除新冠肺炎疫情外,勒索软件已成为全球经济面临的严重威胁之一。Gartner调查研究数据显示,企业的攻击不再是“会否”只是“何时”的问题。
Gartner预计到2025年,75%的企业将面临一次或多次攻击。美国国家安全机构发现,2020年被勒索企业平均赎金支出高达20万美元,因为勒索软件团伙采取了更激进的战术勒索赎金。
针对企业的大规模勒索软件攻击频频见诸报端,咨询公司埃森哲就是新鲜出炉的受害者。美国是此类攻击的高发地区,勒索软件攻击占美国所有网络攻击的30%,是全球比例的两倍多。
为什么勒索软件的攻击现在更严重?
安全专家普遍认为,新冠肺炎疫情及其封城、居家办公,为黑客创造了诱人的新机会。
员工有时使用不安全的个人设备和网络,通过容易入侵的远程桌面协议软件访问办公电脑,或通过虚拟专用网络连接到办公系统,通常配置错误或保护不当。这导致了很多IT大型安全团队的预算和大型企业也会遇到漏洞的完美风暴。此外,勒索软件攻击变得越来越复杂。
勒索软件攻击已经发展了多个阶段,从渗透网络到盗取登录凭证,再到攻击备份系统。在几周到几个月的整个攻击过程中,突然发现文件被加密锁定,公司通常不会发现自己被攻击。
勒索软件攻击会对数据存储产生什么影响?
勒索软件攻击团伙攻击所有人IT基础设施,不仅仅是服务器和应用。ESET根据发布的勒索软件报告,2021年,附网存储(NAS)设备制造商QNAP向其客户发出警报,eCh0raix正在攻击其NAS特别是使用弱密码的设备NAS设备。
这一前景并不乐观,因为数据增长是爆炸性的,80%的企业数据现在基本上是非结构化文件数据或位置NAS存储,或存储在云中。
非结构化文件数据面临勒索软件挑战
由于规模大、格式多样、增长快,文件数据保护相当困难。IT部门必须制定多层策略,即除保存本地备份副本外,还必须在云等不会被感染的地方保存额外副本。
但现在,我们讨论的是天价的攻击成本。许多企业的文件和数据规模已经达到PB级,而1PB这通常意味着数十亿个文件。公司很难备份所有这些数据。增加额外副本可能会让首席财务官头疼。
幸运的是,我们也可以创造高效的经济多层次战略。方法如下:
1. 重视可见性和审计
勒索软件的早期检测是一个很好的目标,可以通过监控操作行为,识别企业各种网络和基础设施上的威胁和异常活动来实现。使用非结构化数据管理工具分析数据可以揭示文件的可疑操作,如文件读写次数异常。虽然早期检测可以作为理想的防线,但并非万无一失,因为勒索软件的攻击也在不断进化。存储管理器应该有一个关键指标来分析数据仪表盘,显示所有数据在内部和云中的所有位置。大多数(80%)文件数据通常是冷数据,一年多没用过。创建经济高效的多层防御策略的关键是知道哪些数据是常用的热数据,哪些是不常用的冷数据。
2. 创建多层数据管理防御
- 热数据快照和备份。快照和备份可以快照和备份可以跟踪和记录数据的变化。常用的热数据需要快照和备份,以防止用户误操作或系统故障造成的损失。但快照和备份也会受到勒索软件的攻击。如果它们已经很多天没有被检测到,它们就会被勒索“保护”可能是损坏的数据。如果我们想抵抗勒索软件,我们还需要在一个单独的物理位置存储一份不可变的数据副本(无法重写),如云。快照和备份并不便宜,所以我们通常只备份20%的热数据。
- 冷数据云分层,不可变存储。不平等对待所有数据是现代数据管理的谚语之一。数据管理不能民主。通过将冷数据从顶部NAS当分层到云对象锁定存储时,我们可以以很少的成本获得冷文件数据的不可变副本。勒索软件不能重写这个副本。将冷数据转移到对象存储也可以减少备份占用的空间,并增加勒索软件防线,同时降低备份许可成本。当然,你也可以在其他地方创建它(DR)磁带数据备份。但是,在这种情况下,恢复时间会长得多。而且,在云时代,物理备份解决方案的吸引力已经不如以前了。
3. 制定计划并验证
前两项到位后,团队应制定可行的计划来处理攻击场景。不要等到黑客成功锁定文件/系统并在电脑前微笑,以验证他们的计划是否可行。必须记录和测试计划,以确保数据可以通过快速恢复和替代数据访问来保护,以保持业务正常运行,而不中断业务或支付大量赎金。
每个人都有责任抵抗勒索
与勒索软件的斗争正在从安全团队扩展到企业IT包括数据存储在内的各个方面。通过非结构化数据管理,存储专业人员可以使用多层防御策略来协助安全同事的工作。该策略始于跨所有存储的实时可见性,并包括快照、备份和对象锁定云存储。企业网络安全团队将非常感谢它。
随着网络犯罪团伙的日益激进和攻击手段的不断创新,数据管理专业人员需要通过更详细的灾难恢复计划加强预防。