面对勒索软件,防治结合才能出奇效
勒索软件存在几十年了,可以说常讲常新。
2021年,超3/4的企业受到勒索软件攻击
今年2月,英伟达遭黑客组织攻击,约1TB数据被窃取,超7万员工数据被泄露;3月,三星电子受到黑客组织攻击,Galaxy手机部分源代码和约190G的数据被窃取;4月,国际汽车租赁巨头Sixt疑遭勒索软件攻击,致使业务中断;5月,哥斯达黎加财政部等受勒索软件攻击,宣布国家进入紧急状态。
别说小企业了,就连大企业甚至是国家也防不胜防。勒索软件的影响有多广泛?独立研究公司Vanson Bourne针对超过3000名IT决策者和IT专业人员(几乎全部是超过1000人的企业)进行的一项调研结果,这其中有一些指标值得关注。
一、76%的组织在2021年至少遭遇过一次勒索软件攻击,40%的服务器至少遭遇过一次意外中断,51%的组织遭遇了勒索软件造成的中断事件,网络攻击连续第二年成为造成中断事件次数最多的原因。勒索软件攻击几乎防不胜防。
二、80%的攻击得逞都是针对已知的漏洞,这意味着,按时修补和升级软件非常重要,也非常有必要。
三、94%的攻击者都试图破坏备份存储库,目的是使受害者失去恢复数据的能力,从而不得不支付赎金,72%的组织的备份库遭遇过部分或全部攻击,网络犯罪分子成功加密了平均47%的生产数据,而受害者仅能恢复69%的受影响数据。
更震惊的是,76%的网络受害者选择支付赎金以结束攻击并恢复数据,但这其中只有52%的组织恢复成功了,24%的依然无法恢复数据。赎金支付了,却依旧有三分之一的组织无法恢复正常运行。
勒索软件的恶劣性可见一斑,不仅受害广泛,轻则造成经济损失,重则使组织陷入混乱,影响正常业务的开展,而且付了赎金都不一定能恢复数据。Cybersecurity Ventures调研数据显示,2021年全球勒索软件造成的损失预计达到200亿美元,相较2015年增长了57倍。触目惊心。
勒索软件,防治同等重要
面对勒索软件,企业真的没办法应对,只能束手就擒吗?
有一个很残酷的现实是,勒索软件很难做到完全防御。无论是开篇提到的企业,如英伟达、三星电子、Sixt,抑或是国家、政府,如哥斯达黎加,肯定都投入了重金进行安全防护,但结果大家都看到了,无一例外,都破防了。
当然,这里并不是说企业或组织不需要防御,不防绝对是不可行的,有墙和无墙是有本质区别的。笔者想强调的是,既然做不到绝对防御,那一定要留好后手,即一旦被勒索软件破防,如何做到影响最小,如何尽快恢复业务的正常运转。
这是一个值得探讨的话题,治水是堵不如疏,防勒索软件则需要堵治结合。
“治”正是Veeam的拿手好戏。勒索软件破防后最重要的两件事,一是备份,二是恢复。备份和恢复一直都是Veeam专注和坚持的领域,并且随着时代的变迁,比如勒索软件日益猖獗无孔不入、云时代的到来,Veeam一直在深耕这一领域,有哪些体现呢?
