勒索软件是恶意软件的货币化,在过去几年中一直是针对业务数据的最普遍威胁之一。现在是一个价值数十亿美元的行业,勒索软件变种通常通过电子邮件附件传递,攻击者可以利用这些附件对公司数据进行加密,并以高昂的价格持有解锁数据的密钥。
媒体报道了在勒索软件攻击后遭受巨额财务损失的企业的故事 。最近的一些受害者包括佐治亚州农业部、北卡罗来纳州梅克伦堡县和新泽西州的哈肯萨克睡眠和肺病中心。
一旦组织成为勒索软件攻击的受害者,它有两种选择:支付赎金或恢复备份。根据网络安全供应商趋势科技进行的一项调查,四分之三的 IT 决策者的组织没有受到勒索软件的攻击,他们表示他们不会支付赎金。然而,当面对攻击的现实时,近三分之二 (65%) 的受调查的先前受感染的公司支付了费用。
FBI 建议不要支付赎金 ,因为这样做并不能保证您的数据会被退回。有记录在案的公司支付赎金并且从未收到解密密钥或然后被告知他们需要支付更多费用。最终,支付赎金会让肇事者更加胆大妄为。
这使得 备份恢复 成为应对勒索软件攻击的最佳选择。但即使这个选项也不是万无一失的。
修复不足
一方面,一些公司发现他们的备份不足。例如,他们可能无意中或为了降低成本而从备份中遗漏了某些系统或数据。同样,一些组织无法测试他们的备份,只有在受到攻击后才发现备份无法恢复。
如果您在灾难发生前花时间检查和测试备份,这些类型的问题是可以预防的。更令人不安的是勒索软件变得越来越普遍, 新的勒索软件变体 越来越复杂。一些受害者发现勒索软件不仅会加密数据,还会破坏备份。
新的勒索软件变种以备份为目标
勒索软件损害备份的程度因多种因素而异,包括所涉及的勒索软件变体和数据保护方式。大多数适用于 Windows 的现代备份产品都使用卷影副本和系统还原点。但是已知有几种类型的勒索软件,例如 Locky 和 Crypto,会破坏卷影副本并恢复点数据。
同样,较小的组织通常将备份数据写入物理机器内的单独硬盘或作为映射网络驱动器连接的外部卷。即使勒索软件不是针对备份而设计的,它们仍然存在风险,因为机器的文件系统可以访问备份的位置。
如前所述,每种勒索软件类型的工作方式都不同。许多变体旨在攻击特定的文件类型,例如 PDF 或 Microsoft Office 文档。存在执行卷级加密或攻击所有文件的勒索软件变体,无论其类型如何。因此,任何可通过计算机文件系统直接访问的备份都容易受到勒索软件的攻击。理想情况下,备份应用程序应该能够 从受保护主机中提取数据, 而无需该主机直接映射到备份。
复制的隐患
小型企业或大型组织的分支机构有时会使用 复制来保护数据。例如,VMware 和 Microsoft 等 Hypervisor 供应商提供允许备用主机复制的本机复制功能。如果虚拟机 (VM) 的主副本出现问题,则可以激活副本并使其联机。当然,有时还会使用其他类型的复制来保护数据。许多存储供应商提供存储阵列级复制功能作为防止数据丢失的工具。
复制作为硬件故障的应急措施,并且就其本身而言,几乎没有任何作用来防止勒索软件。复制引擎无法区分恶意文件加密和合法文件修改。因此,当勒索软件加密文件时,恶意操作会在副本上重复,这意味着副本的数据也将被加密。
如果您的组织使用复制作为数据保护机制,请检查复制引擎是否允许创建多个恢复点。您可以配置一些复制产品以保留多个恢复点,因此如果必须激活副本,可以将其恢复到以前的状态。例如,Microsoft 的 Hyper-V 允许创建每小时恢复点。因此,如果勒索软件感染传播到副本虚拟机,则可以使用在勒索软件攻击之前创建的副本恢复点执行故障转移,如“恢复点选择”所示。
气隙的重要性
