中了勒索病毒不想交赎金?戴尔说,可以!

提起勒索病毒?有朋友觉得类似共享单车上加的私锁,会觉得这样做非常的不道德,内心会发出正义的谴责。还有的人觉得,勒索病毒就好比家门被陌生人额外装了一把锁,凑近细端详,锁上一块小纸条:想拿钥匙开门?交钱吧!原来,这属于明目张胆的打劫。

现实世界的私锁可以用锤子来物理破解,但企业数字资产一旦遭受勒索病毒,确实是非常严肃的事。为了应对勒索病毒带来的风险,过去一年里,非常多企业都在已有的备份、容灾方案基础上,加入了应对勒索病毒“避风港”方案戴尔Cyber Recovery,为遭受勒索病毒的企业提供了不缴赎金的可能。

勒索病毒很严重,且有愈演愈烈之势

如今对于拥有大量数字资产的企业而言,随时可能会遭受勒索病毒的攻击,当数据存储系统被加密,数据无法访问,进而导致业务中断,很快会遭受大量用户投诉,企业形象受损,严重的甚至可能倒闭,随着行业监管和立法层面的完善,还会遭到更严厉的惩罚。

图来自《2020上半年勒索病毒安全报告》

对于没有遭受过勒索病毒的企业而言,勒索病毒有些遥远。但不只一两家机构和组织宣称,中国已成为勒索病毒的重灾区,从腾讯《2020上半年勒索病毒安全报告》中可以看到,经济发达地区受勒索病毒关注更多,可见,勒索病毒时刻都在你我周围上演。

从操作层面来讲,勒索病毒的门槛并不是特别的高,并且,抓人、取证都很难。由于勒索者通常希望收到大量赎金,对于别有用心的技术从业人员来说,这是一个可能一夜暴富的机会,当勒索事件成为普遍现象之后,用社会发展的宏观描述来看,这甚至成了一种社会财富转移活动。

勒索病毒正呈现愈演愈烈的趋势,Cybersecurity Ventures曾预测,2019年每14秒就会有一家公司沦为勒索软件攻击受害者,2021年时这一间隔将缩短至每11秒。除了大名鼎鼎的WannCry(如果碰见它,的确都想哭)以外,还出现了多种别的勒索病毒。

与想象不同的是,被勒索的企业也不限于财大气粗的大公司,还有很大一部分(42%)涉及到小型企业,可谓是无差别攻击。

只不过,信息化水平比较高的行业,比如金融行业被成功攻击的比较少,这点在腾讯的《2020上半年勒索病毒安全报告》也有所体现。并不是说金融行业可以幸免,从埃森哲的数据来看,银行业的平均损失可是最高的!

勒索病毒大多是有组织的行为,许多攻击还呈现出内外勾结的现象。虽然是致富的捷径,但是不要轻易尝试,因为这是明显的犯罪行为,会给企业带来巨大损失。即使这不是犯罪行为,也不要轻易尝试,因为这种付出和收获严重不成比例的体验,对于个人长期发展很不好。

总之,在巨大的利益驱动下,勒索病毒愈演愈烈,埃森哲预测,未来五年,全球将遭受5.2万亿美金的损失。

企业怎么应对勒索病毒?

当企业碰到勒索病毒能怎么办呢?

勒索病毒对企业带来很大损失,作为企业信息化负责人相关人员也难辞其咎,遭遇此类事件,如果束手无策任由事态发展,相关人员可能会流入人才市场从新找工作,如果能与勒索者斗智斗勇悄悄化解此次危机,那该有多好。那么,具体要怎么做呢?

首先,协商交赎金当然是一种解决办法。这种方法的缺点是,除了直接的赎金损失外,还得祈祷勒索者是个讲信用的人,你得盼着在交了钱之后对方真的解锁全部文件,盼着对方不会坐地起价,盼着对方不会在过几天没钱之后,又卷土重来一次。

但实际上,被加密勒索后,只有不到五分之一的企业成功恢复了文件,有三分之一的企业丢失了大量数据,有大概55%的企业恢复了部分文件,还有大概13%的人就比较惨了,数据全丢了。

这组数据没有说明有多少是交了赎金的,但整体而言数据恢复的情况一点都不乐观,也就是说,一旦被勒索就是凶多吉少,交赎金并不是好的解决办法。所以,企业首先要尽可能防止被勒索,使用尽可能多的网络安全防御手段,需要企业员工有较高的安全防范意识。

不过,由于勒索病毒通常针对的是企业的关键业务数据,所以,数据存储、数据管理以及数据保护厂商也在关注勒索病毒的发展,这其中就包括全球最大的企业级存储公司戴尔科技集团,戴尔科技集团是全球少数关注数据存储、数据管理以及数据保护的综合型数据专家。

作为数据存储专家,戴尔的人经常出现在一些数据事故现场为其提供技术指导,偶尔也会出现在国内某大型云厂商的专家进行技术探讨,这种感觉就好像从全国各地进北京看病的人一样,戴尔的当“数据医生”的经验多。

对于勒索病毒问题,戴尔科技大中华区数据保护产品技术总监戴尔科技集团李岩认为要从三个方面进行防护,首先,数据要备份,第二,要做容灾,第三点,就是使用数据避风港方案。

备份系统是对抗勒索病毒的有效手段,备份可以帮助系统快速进行恢复,但勒索者也非常关照备份系统,勒索者会在加密攻击时会使用各种方法(包括钓鱼式)找到备份系统将其加密。被攻击后,企业只能盼着对方找不到备份系统,不过,经验老道的攻击者都不会放过备份系统。

所以,只有备份系统是不行的。那么,不是还有灾难恢复(DR)方案吗?

