近日,勒索攻击事件频发,其攻击规模和频率以惊人的速度增长。Gartner预测,到2025年,75%的企业将面临一次或多次的勒索攻击。随着勒索组织的目标越来越有针对性,以及勒索攻击手段愈演愈烈,勒索攻击已成为国家、企业和个人数据安全的头号公敌。
勒索软件攻击频发,危害性和破坏性空前
勒索软件入侵系统后,通过攻击、窃取和加密价值数据,勒索企业和个人,从而获取经济利益。网络勒索者通常采用比特币作为赎金支付方式,将暗网作为不可追踪的支付链路,从而“安全”隐蔽,获得巨额收益。
根据知名投资咨询公司Cybersecurity Ventures报告,2021年,每11秒就有一个组织遭到勒索软件攻击,预计到2031年,每2秒就会有一起攻击发生。2021年全球因勒索攻击造成的损失高达 200 亿美金,高于2015年3.25亿美元的61倍。全球迄今为止最高的一笔赎金,高达7000万美元。然而,支付了赎金就能一劳永逸吗?答案显然是否定的。据统计,80%支付了赎金的组织会遭到二次勒索,49%的组织只拿回了部分数据甚至没有拿回数据。除了赎金损失,勒索攻击还会造成广泛而持续的负面影响,包括业务停顿、声誉受损、人力和时间成本增加等一系列连带损失,高出赎金的23倍以上。
●2021年3月,某国保险巨头遭到勒索软件攻击,15000台设备被加密,不计其数的客户资料面临数据泄露风险,向黑客支付了4000万美元赎金。
●2021年5月,某国最大的燃油管道商遭勒索软件攻击,赎金440万美元,所有管道业务被迫关闭,耗时11天才恢复全部产能,汽油价格升至7年来最高水平,引发居民恐慌性购买。
●2022年4月,某国知名汽车品牌多家供应链遭遇勒索软件攻击,导致1.4TB数据泄露,产能被迫削减50万辆。
●2022年5月,某国遭遇迄今为止最严重的“国家勒索”,其政府部门遭遇两波重大的勒索软件攻击,导致该国不得不宣布进入“网络安全紧急状态”,国际贸易停滞,多项基本服务陷入瘫痪,医疗系统一片混乱……
从以上例子不难看出,勒索软件肆虐全球,尤其是高数据价值的行业,如政府、能源、交通、金融、制造、医疗等成为了勒索的重灾区。据Gartner预测,到2025年,75%的企业将面临一次或多次的勒索攻击。随着攻击手段的日益增强,勒索攻击将令各行各业防不胜防。
勒索攻击愈演愈烈,数据安全风险直线上升
勒索软件隐蔽性强,善于伪装,它可以通过多种存储介质、钓鱼邮件、网站木马、社交网络、恶意内部人员等方式入侵,使勒索攻击难以防御。遭勒索攻击后,由于本地和灾备中心的有效副本均被加密或删除,数据往往难以快速恢复。据统计,被勒索后的平均业务恢复时间为16天,从勒索攻击中恢复的平均成本为185万美元。
新型勒索软件攻击呈现出以下趋势:
1.大型企业和政府关键基础设施成为勒索重点
勒索软件的攻击方式从最初的广撒网寻找目标,逐渐变成对有价值的目标进行定向勒索。这种对目标长达数周甚至数月的侦查和定向勒索,虽然会使攻击成本增高,一旦成功,回报远远高于广撒网式勒索。于是,越来越多的勒索组织将目标瞄准大型企业和关键基础设施,政府部门首当其冲。勒索攻击的目标已经从个人升级到企业,从市政上升到国家级别,一定程度上已经成为了国家层面的安全威胁。
2.勒索攻击RaaS(勒索即服务)化
勒索软件攻击转变为“商业服务行为”,通过会员、订阅或定制,向其他“攻击者”售卖勒索攻击相关服务,让勒索软件攻击成本和门槛下降。同时,网络和信息技术的迅猛发展以及各类加密数字货币的持续火爆,给勒索软件创造了网络温床,勒索攻击迎来“大爆发”。
3.双重勒索模式成为常态
勒索攻击已不再是加密数据、索要赎金那么简单,更多的是先窃密、后勒索、再曝光。这样的攻击方式,使受害者不仅受到数据泄露的威胁,还面临着数据曝光后的合规监管和舆情压力的双重危机。
4.具有“APT”级别攻击力