在保护备份免受新的勒索软件变体的影响时,基本规则是勒索软件不能影响它无法触及的东西。因此,在保护备份免受勒索软件攻击时,您可以采取的最重要的措施是实施气隙。气隙可以以多种形式存在。它指的是在潜在的勒索软件攻击和您的备份之间设置一个不可逾越的障碍。备份气隙的常见示例是 磁盘到磁盘到磁带的备份. 磁盘到磁盘到磁带的备份架构类似于任何其他基于磁盘的备份。不同之处在于基于磁盘的备份目标的内容会定期写入磁带。磁盘到磁盘到磁带的体系结构最初是为了将备份磁带运送到异地以保护数据免受火灾或其他灾难的损失而开发的。它也非常适合保护数据免受勒索软件的侵害。
想象一下,您遭受了大规模的勒索软件攻击并丢失了大量数据。我们还假设勒索软件破坏了您基于磁盘的备份。在这种情况下,磁带备份不会受到影响,因为即使是最先进的勒索软件也无法覆盖未安装在磁带驱动器中的磁带。
重新审视您的权限模型
勒索软件感染通常通过粗心或不幸的用户的行为起源于网络端点。您可以做的最好的事情之一就是确保用户只拥有完成工作所需的权限,仅此而已。
如果备份代理直接在用户的 PC 上运行,那么最好将备份代理配置为使用专用服务帐户,而不是简单地捎带最终用户的帐户。这种方法可以在不授予用户备份权限的情况下备份系统。如果用户遭受勒索软件攻击,那么勒索软件很可能会使用最终用户的安全上下文,这意味着其访问权限将仅限于用户可以访问的内容。 通过使用服务帐户隔离备份 可能有助于屏蔽备份过程。
勒索软件预防的最佳实践
勒索软件统计数据令人震惊。简而言之,任何组织都极有可能受到攻击。也许关于勒索软件最可怕的事实是攻击可以反复发生。想象一下支付赎金以取回数据的挫败感,但一个小时后又遭到另一次攻击。这已经发生了,攻击者对他们的受害者没有任何同情或怜悯。
鉴于这些攻击的严重性,组织必须认真对待威胁并采取措施防止攻击。备份应该是 抵御勒索软件的最后一道防线,而不是第一道防线。
过去,组织严重依赖用户教育来预防恶意软件:如果可以教会用户识别网络钓鱼电子邮件,那么他们点击此类邮件中的恶意链接的机会就很小。不幸的是,经验表明,即使是最好的用户教育也无法完全降低用户点击恶意链接或打开恶意附件的风险。
更好的方法是假设用户教育是无效的。更好的策略是在邮件服务器级别筛选邮件,这样网络钓鱼邮件就不会进入用户的邮箱。同样,以在发生勒索软件攻击时将损害降至最低的方式限制用户权限。
有很多方法可以做到这一点。一种特别有效的方法是使用应用程序白名单,这样用户就无法运行未经授权的进程。更常见的方法是执行权限审核并确保用户仅在绝对必要时才具有写入权限。这不会阻止勒索软件感染的发生,但由于勒索软件搭载用户的权限,它无法触及用户无权访问的任何内容。因此,这种方法限制了损害。另一种选择是要求 IT 人员使用非管理帐户,除非他们正在执行特别需要管理权限的操作。
请务必记住,网络钓鱼电子邮件只是勒索软件的一种来源。攻击者使用虚假技术支持诈骗作为将勒索软件引入受害者计算机的手段也很常见。培训最终用户识别来自 IT 的真实电话和诈骗之间的区别。然而,说起来容易做起来难。
勒索软件保护底线
在防范勒索软件时,最好将问题视为业务连续性。即使组织能够通过恢复备份从勒索软件攻击中恢复,恢复过程也需要时间才能完成。因此,组织不应只专注于保护备份免受勒索软件的侵害;他们还应该考虑如何最大限度地减少勒索软件攻击造成的破坏。
在防范勒索软件时,最好将问题视为业务连续性。即使组织能够通过恢复备份从勒索软件攻击中恢复,恢复过程也需要时间才能完成。因此,组织不应只专注于保护备份免受勒索软件的侵害;他们还应该考虑如何最大限度地减少勒索软件攻击造成的破坏。