《爱数:2024事前-事中-事后体系化抵御勒索病毒攻击白皮书(14页).pdf》由会员分享,可在线阅读,更多相关《爱数:2024事前-事中-事后体系化抵御勒索病毒攻击白皮书(14页).pdf(14页珍藏版)》请在三个皮匠报告上搜索。
1、事前 事中 事后体系化抵御防勒索病毒攻击勒索病毒发展趋势及防御要点目录第一章|勒索病毒攻击,整体态势严峻02第二章|威胁加剧,勒索病毒攻击手段持续升级03第三章|爱数体系化防勒索病毒方案05第四章|体系化构筑勒索病毒的坚固防线11体系化抵御勒索病毒攻击01勒索病毒攻击,整体态势严峻勒索病毒以变种快、传播快、勒索赎金高等特点,一跃成为了最受关注的数据安全威胁之一。NotPetya、Bad Rabbit、GandGrab、SamSam 等勒索病毒喷涌而至,频频携全球大型组织攻击事件登上热门。尤其是近年来远程办公的普及,以及 IT 系统依赖性的加强,更是为勒索病毒的发展和攻击提供了沃土。勒索病毒看似
2、远在天边,实则近在咫尺勒索病毒正在以惊人的速度急剧增长,据 Gartner 预计,到 2025 年,至少有 75 的 IT 组织将面临一次或多次攻击,勒索病毒攻击的频率也将由 2021 年的 11 秒/次上升到 2031年的 2 秒/次。层出不穷的勒索病毒攻击事件也都在表明,任何行业任何组织都是勒索病毒潜在的攻击对象,看似远在天边的勒索病毒,其实就近在咫尺。勒索病毒攻击者加密或窃取企业级用户的核心数据,其直接目的便是换取巨额赎金。据 Gartner 报告显示,遭受勒索病毒攻击后,46%的组织最终支付了赎金,被攻击用户支付的平均赎金为 235 万元,且不乏有备受关注的巨额勒索事件。遗憾的是,即使
3、支付了赎金,也不能完全保证数据会被恢复,这是因为加密过程中导致的数据损坏,加密的数据可能无法恢复,或是部分攻击者即使收到赎金也不会遵守承诺解密或不泄密数据。Sophos 的调查数据也证实了这一观点,支付赎金后只有 4%的组织成功恢复了所有数据。同时,支付赎金也助长了网络犯罪的嚣张气势,为后期的犯罪活动提供了资金支持。然而,勒索病毒攻击导致的损失仅仅只有赎金吗?答案显然是否定的。Gartner 报告表明,勒索病毒攻击后的恢复成本和由此导致的停机、声誉损失可能是赎金的 10 到 15 倍。组织从勒索病毒攻击中恢复过来所需的平均时间为 30 天,同时还会对业务与收入、运营能力、品牌形象、员工工作效率
4、等造成巨大负面影响,甚至需要承担数据泄露的法律后果。235 万元勒索病毒攻击导致的平均赎金10-15 倍组织从勒索病毒攻击中恢复的成本是赎金数倍90%受访者表示会影响组织运营能力86%受访者表示会影响业务与收入品牌形象受损工作效率降低法律后果体系化抵御勒索病毒攻击02威胁加剧,勒索病毒攻击手段持续升级勒索病毒之所以来势汹汹,真相在于背后存在着一批批极有组织的勒索团伙,勒索病毒早已发展为成熟的黑色产业,让病毒从系统攻击、虚拟货币支付到洗钱变现,可以有规划、有组织地快速完成。Gartner 曾在相关报告中表明,勒索病毒开发团队越来越多地将勒索病毒的访问权和代码作为服务产品出售(勒索病毒即服务,Ra
