保存一份額外的副本。
但如今,我們討論的是天價遭攻擊成本。很多企業的文件數據規模已達PB級,而1PB往往意味著幾十億個文件。公司本就難以備份所有這些數據。再添加一份額外的副本,可能會讓首席財務官相當頭痛。
萬幸,我們還可以創建經濟高效的多層策略。方法如下:
1. 重視可見性與審計
早期檢測勒索軟件是一個很好的目標,可以通過在企業各個網絡和基礎設施上監測操作行為和識別威脅與異常活動來實現。采用非結構化數據管理工具分析數據使用,可以揭示文件可疑操作,比如文件讀取和寫入次數異常。盡管早期檢測可作為理想防線,但并非萬無一失,因為勒索軟件攻擊也在不斷進化。存儲管理器應具有分析數據儀表盤,顯示內部和云端各個位置所有數據使用的關鍵指標。大部分(80%)文件數據通常都是冷數據,一年多沒用過的那種。想要創建經濟高效的多層防御策略,關鍵在于知道哪些數據是經常使用的熱數據,而哪些是不經常使用的冷數據。
2. 創建多層數據管理防御
? 熱數據快照與備份。快照與備份能夠在數據更新時跟蹤記錄數據的各項變更。經常使用的熱數據需要快照與備份來防止用戶誤操作或系統故障導致的損失。但快照和備份也會遭到勒索軟件攻擊,如果很多天都沒有檢測出來,那它們“保護”的可能就是已損壞的數據了。想要抵御勒索軟件,我們還需要在單獨的物理位置,比如云端,再存上一份不可變(無法重寫)的數據副本。快照和備份可不便宜,所以我們只這么備份通常僅占總量20%的熱數據。
? 冷數據云分層和不可變存儲。不應對所有數據一視同仁是現代數據管理的箴言之一。數據管理可不能搞民主。通過將冷數據從頂級NAS分層到云端對象鎖定存儲,我們就能以很少的成本獲得冷文件數據的不可變副本。勒索軟件無法重寫這一副本。將冷數據轉移到對象存儲還能減少備份占用的空間,可以在減少備份許可成本的同時,再加上一道勒索軟件防線。當然,你還可以創建異地(DR)磁帶數據備份。不過,這樣的話,恢復時間就會長上許多了。而且,在云時代,物理備份解決方案的吸引力早已不如從前。
3. 制定計劃并加以驗證
前兩項就位后,團隊應制定可行的計劃來應對攻擊場景。不要等到黑客成功鎖定文件/系統并在電腦前笑等贖金入賬的時候才來驗證自己的計劃是否可行。必須記錄和測試計劃,確保能通過快速恢復和替代數據訪問方法來保護數據,這樣才能在不中斷業務或支付大筆贖金的情況下保持業務正常運行。
抵御勒索人人有責
與勒索軟件的斗爭正從安全團隊擴展到企業IT的各個方面,包括數據存儲。通過非結構化數據管理,存儲專業人員可以采用多層防御策略來輔助安全同事的工作。這種策略始于跨所有存儲的實時可見性,并納入了快照、備份和對象鎖定云存儲。企業網絡安全團隊會對此感激不盡的。
隨著網絡犯罪團伙愈加激進,隨著他們的攻擊手段不斷推陳出新,數據管理專業人員需要通過更為細致入微的災難恢復計劃加強防范。
