本文重点
数字化转型的浪潮为企业带来了更多机遇,也让网络安全的态势愈发严峻。勒索病毒作为一种极具传播性与破坏性的恶意攻击,一旦成功加密甚至破坏企业的关键数据库和服务器,将严重影响业务的正常开展,造成巨大的经济损失。
而一些企业在实践防勒索病毒解决方案时,并未充分考虑勒索病毒的攻击特点,没有采用针对性的预防措施;一些企业即使进行了勒索病毒的防控,但由于病毒攻击具备长期性、隐蔽性、灵活性等特点,防御体系的效率不高,反而增加了基础架构与应用复杂度,使得用户经常面临系统难以操作、安全策略难以执行等问题,徒增运维压力。虚拟化环境下,如何高效开展勒索病毒防护加固,在被防护的数据价值和加固防护所付出的综合成本之间找到平衡点,是每个企业信息化进程中都要解决的难题。
这篇文章中,我们将深入讨论勒索病毒的攻击特点及其对企业数据安全保护的特殊要求。此外,通过分析现有防护方案,我们也将从网络隔离和数据备份的角度给出双重加固方案,帮助企业在病毒侵入与事后恢复等多个阶段都能做到高效应对,层层保护数据安全。
近年来,勒索病毒攻击事件数量持续走高。根据中国信通院发布的《勒索病毒安全防护手册》(以下简称“安全防护手册”),仅 2021 年上半年,全球公开的勒索病毒攻击事件就高达 1200 起,而这一数字是 2020 年全年的累计数量。此外,据统计,2022 年上半年全球发生的 40 起重大网络安全事件中,27% 的事件是由勒索病毒引起的(如果仅统计已明确攻击类型的事件,这一数字可达 1/3)。
数据来源:2022 上半年全球 40 大网络安全事件回顾
同时,由于勒索病毒会通过文件加密、数据窃取、磁盘加密等方式“劫持”企业的关键数据库,造成的损失将不仅局限于赎金,还包括因数据泄漏、业务停滞、数据恢复等带来的一系列经济影响。
勒索病毒事件频发源于其特殊的攻击特点。《安全防护手册》指出,勒索病毒感染一般分为四个阶段:探测侦察、攻击入侵、病毒植入和实施勒索。
犯罪者会先进行漏洞扫描,在发现未及时修补漏洞的设备后,利用漏洞“一点突破”网络安全防线。对于很多新发现的漏洞,边界防火墙往往难以察觉,主机防护软件也很难区分究竟是攻击者还是合法用户在对系统进行修改。在成功获取访问权限后,犯罪者会进入“潜伏”阶段,让病毒/木马程序沿着当前被感染主机所在的内部网络横向扩散,这种威胁的扩散很难被普通的“南北向”防火墙发现和阻止。
在收集到足够多的数据后,犯罪者会从受害者的网络中传出或加密窃取到的数据,并以此对用户进行勒索。由于犯罪者会采用多种加密算法加密用户数据,一旦被加密,很难进行破解和数据恢复。正是这些特点让很多大公司在面对勒索攻击时也防不胜防。
勒索病毒攻击流程
图片来源:How to Prepare for Ransomware Attacks, Gartner
勒索病毒攻击还有另一个特点:犯罪者受利益驱动,常常瞄准医疗、教育、金融、科技等重点行业的承载重要数据资源的信息系统进行攻击。一旦受到感染,这些行业用户将面临更大的经济损失。同时,虚拟化环境也极易成为勒索病毒的攻击跳板,一台虚拟机受到感染,极易导致病毒在虚拟世界内部的加速扩散和渗透。因此,基于虚拟化环境支撑关键数据库与业务系统的用户更应重视勒索病毒的防护。
目前,不少用户采取的勒索病毒应对方案集中在预防阶段,具体包括制定管理策略与应急预案,以及部署具有防御和查杀功能的网络安全产品,例如边界防火墙、网络防病毒/入侵检测/入侵防御产品、漏洞扫描产品、查杀软件、破坏攻击模拟工具(breach attack simulation)等。
但在虚拟化环境中,虚拟机数量庞大、移动性强,仅仅通过部署具有防御效果的勒索病毒防控产品,难以做到对整个虚拟化环境的严密保护。同时,由于勒索病毒进化速度快、预测难度大,一旦病毒突破边界防火墙、病毒及漏洞扫描的防线,依旧难以阻止病毒扩散。