5、aS)。这大幅增加了恶意软件变种的数量,加快了勒索病毒的攻击频率与范围。在创新网络技术加持下,勒索病毒攻击的手段持续升级,呈现出诸多新特点,不仅体现在攻击手法的恶劣性上,还体现在攻击对象范围的进一步扩大。在这些新趋势下,勒索病毒成为威胁最大的网络安全隐患之一,也是组织数据安全最大的潜在杀手之一。从数据加密到“窃密+勒索”的捆绑攻击早期勒索病毒往往以加密用户设备或有价值的数据为手段,向被攻击者索要赎金以解锁设备或解密数据。然而,随着勒索病毒黑色产业和技术的发展,勒索病毒的攻击手段正在发生变化。从最初的加密数据,到“窃密+勒索”的捆绑攻击。攻击者通过窃取用户的机密数据勒索高昂赎金,如果未收到赎金则
6、会在暗网上公布数据。更有甚者,攻击者会陆续公开用户敏感数据,以达到多次威胁、勒索的作用,直至最后全部公开。攻击者为了提升获取赎金的成功率,往往会以多种技术层层叠加,从最初的加密数据,到窃取数据,再到发动分布式拒绝服务攻击网络,最后通过电话、邮件等方式层层给用户进行施压,以此逼迫用户支付赎金,从而达成攻击目的。攻击对象升级为全行业全规模组织勒索病毒攻击逐渐升级,其矛头已转向关键信息基础设施,政府、能源、通信、金融、交通、公共事业等重要行业都是勒索病毒攻击的主要目标。一系列的攻击事件也表明了这一点,2022 年,哥斯达黎加政府被勒索病毒攻击,宣布进入“国家紧急状态”,同年,法国巴黎的一家医院因遭遇
7、攻击迫使其将患者转诊至其他机构这些攻击事件极其恶劣,不仅使这类组织在经营和财务上付出了巨大的代价,也使人们的健康、安全和生命受到威胁。不仅如此,勒索病毒攻击的对象也逐步演变为全规模组织。对于大型组织,尤其是上市公司,尽管其网络及数据安全体系建设都较为完备,勒索者攻击难度较大,但由于勒索赎金金额也会更大,对于勒索者而言依旧具备极强诱惑力。面对此类型组织,勒索者将会采用 APT 攻击(高级长期威胁)以提升成功率。为更好执行这一策略,行业化的勒索团队应运而生。对于中小型组织而言,攻击所获得的收益相对较少,但由于其攻击门槛低,可通过广散网、扩大攻击面等来弥补收益。简而言之,无论组织规模大小,都已经成为
8、勒索病毒攻击的目标。体系化抵御勒索病毒攻击03利用供应链进行攻击,提升攻击成功率随着勒索者产业化的运作,攻击手法也呈现出新的趋势。满心算计的勒索者,将目标瞄准在供应链上,以此提升攻击的成功率。一方面,勒索病毒利用软件供应链进行传播。通过攻击软件供应商的相关服务器,利用其软件供应链实现对勒索病毒的分发、传播等,并在其生成或者更新过程中,篡改或中断源代码,隐藏恶意软件。由于软件通过受信任的供应商提供,极易绕过用户的安全防护机制,达到实施勒索的目的。另一方面,勒索者对组织供应链的上下游企业也虎视眈眈,尤其是其中的薄弱环节,极有可能成为勒索病毒攻击的目标。例如,重度依赖于供应链协作的制造业,一旦其材料
9、供应商被勒索将会直接导致其业务受影响。毫不夸张地说,供应链网络及数据安全的“木桶效应”早已显现,也正成为勒索者实施勒索病毒攻击的重要入口。2022 年,汽车制造巨头丰田就因其零部件供应商遭到勒索病毒攻击,导致其在日工厂全部停产。体系化抵御勒索病毒攻击04备份系统成为勒索病毒攻击的重要目标在勒索病毒持续泛滥的趋势下,业务数据被加密后有两种选择,一种是从备份系统中恢复合适时间点的数据,另一种则是被迫支付赎金换取密钥解密数据。诸多企业级用户逐渐开始意识到数据备份的重要性。Gartner 统计发现,为了应对日益严重的勒索病毒攻击,企业部署数据备份方案明显增多,当遭遇勒索病毒加密时,会首选自行恢复,而拒
