我以前听说过“勒索软件即服务”的概念,这一概念让我对即将面临的真实威胁的恐怖程度惊诧不已。
鉴于现在创建勒索软件非常容易,内部威胁无疑将会加剧。过去,只有技能娴熟的黑客才能创建恶意软件,但现在几乎任何人都可创建自定义勒索软件,因为这只需要在网站上点击几下,简直可以用“不费吹灰之力”来形容。然后, 只需在任何电脑上运行勒索软件,便可等待受害者支付赎金。
有些人可能认为这不是什么新威胁,还大谈特谈最小权限原则和物理服务器访问限制比以往更为重要。如果是这样,你就错了。实际上,这显然是一个新威胁,因为该威胁现在会造成资金损失,甚至是大笔资金损失。
在一定程度上,这一概念类似于在大学电脑课上部署信件炸弹病毒 (letter bomb virus)。在学生时代,我们经常遇到这种恶作剧。长大之后,我们在快速增长的 IT 市场开始了职业生涯,有些人逐渐对老板感到不满,并可能从内部威胁到企业的业务发展。就因为对老板不满,许多员工便搞一些破坏。就算不会带来资金损失,这也足以给老板们造成各种麻烦和风险。
由于会造成资金损失,这种威胁将彻底改变 IT 行业。现在,我们都面临勒索软件带来的切实风险。更糟的是,由于熟知公司的业务流程,内部人员可以针对性破坏包含最重要业务数据的系统,迫使公司只得支付甚至高达 7 位数的赎金。因为对公司而言,支付赎金仍然是将损失降到最低的办法。
这意味着什么?首先,首席信息官不再相信任何人。在巨大利益的诱惑下或由于急需金钱,即使奉行最高道德标准的人有时也会禁不住犯罪。现在,企业应将冒险“信任”从 IT 战略中排除,对于员工可能出于简单原因实施的严重破坏行为,企业必须时刻做好充分准备。
自问一下,如果休假的同事从某个国家或地区远程登录您的网络,删除所有在线备份(主备份及其副本)并在生产服务器上安装勒索软件,该怎么办呢?
那么,企业该如何防范内部威胁?很简单,实施空气间隙(Air gapped)备份,这种“离线”备份无法被远程操作或删除。即使加强许可控制也无济于事,因为正确的证书可通过键盘记录器或社交工程获取。不过,在高管的保险箱中配备外部硬盘或磁带等简单组件就可完全解决这一问题!如果您有大量数据但又不想使用磁带怎么办?您可在固件中采用“只读”存储系统,但您需要确保其物理安全性。或者,您可以寻求服务提供商的帮助,以确保备份副本无法被远程管理(例如,在未连接互联网的专用网络或磁带上),或被公司的任何人员删除!
本文作者Anton Gostev系Veeam产品管理副总裁