举个例子,传统备份和容灾系统其实都能很好的实现数据备份和容灾,但是面对勒索软件攻击,它们有些捉襟见肘,最突出的表现是无法判断灾备数据的可用性和安全性,如备份数据是否被感染了,哪些数据需要恢复,是否会被重复攻击,数据保存是否完整,能否仅恢复损坏的数据,数据是否实时可用……
试想一个被攻击的系统,存在大量被损毁的文件,却盲目地进行备份/容灾、恢复“脏数据”,很有可能造成二次伤害,加重影响。
再举个例子,云时代的到来,很多企业业务已经迁至云端,能否对云端数据进行有效保护就成为了衡量备份恢复软件品质的一个关键因素。上述针对3000名IT决策者和IT专业人员的调查就显示,46%的IT领导者(全球范围)认为“企业” 备份解决方案的最重要因素是所保护工作负载的广度。事实上,上述调查中,就有19%的组织因为自身有强大的数据恢复能力而并没有支付赎金,选择了自我恢复。
Veeam,覆盖广,扎得深
以上两个维度,Veeam均有着良好的表现,并且远不限于此。自2008年成立以来,Veeam针对勒索软件攻击先后推出众多非常具有代表性的产品和解决方案。
比如,为保证灾备数据的可用性和安全性。Veeam在业内率先推出了自动备份验证功能SureBackup。Veeam SureBackup 会在网络隔离环境中自动启动服务器和应用,并执行运行状况检查,包括许多内置的应用验证方法,比如执行特定的Active Directory或SQL命令验证应用完整性。
与此同时,Veeam特别强调备份的弹性,弹性的核心是3-2-1-1-0数据保护法则。相较业内公认的3-2-1法则,3-2-1-1-0在云时代面对勒索病毒就更具弹性,即至少为重要数据保存三个副本,并保存在两种不同介质上,其中一个副本为异地存储,在此基础上,其中至少“一个”数据副本必须具有不可变性(即物理隔离、离线或一写多读),以应对日益泛滥的勒索软件攻击。同时保证“0”备份错误,使数据可恢复。
在这里增加数据不可变特性,就是针对网络罪犯现在经常尝试加密或删除组织的备份数据。而最简单的不可变性就是使用immutable免疫的云存储或Veeam的加固存储库,或者使用移动硬盘或者磁带,然后将其从磁带库中转移到隔离的环境中加以保护。
再比如,为适应云时代,满足各种架构、各种环境、各种应用的备份恢复需求。
Veeam提供了水平可扩展的软件定义架构。在前端,Veeam可以轻松进行扩展,对接各种环境、各种应用。后端,Veeam扩展式备份存储库 (Scale-Out Backup Repository) (SoBR) 采用软件定义架构,汇集不同类型的备份数据存储设备,通过 Veeam 策略引擎,数据可以保存在最合适的设备上,包括内部直连存储 (DAS)、去重设备、网络连接存储 (NAS)、对象存储和云。
简单来说,Veeam一个平台满足所有的备份恢复需求,且不需要专有的硬件架构。
Veeam在架构上也充分的体现了弹性,在基于备份数据不可变的基础上,强化保证备份数据的安全,只要备份数据完好无损,架构中的其它任何模块受损,Veeam都可以完整的将数据安全恢复,以保证业务的连续。
但无论如何,为了预防备份系统本身的内部泄露和外部攻击,Veeam还是预设了一系列加强策略,比如每个登录源具有唯一密码,以防止撞库的发生;通过密码管理器,增强密码管理;多重身份验证,提高账户安全性等。
除此之外,备份只是完成了数据保护的一个步骤,业务恢复的速度和安全性才是关键。为此,Veeam有一揽子数据恢复策略。
其一、数据即时恢复。Veeam于2010年率先推出数据即时恢复,此后不断完善和扩展。如今,Veeam经过优化,可同时快速还原多台计算机,以满足最大的企业恢复需求。
其二、安全数据恢复。勒索软件的停留时间可能长达数月,在最坏的情况下如果备份数据也受到了感染,就需要在数据恢复过程中能够保证做到彻底清理,恢复干净的数据。Veeam Secure restore就能满足这样的需求,从备份还原点能持续对恢复过程中的系统执行额外的验证和消杀。安全恢复也是又一个Veeam在业界首创的方法,用于修复由隐藏在备份数据中的恶意软件引起的攻击。
其三、自动恢复测试及演练。在没有意外发生的情况下,定期自动测试和演练,确保突发情况下,平台能用、好用,未雨绸缪。Veeam Disaster Recover Orchestrator (VDRO) 就是这样一款产品,能够完全自动化并记录复杂的工作流,包括使用动态文档进行无中断的大规模恢复测试。
显而易见,无论是数据保护的广度,还是深度,都体现了Veeam在这一领域的积累,不仅要备份恢复快,而且要安全自动化,Veeam真正走在了时代的前面,做到了替用户多想一步。
也正因为此,Veeam受到了越来越多用户的青睐和第三方研究机构的好评。截止2021年,Veeam已经五次入选 Gartner 领导者象限。Veeam服务的客户在全球超过40万家。
想看看勒索病毒防御的实战演练?传送门来了,点击链接:https://veeam.virtualevent.net/VideoList.aspx?frm=dashuwang 观看勒索软件模拟演示。