10、绝支付赎金。然而,为业务数据进行备份,真的就可以高枕无忧了吗?遗憾的是,备份系统自身也危险重重,早已成为勒索病毒觊觎的目标。由于勒索病毒潜伏期长,难以及时发现,导致备份的源数据已被感染,该数据通过备份系统恢复不仅无法解勒索病毒攻击的燃眉之急,还将造成二次感染。更有甚者,勒索病毒还将直接攻击备份系统,以篡改备份数据为目标,从而攻破业务数据最后一道防线,提升获取赎金的可能性。加之备份任务往往在闲时执行,易备流量监测软件告警忽略,这为勒索病毒攻击提供了极大便利。爱数体系化防勒索病毒方案勒索病毒无孔不入,攻击事件层出不穷。加之随着技术的迭代,攻击手段也不断升级,勒索病毒更加防不胜防。为从容应对勒索病毒
11、攻击,明智之举是构建体系化的勒索病毒防御方案,全方位增强数字化系统的韧性。相关法律法规也持续完善,要求广大组织建立防御体系及应急措施,如网络安全事件报告管理办法(征求意见稿)要求发生较大、重大或特别重大网络安全事件需1小时内进行报告,香港安全第三级数据备份指南(STDB)要求具备备份系统具备不可变、Air-Gap、可验证等能力。爱数作为领先的全域数据能力服务商,致力于为各行业客户抵御勒索病毒等数据安全风险。在诸多创新技术的加持下,爱数以 AnyBackup Family 8 和 AnyRobot Eyes 5 两大产品,再结合防勒索病毒管理体系专业服务,联合打造体系化防勒索病毒方案,从产品、技
12、术、组织与管理等维度,在事前-事中-事后全流程部署针对性措施,全方位构筑勒索病毒防御的坚固防线。事前:积极部署防御策略,如部署勒索病毒识别、监测工具,对核心业务数据提供专业可靠的备份保护,并进行定期灾难恢复演练,尽量做到未雨绸缪,有备无患;事中:精准定位勒索病毒攻击源头,及时阻断攻击链条,对感染数据进行应急备份,并快速恢复业务与数据,最小化停机时间,保障业务连续运行;事后:日志合规留存与审计,利用应急备份副本进行攻击链路还原,辅助调查取证,并复盘应急方案,发现薄弱环节,优化应对机制。体系化抵御勒索病毒攻击05组织架构服务管理制度文件平台/工具防勒索病毒管理体系事前预防事后优化取证与优化业务与数
13、据恢复事中响应勒索病毒应急处置零信任安全不可变存储/WORM强制数据保留Air-Gap数据加密双因子认证数据访问审计数据沙箱灾难恢复计划执行防勒索应急预案执行调查取证防勒索应急预案优化TPA 最佳实践专业服务溯源分析与阻断防勒索灾备建设3-2-1-0 灾备策略配置勒索病毒观测勒索风险识别病毒查杀演练受损范围评估及统计事前预防:加固数据安全防线,做到有备无患勒索分析识别及时发现勒索病毒并告警,对于防勒索病毒至关重要,不仅能降低感染数据规模,且可快速启动应急预案,降低攻击导致的损失。AnyRobot Eyes 5 可观测性平台,在勒索病毒防御过程中起到了眼观四面、耳听八方的重要作用。面向业务系统,
14、AnyRobot Eyes 5 可基于核心业务的指标、日志和链路等数据进行关联分析,实时监测和识别勒索病毒行为,一旦出现流量激增、大量数据更名或删除等异常行为,将会及时自动告警。此外,AnyRobot Eyes 5 还可以将这些异常行为与第三方情报进行比对,从而快速识别勒索病毒,有效降低安全风险。体系化御防勒索病毒攻击063-2-1-0 灾备策略配置Gartner 建议组织按照 3-2-1 策略进行存储数据,即至少保留 3 个数据副本,保存在 2 种备份介质中,并且其中 1 个副本在异地。通过 3-2-1 策略,可有效避免单一副本、单一硬件设备、甚至是单一数据中心发生灾难而导致的数据丢失和业务