灾难恢复,比如常说的两地三中心也是一种数据保护方案,但其实这是一种数据中心级的保护方案,是为了业务连续性而设计的,容灾要防的是数据中心里的火灾、水灾、地震等自然或者人为灾害,它对于勒索病毒也不擅长。

备份容灾都不行,那勒索病毒就无解了吗?

针对勒索攻击的规范“避风港计划”

李岩表示,“网络弹性恢复(Cyber Recovery)”是对抗勒索病毒的终极手段。

这种终极手段就好比美国白宫的防御体系,虽然周围有防御导弹以及各种严密的安保手段,但白宫地底下还是构建了全世界人民都知道,但非常神秘的“末日地堡”,用于在紧急时刻都确保白宫能发挥作用。虽然美国总统本人可能也没用过几次,但在许多美国大片中都戏剧化的方式演绎过,媒体也都公开报道过,很多人可能感觉许并不陌生。

美国政府针对金融行业发起的类似“护网行动”的演练中,发现金融行业存在的安全风险,于是,美国金融行业发起了一个叫“避风港计划(Sheltered Harbor)”的项目,用于保护金融行业的关键数据。如果说金融行业数据,比如客户贷款的数据丢失了,或者存款信息丢失了,问题可就太严重了,避风港计划就是要构建金融行业数据安全的最后防线。

关于如何最有效地保护关键数据和数字资产免受网络攻击的威胁,全球广泛多样的行业中的监管机构拥有共识。他们认为:以隔离的方式保护关键数据拷贝,是从勒索软件和毁灭性的攻击恢复的最好方式。具体的方式就是要建立“避风港”。中国也不例外,中国国家保密局在期刊《保密科学技术》中,建议国家要制定一个专门针对勒索攻击的规范。

上图是避风港设计的操作流程,第一步就是做备份,第二步对关键数据进行加密,第三步是把这些数据放到Vault(金库)里,这里的数据都是不可篡改的,需要是隔离的但同时还要能访问。最后一步是恢复平台,当出现问题的时候由它来进行恢复。

虽然避风港的设计原理并不复杂,但经认证的解决方案全球仅有一家。

戴尔——避风港实施方案(Cyber Recovery)独家提供商

作为数据专家,戴尔针对这一需求在2015年制定了第一个隔离恢复解决方案,当时只是作为一个咨询服务来提供。在2018年,当此类需求越来越多,戴尔推出了产品化的解决方案,2019年成为目前唯一经过认证的符合“避风港”要求的解决方案提供商。

数据安全避风港能让企业在勒索病毒、外部恶意攻击下以及内部删库跑路情况下恢复关键业务数据,从而避免支付赎金,减少停业损失、商誉损失、机会损失、时间成本损失,避免法律诉讼风险等。

建立“避风港”是一个复杂的过程。

首先需要分析哪些数据对于业务至关重要,评估要保护的数据量。然后,需要相应的技术产品方案等,确保关键的数据被备份,备份的数据没有被加密,备份的数据不被篡改,能顺利完成恢复操作。同时,还需要企业的人员的配合,需要工作流程上作出调整。

戴尔有专业的团队能帮助企业完成这些过程,戴尔建议企业构建备份、容灾加Cyber Recovery避风港的三位一体的保护方案。

某跨国新能源公司不仅主数据中心的核心系统进行了备份,许多分支机构也都配备了备份系统,主数据中心里不仅构建了容灾架构,还构建了Cyber Recovery避风港方案,构建了三位一体的保护体系。

2019年,某软件企业遭受勒索病毒后的一个月里,感染的主机逐步增多,甚至连备份服务器也被加密了,企业安全部门为了避免责任私下里支付了部分赎金无果。最后,所幸在戴尔Data Domain里存部分备份原数据,从而完成了恢复。

这里并没有用到Cyber Recovery的功能,只是以防万一,将Cyber Recovery当做最后的防线。

戴尔在Cyber Recovery避风港方案方面已经积累了多达五年的丰富经验,该方案在全球有700多家客户,其中500家是去年一年里部署了该方案,每年都为戴尔贡献大量的营收。一方面说明了勒索病毒危机的严重性,同时也说明越来越多用户认可了戴尔Cyber Recovery方案的价值。

结语

世界上没有绝对的安全,任何防御手段都有可能失效。

传说中的“末日地堡”在与外界隔离的情况下提供48小时的空气,很快就得转移到别的安全的地方,并非绝对的坚不可破、固若金汤。

但作为负责人的大型企业以及企业安全负责人都应该了解安全可能带来的危害,尽可能降低带来的损失。面对勒索病毒,缴赎金并不是好的解决方式,强化安全手段是更合理的选择。