勒索軟件的克星：對象存儲

勒索軟件未來十年仍然會是企業面臨的最大安全威脅之一。根據Cybersecurity Ventures的報告，到2031年，全球勒索軟件造成的損失預計將超過2650億美元，每兩秒就會發生一起勒索軟件攻擊事件。

有漏洞的地方就會有勒索軟件，而且漏洞不一定在企業的內部，去年的一系列重大供應鏈攻擊已經證明了這一點。因此企業將勒索軟件的防御注意力都集中在了漏洞管理上，卻往往忽視了其他環節。

過去，企業的數據存儲解決方案通常被視為IT基礎設施架構而不是網絡安全戰略的一部分，因此很多人忽視了對象存儲在勒索軟件攻擊中保護關鍵資產的重要價值。

包括服務器、網絡和存儲在內的信息技術(IT)基礎架構堆棧的每一層都對企業的安全態勢非常重要，存儲也不例外。企業已經部署了多種類型的存儲，包括網絡附加存儲(NAS)、存儲區域網絡 (SAN)和對象存儲，每一種都針對不同類型的數據、工作負載和用例進行了優化。

由于非結構化數據內容的快速增長，對象存儲已成為現代企業IT環境的共同基石。對象存儲廣泛部署在安全敏感領域，例如金融服務、醫療（醫院和生物科學）、政府機構等。

雖然對象存儲（以及其他存儲技術）本身也是整體安全基礎架構堆棧的通用組成部分，但業務系統的對象存儲層（正確配置后）還可以用來提高勒索軟件防御能力，并幫助企業更快地從勒索軟件攻擊中恢復，具體如下：

身份驗證和訪問控制

對象存儲解決方案需要身份驗證，它應該在用戶進入時驗證用戶并確保他們被授權。理想情況下，用戶必須首先創建一個帳戶，使用該帳戶訪問數據時，用戶還需要出示他們的訪問密鑰，否則將被鎖定。

身份驗證是安全的關鍵要素，可確保只有授權用戶才能訪問數據存儲環境中的信息，并將不良行為者拒之門外。一些對象存儲解決方案提供多租戶模型，在亞馬遜的AWS云中稱為身份和訪問管理(IAM)。這提供了分離租戶帳戶和用戶的概念，以確保數據保持隔離且未經授權的用戶無法訪問。

網絡安全主管們可以在對象存儲解決方案中使用最小權限訪問原則——強制執行用戶執行工作所需的最低用戶權限級別或最低權限級別。管理員必須明確允許哪些操作，并通過精細控制來允許/拒絕對數據的特定操作的訪問。

安全數據加密的價值

安全性的另一個重要基礎是加密，它有兩個部分。首先是流動的數據和請求，這意味著如果一個請求進入系統，它應該被加密。這樣可以杜絕窺探技術，防止攻擊者通過抓包來獲取請求信息。這通常是通過安全套接字層(SSL)完成的，同時也意味著需要部署安全證書。安全通過加密，用戶可以安全地連接到系統和端點，這既適用于數據，也適用于命令。

加密的第二部分是靜態加密，通常是安全專業人員存儲數據時的加密操作。某些存儲解決方案中提供對象級加密功能，用戶可以決定對哪些數據進行加密。

對象存儲如何防止勒索軟件

數據不變性是對象存儲的天然屬性——這意味著數據不能像文件系統那樣就地更新。相反，對象存儲只提供創建、讀取和刪除數據的基本操作。例如，在Amazon S3存儲桶（容器）層啟用版本控制，對現有對象的任何寫入都將在存儲新版本之前保留以前的版本，這意味著對象的先前版本狀態具備恢復能力。

網絡安全專業人員還可以借助另一種技術來確保數據不變性：例如，通過Amazon S3的對象鎖定API進行對象鎖定。該操作對數據實施了不可撤銷的保留期，在此期間無法更新、修改或刪除對象。這使得勒索軟件難以通過加密數據的方式來勒索贖金。這種方法適用于任何靜態存儲的數據，無論是主副本還是輔助（備份）副本，可以有效防御勒索軟件的數據加密攻擊。

此外，網絡安全人員還可以通過對象存儲的版本控制、對象鎖定和自然數據不變性等功能和特性，以在關鍵任務用例中實現勒索軟件保護和恢復能力。

總結

如今所有行業，不同規模企業都面臨日益猖獗的勒索軟件攻擊的威脅。存儲系統貌似與企業的網絡安全態勢和策略關系不大，但它恰恰可能是最佳的防御環節。對象存儲的一些特性和組件，例如加密、身份驗證和數據不變性，使其對于保護敏感數據免受勒索軟件攻擊至關重要，有助于為企業數據中心打造牢不可破的云存儲，有效防止勒索軟件攻擊