15、停机影响。爱数在此基础上,进一步将 3-2-1 策略升级为 3-2-1-0 策略,其中,“0”强调 0 篡改,确保备份数据在任意攻击下都能不被篡改。历史日志重复检查聚合设备日志,确认事件情报网站比对低风险历史维度范围维度威胁维度系统暴力破解、高危命令、非信任 IP访问等行为统计文件服务器访问和操作分析,及时识别系统风险并告警安全事件风险分析运维操作风险分析操作时间操作 IP操作动作与第三方威胁情报对比防火墙路由器PC 端交换机互联网IDS网络日志、行为日志LAN文件服务器风险分高|中|低|info0123篡改个异地种备份介质个数据副本体系化御防勒索病毒攻击07这是由于备份系统也已成为勒索病毒攻
16、击的目标,一旦备份系统被勒索病毒攻击并被篡改数据,业务数据安全风险将骤增。备份系统也需要加强自身的安全防护,从而确保始终有安全的数据副本用于恢复。AnyBackup Family 8 以不可变存储、WORM 属性、强制数据保留、Air-Gap、数据加密、双因子认证等技术,打造零信任安全的备份系统,为业务数据安全守好最后一道防线,真正做到无惧勒索。病毒查杀演练传统防勒索方案中,病毒查杀往往用于生产系统。然而,由于勒索病毒隐蔽性强、潜伏期不定,定期的备份也会将携带勒索病毒的数据备份起来,一旦直接恢复至生产系统,就极可能对生产数据造成二次感染。因此,在数据恢复之前,对备份数据进行病毒查杀就显得尤为必
17、要。AnyBackup Family 8 通过设置数据沙箱,结合杀毒引擎和及时更新的病毒库,对灾难恢复及演练过程中需要恢复的数据进行病毒查杀,从而验证数据是否被病毒感染,确保安全恢复。由于数据沙箱与外部生产环境绝对隔离,因此可避免在病毒查杀过程中,病毒通过网络感染外部的生产系统。灾难恢复资源文件系统被病毒感染的数据NAS对象存储HDFS虚拟机云主机数据备份挂载/恢复恢复策略恢复资源应用数据病毒查杀可用性验证资源清理报告与通知病毒查杀演练管理数据沙箱灾备中心备份数据内置杀毒引擎第三方杀毒引擎病毒扫描病毒查杀删除感染时间点,生成无病毒镜像标记未感染时间点生产环境事中响应:勒索病毒应急处置,快速恢复
18、业务数据溯源分析与阻断一旦遭到勒索病毒攻击,AnyRobot Eyes 5 可通过被勒索病毒攻击的主机 IP,追踪攻击者的行为及入侵路径,从而追溯勒索病毒攻击的源头,并结合第三方工具进行阻断勒索病毒,避免攻击范围的进一步扩大。同时,AnyBackup Family 8 支持应急备份,保留被感染环境,为后续的复盘和应急预案优化提供依据。体系化抵御勒索病毒攻击08受损范围评估及统计勒索病毒攻击告警后,AnyRobot Eyes 5 结合第三方阻断工具切断传播源后,需要对受损范围进行评估,以更好地执行应急预案和灾难恢复计划。AnyRobot Eyes 5 通过统计系统和服务的入侵记录,可追溯到受损主
19、机,基于主机之间的关系,评估受损范围。基于受损范围,精准匹配不同的防勒索应急预案,避免出现处置不足或过度处置的情况。发出告警、阻断信号追踪攻击者的行为和入侵路径,可以追溯到勒索攻击的起源。2.通过被控制主机上行为日志,分析出有访问敏感数据的动作4.发现内网主机与外网可疑IP进行通信,存在数据泄漏风险1.发现办公区主机登录可疑外网IP,有被控制的风险3.发现局域网内大量应用端口被扫描,存在横移风险5.定位到风险IP,识别出是通过网站漏洞入侵执行阻断安全隔离应急备份海量数据快速恢复,最小化停机损失当勒索病毒攻击导致业务中断,第一要务便是快速恢复数据,保障业务连续运行。快速恢复海量数据的重要意义,不