高级持续性威胁(Advanced Persistent Threat,APT)是一种复杂的、持续的网络攻击。勒索攻击具备“放长线,钓大鱼”的特点,攻击一旦得手,往往会造成巨大的经济损失或政治影响,乃至于毁灭性打击。
专业存储是守护数据安全的最后一道防线
毫无疑问,随着勒索软件的攻击手段越来越复杂,防御措施也受到了更大挑战。根据诺斯罗普·格鲁曼纵深防御模型,面对勒索软件攻击,共有5层防线:
●网络边界安全防护和网络安全防护,构建在网络层,使用防火墙、沙箱、态势感知等系统来防御勒索软件的侦查探测。
●主机安全防护和应用安全防护,构建在主机层,使用访问控制、安全补丁、安全审计系统、杀毒软件等技术,防御勒索软件的攻击植入。
传统的安全防御一般将重心放在网络和主机侧,它们的作用是防止勒索软件入侵、阻断勒索软件扩散。然而,勒索软件具有很高的隐蔽性和伪装性,一旦进入网络/主机层后,往往攻击者会潜伏很长时间、在获取更高的权限并掌握大量关键数据后,才会发起勒索,此时网络/主机层往往已经无法阻止勒索攻击。
而存储防勒索则可以在这一阶段,通过多种手段进一步阻止勒索攻击。包括对勒索软件的异常IO进行检测,通过防篡改技术对数据进行主动保护,通过加密技术防止存储中的数据泄露。最重要的是,除了备份存储上的数据副本外,被物理隔离的安全保护区里的副本,可以确保存储系统中始终有一份干净的、未受感染的数据用于恢复业务。
如何用专业存储构建防勒索的最后一道防线?
华为存储防勒索解决方案,提供生产存储与备份存储双重保护,通过勒索检测、数据防篡改、AirGap复制和端到端数据加密四大关键技术,打造完整的防勒索防线,让病毒藏不住、改不了;数据看不到、带不走。
主存到备份,双重防勒索
华为存储从主存到备份构建高安全防护体系。除了主存储自身的防勒索能力,华为OceanProtect专用备份存储同样具备全方位的防勒索能力,确保系统中始终有一份“干净”数据用于恢复。华为OceanProtect专用备份存储提供高达172TB/小时的恢复速度,是业界标杆的5倍,帮助被勒索企业减少停机时间、降低损失。
四大关键技术,层层防护
●第一层:勒索检测,病毒“藏不住”
通过侦测分析识别勒索软件攻击,对生产存储与备份存储进行事前、事中、事后全方位侦测,识别准确率高达99.9%。事前,拦截常见勒索软件攻击;事中,及时发现勒索攻击并主动进行保护,联动防火墙等安全设备隔离发起异常I/O的主机,防止勒索软件横向扩散;事后,对数据副本进行智能检测,保障数据副本为“干净”数据。
●第二层:数据防篡改,病毒“改不了”
使用WORM文件系统和安全快照技术,防止文件被篡改。WORM文件系统,可对生产存储及备份存储上的数据设置保护周期,保护期内防止对数据进行任意修改和删除操作。安全快照,在只读快照基础上,对快照设置保护期,从而实现快照“防删除”。
●第三层:隔离区安全防护,数据“看不到”
使用Air Gap技术建立单独的物理隔离区域,将生产存储与备份存储的数据复制到隔离区。若生产存储和备份存储均被攻破,可使用隔离区的副本进行数据恢复。非复制期间,复制链路断开,副本处于“离线状态”,即使勒索者攻破生产网络,也无法入侵安全隔离区的数据,减少被攻击的可能。隔离区存储同样支持安全快照等防篡改特性,为数据增加多层防护。
●第四层:端到端加密,数据“带不走”
通过协议加密、生产和备份存储加密、Air Gap复制链路加密、数据和备份副本远程复制传输加密,保障数据在存储传输网络和存储中不发生泄露,即使黑客攻破存储或者入侵存储网络,也获取不到机密数据。
提前构建存储防勒索体系,是有效抵御勒索攻击的关键
华为存储防勒索解决方案已经在中国、南非、亚太、东北欧、西欧、中东的能源、金融、交通、制造、政府行业,获得了多家头部客户的认可与部署,帮助客户将勒索攻击的损失降至最低。正所谓道高一尺,魔高一丈,遭遇勒索攻击后再来补救为时已晚。唯有防患于未然,提前构建全方位的防勒索体系,打造数据安全的最后一道防线,才能不给攻击可乘之机,有效降低勒索软件造成的损失。