因此,正如 Gartner 在《如何为勒索病毒攻击做好准备》(How to Prepare for Ransomware Attacks)中强调的,勒索攻击的整体防控是一项系统性工程,需要多种安全策略与技术互相配合,确保能够覆盖到攻击的不同阶段。也就是说,除了进行病毒防御与检测,用户也需要关注,如何在虚拟化环境下阻止病毒传播,以及如何减轻病毒攻击带来的影响。
我们根据《安全防护手册》对于勒索病毒防控的阶段划分(事前预防、事中应急与事后加固),将各阶段适用的技术产品进行了总结(如下图)。其中,事中应急阶段主要涉及隔离设备、排查隔离范围、研判攻击方式、尝试破解等运维措施,主要要求企业具备充分的应急方案、运维人员具备足够的应急能力,因此不具体展开。
这些解决方案中,我们关注到《安全防护手册》与 Gartner 报告都提到了两项能够有效应对勒索病毒传播与攻击的技术产品:基于微分段(网络隔离)的网络安全产品,和数据备份与恢复产品。
微分段是一种基于“零信任”原则的安全策略,通过“明确允许、默认拒绝”的白名单模式,微分段能够实现,“只需明确允许对几个协议端口的访问,便可满足虚拟服务器正常工作的要求,而其他端口上的通信‘默认拒绝’”,从而阻止勒索病毒在虚拟化环境的横向扩散。
欲了解更多关于微分段技术与零信任实践的信息,欢迎阅读:
而如果勒索病毒突破了层层防护,取得了数据访问权限,甚至已经对数据完成了加密,为了应对这种情况,企业就需要使用数据备份与恢复产品,定期地将工作负载的配置文件和数据文件备份到集群外部的存储设备,并做到在灾难发生时能够快速地恢复数据。同时,企业也可通过快照等方式对数据进行多重备份。
为了更好地支持企业应对勒索病毒等恶意攻击,SmartX 为企业提供超融合环境下的病毒防护加固方案:基于微分段的网络与安全产品——Everoute 网络与安全软件,和数据保护产品——SMTX 备份与恢复。通过“事先备份数据、事前隔离虚机、事后恢复数据”,该方案能够在完善企业现有虚拟化系统和数据安全保障的同时,为技术人员带来简单、智能、灵活的运维体验。
在防止病毒扩散阶段,Everoute 通过零信任模型下的网络隔离技术,为虚拟化环境下的每个 APP/VM 提供独立的分段。
用户还可搭配 SMTX 备份与恢复,通过可靠的数据备份防止因勒索软件攻击导致大规模数据丢失,同时帮助用户快速重建遭到破坏的虚拟机,防范业务停机,保护数据安全。该产品具有以下优势:
此外,用户还可以使用内置于 SMTX OS 软件中的数据保护功能,如快照计划,开展更广泛的数据保护,并通过 SmartX 原生管理平台 CloudTower 进行统一管理。
虽然勒索攻击的传播形势依旧不容乐观,企业可以通过预先部署网络安全和数据备份与恢复产品,针对病毒传播的各个阶段开展网络隔离和数据备份等防护工作。同时,企业也需要兼顾解决方案的日常运维工作量,选择那些手动操作更少、智能化、操作简单、配置灵活的产品。
参考文章:
1. 勒索病毒安全防护手册
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf
2. 流行勒索病毒分析总结
http://gat.zj.gov.cn/art/2021/6/1/art_1229442537_59080710.html
3. 2022上半年全球40大网络安全事件回顾
https://mp.weixin.qq.com/s/HPLs48VK9nJUdD__HsMfLg
4. Secure Endpoint Best Practices Guide
https://www.cisco.com/c/en/us/products/collateral/security/fireamp-endpoints/secure-endpoint-og.html
5. How to Prepare for Ransomware Attacks
https://www.gartner.com/en/doc/how-to-prepare-for-ransomware-attacks
点击获取 SMTX OS 网络与安全白皮书及 SMTX 备份与恢复技术白皮书。