作者:Edwin Weijdema,Veeam歐洲、中東及非洲地區首席技術官兼首席網絡安全技術專家
《Veeam2023數據保護趨勢報告》顯示,去年一年內,85%的企業至少遭受過一次勒索軟件的攻擊。幾乎沒有哪一家公司能夠幸免于難,我們能明顯感覺到這一問題在現如今不僅普遍存在,而且不可避免。盡管這一事實讓人生寒,但只有認清事實,我們才能應對這場無處不在的威脅。那么,讓我們來看看企業能夠利用哪些解決方案來達成與勒索軟件的共存。
保險的作用有限
無論是看新聞,還是坐在會議室里,我們每天都能看到勒索軟件攻擊的情況。這樣的現象已經成為了十分真實且現實的威脅。考慮到勒索軟件攻擊的普遍性,企業需要意識到,你所面臨的不再是“是否”會成為攻擊目標的問題,而是“多久”會遭受到一次攻擊。盡管《Veeam2023數據保護趨勢報告》顯示很多企業在去年至少經歷過一次攻擊,但還有48%的企業曾遭受過兩次或三次攻擊。無論企業的規模如何,這都是令人難以承受的前景。自然而言地,許多企業選擇依靠網絡保險以尋求心安。
網絡保險可能會賠償勒索軟件攻擊造成的損失,但更重要的一點是,它無法阻止或消除這種損失以及損失造成的連鎖反應,比如丟失客戶和客戶信任。不過,教育和透明度的確有助于防止勒索軟件造成的損失,但也會受到網絡保險政策的限制。
隨著勒索軟件威脅的不斷增加,網絡保險公司的規定也在隨之增加。近期的Veeam勒索軟件趨勢報告還發現,超過20%的企業表示,其網絡保險公司并未承保勒索軟件攻擊,即使在承保范圍內,一些保險公司也規定企業不得公開談論一些泄漏事件。這樣的做法將會導致不幸的結果——將勒索軟件攻擊這一普遍存在的現實問題隱藏起來。希望在未來幾年,這樣的情況能有所改變。因為只有通過分享經驗教訓和曾經犯過的錯誤來教育他人,我們才能在防御勒索軟件攻擊方面變得越來越加強大。
多多談論勒索軟件攻擊也是為了揭開它的神秘面紗。盡管勒索軟件的話題在媒體上頻頻出現,但很多人并不知道它們到底是如何展開的。在很多人看來,它似乎像是輕按一下開關或是像變魔術一樣的簡單,但實際情況要復雜的多、也漫長的多。請時刻記住,所有的企業都會遭受到勒索軟件的攻擊,甚至很多企業已經遭受過,了解整個過程對于提前準備和成功恢復至關重要。
勒索軟件就像是一頭看得見的野獸
關于勒索軟件攻擊的討論很少承認,其實這就是不良行為者精心策劃出來的一系列事件的高潮。勒索軟件并不是憑空出現的,而是經過數天、數周、數月、甚至數年的鋪墊之后埋下的伏筆。讓我們回過頭來看看幕后發生了什么。
壞人會先從觀察階段開始。他們會簡單地觀察目標,收集相關人員、流程和技術的信息,從中獲取機會。就像竊賊首先需要熟悉建筑物出入口的位置和居住人的信息一樣,網絡犯罪者也想要知道他們要應對的是什么樣的情況。
之后,就要進入建筑大樓了。對于網絡犯罪者來說,可以通過發送類似網絡釣魚的鏈接進入到目標的基礎設施中,并建立行動基地。此時,他們仍然是隱身的,但卻能造成重大的破壞。攻擊者會在這個階段竊取數據,甚至在完全未被發現的情況下銷毀備份,直到在最后階段啟動勒索軟件攻擊并索要贖金時,他們才會暴露自己的存在。
探索這個完整的過程自然是令人不知所措的。因為安全團隊要應對的不僅是看得見的威脅,還有隱藏在后臺的未知且隱形的敵人。然而,“知識就是力量”這句話一次次被證明是正確的。憑借這些信息,企業可以定制強大的備份和勒索軟件恢復策略。
不要單憑運氣
雖然勒索軟件的攻擊不可避免,但數據丟失卻并非必然。事實上,如果采取了正確的預防措施百分百地恢復是有可能實現的。這或許聽起來令人難以置信,但只要掌握幾個關鍵要素,任何企業都可以制定出如同鐵板一塊的數據保護策略。
這包括三個部分。首先,安全團隊需要確保擁有不可更改的數據副本,這樣黑客便無法以任何方式更改或加密數據。然后,安全團隊還需要對數據進行加密,這樣即使數據被盜或是被破解,黑客也無法訪問或使用這些數據。
封鎖要塞的最重要階段就是所謂的3-2-1-1-0備份規則:至少要保留3份數據副本,這樣即使在2臺設備受到威脅或出現故障時,仍保留有1份額外的副本。三臺設備發生故障的可能性要小很多。除此之外,企業還應將這些備份儲存在2種不同類型的介質中。例如,1份存儲在內部硬盤上,另1份存儲在云端。然后其中1份應始終保存在安全的異地位置,另1份離線保存,與主IT基礎設施要沒有任何聯系。0的部分是最重要的:備份數據中不應該有任何錯誤,可以通過定期測試、持續監控和恢復來確保達成。
如果能遵循這些步驟的指引,當勒索軟件攻擊不可避免地發生時,企業可以依舊保持冷靜,因為他們知道自己已經把黑客拒之門外。
底線
企業會在某些時候面臨勒索軟件的攻擊,這是當今社會面對的現實。但隨著人們意識的增強,各類準備工作也在不斷完善。雖然網絡攻擊總是會帶來混亂,但只要采取正確的措施,就可以讓混亂變得可控。最終,一切也會變得不同。