20、仅体现在能避免高昂赎金,还体现在能将停机损失降至最低。AnyBackup Family 8 通过构建副本数据湖架构,不断优化数据恢复性能,且在海量数据场景下,依然表现出色。事后优化:调查取证与应急预案优化,加固勒索病毒防线调查取证一方面可以辅助相关部门打击勒索攻击等违法行为,另一方面基于调查结果可进一步优化应急预案。结合 AnyRobot Eyes 5 的全平台日志的采集、海量日志的合规留存、事后的审计分析等能力,输出相关的调查取证报告。另外,基于 AnyBackup Family 8 提供的应急备份,通过数据恢复、挂载恢复等多种方式,可对勒索病毒攻击的路径进行沙盘还原,发现勒索病毒防御的薄弱
21、环节,针对性进行加固。凭借多并发恢复、分钟级挂载恢复、灾难恢复编排等技术,AnyBackup Family 8 可实现海量数据的快速恢复,保障业务连续性。同时,通过在事前制定灾难恢复计划、灾难恢复预编排,将各类恢复准备工作前置,一旦遭到勒索病毒攻击,即可一键执行恢复,大幅提升灾难恢复效率。结束按需执行服务修复、配置应用 A恢复自定义脚本开始灾难恢复计划管理应用 B恢复应用 C恢复应用级灾难恢复主机级一键接管数据级恢复预编排的灾难恢复计划,遭遇勒索病毒攻击后,一键恢复网络管理验证可用性与一致性验证单点故障网络切换清理清理演练资源应用配置确定恢复范围匹配恢复计划一键执行灾难恢复计划2.5 分钟20
22、0TB 数据库挂载恢复1 天5PB 小文件备份63%测试数据准备效率提升DevOps15 分钟2000 台虚拟机挂载恢复APPOSAPPOSAPPOSAPPOSAPPOSAPPOS5 小时PB 级数据仓库备份体系化抵御勒索病毒攻击09事后另外一个关键点在于应急预案的优化,可通过对勒索病毒发现时间、业务恢复时间、业务验证时间、相关流程制度的合理性、事件造成的损失等各种内外部因素进行综合分析,判断是否需要将此类勒索病毒攻击事件调整至更高级别的管理,从而相应优化整个防勒索的应急预案。事后防勒索应急预案的优化,有助于加固整个勒索病毒防线的坚固程度,提升相关攻击事件的处置效率,从而降低停机损失。体系化抵
23、御勒索病毒攻击10部署全面、有效和可持续的体系化防勒索病毒方案,不仅需要组织内部各个部门的协作配合,还需要借助专业服务厂商的支持,共同构建起强大的防勒索病毒体系。一方面通过专业的产品能力构建从事前-事中-事后全流程的防勒索堡垒,另外一方面,需加强组织人员、制度流程建设,从而形成更为立体的防护,避免勒索病毒有可乘之机。同时,不仅需聚焦组织自身的安全体系建设,还需要加强对供应链的安全管理。在实践过程中,组织可借助专业服务厂商提供的咨询服务、交付服务,进行事前、事中、事后全方位的能力规划与建设,从产品、技术、组织与管理等维度增强勒索病毒防护能力。此外,结合专业服务厂商提供的产品培训和防勒索管理体系等
24、专业培训,提升防勒索场景下的运维与运营管理能力,从而形成可持续、自循环的勒索病毒防御机制,保障数据完整性、可用性、恢复及时性。体系化构筑勒索病毒的坚固防线为从容应对勒索病毒攻击,将损失降至最低,爱数基于勒索病毒攻击的趋势,并结合自身丰富的技术底蕴和行业实践,提出以下建议,希望以此为广大客户提供防御指引。体系化构建防御方案,对防勒索至关重要随着勒索病毒即服务模式(RaaS:Ransomware-as-a-Service)模式的广泛流行,勒索病毒已转变为产业化的攻击趋势,给组织和社会来了严重威胁。因此,对于组织而言,采取具备全面性、有效性、可持续性的体系化方案来防御产业化勒索病毒攻击变得至关重要。
25、在全面性方面,防勒索病毒不应局限于技术层面,而应从组织、管理、技术等多维度出发,全方位进行勒索病毒防御建设,不让任何一块成为短板。在有效性方面,需从事前科学预防、事中快速响应、事后复盘优化等全流程增强勒索病毒防御能力,在任何阶段都具备制胜勒索病毒的绝招。此外,防勒索病毒并非一时之事,病毒攻击的持续性必然决定了勒索病毒防御的持续性。防勒索病毒方案也需与时俱进,通过不断优化与完善,才能从容应对抵御产业化的、不断发展的勒索病毒攻击。备份,仍是应对勒索病毒的最后一道防线勒索病毒防御道路千万条,备份仍是不可或缺的一环。随着技术的迭代,勒索病毒变异快,攻击手段也愈发多样化,让单点防御方案防不胜防。事前的防
26、火墙、杀毒软件一旦失效,就存在极大的被勒索风险。通过数据备份,恢复被加密或篡改的数据,也成为避免高额赎金、快速恢复业务的关键方案。备份,早已成为名副其实的勒索病毒最后一道防线。若这道防线坚固程度不足,勒索病毒将犹如洪水猛兽一般击溃数据安全的底线。明智的做法是,采用 3-2-1-0 策略加固备份方案,并确保备份系统符合零信任安全要求,即具备数据不可变、Air-Gap、严格的加密和访问权限控制等技术,才能让勒索病毒束手无策,真正实现无惧勒索。强化防勒索病毒管理体系建设体系化抵御勒索病毒攻击11数据化浪潮扑面而来,给各行各业带来了巨大的转型升级机遇,与此同时,也为勒索病毒的发展提供了便利。爱数在此提
27、醒广大客户朋友,在享受数字化红利的同时,组织也亟需建立体系化的勒索病毒防御措施,从而有效保护数据资产安全,从容应对勒索病毒攻击。立即行动体系化构建勒索病毒防线!关于 AnyBackup Family 8AnyBackup Family 8 多云时代统一数据管理平台,集数据备份、副本数据管理、数据治理、数据归档、数据搜索于一体,以副本数据湖架构和开放架构,帮助组织实现不同业务的数据生命周期管理,增强数字化韧性。了解产品详细信息关于 AnyRobot Eyes 5AnyRobot Eyes 5 是云原生时代的可观测性平台,以一个平台,整合多类机器数据,通过多维数据关联分析和全息观测进行高效排障、实
28、现从基础设施到业务的可观测,提升业务敏捷性。了解产品详细信息爱数是领先的全域数据能力服务商,以开放的平台+生态模式,提供创新的大数据基础设施,通过全域数据的整合、治理、洞察与保护,实现数据的资产化和知识化,与客户共同打造数据驱动型组织。如需了解更多爱数信息,请浏览:WWW.AISHU.CN关于爱数总部地址:上海市联航路 1188 号浦江智谷 8 号楼 2 层 A 座邮编:201112咨询热线:021-5422 2601服务热线:400-880-1569传真:-8800客服邮箱:爱数公众号扫码下载产品 eBook扫码下载产品 eBook关于爱数防勒索病毒管理体系专业服务面向不同行业客户,由爱数资深领域专家为客户提供防勒索病毒管理体系专业服务,提升防勒索建设的有效性和有用性,帮助客户增强勒索病毒防御能力。了解专业服务详细信息