如何實(shí)現(xiàn)備份安全以防止勒索軟件攻擊

根據(jù)惡意軟件實(shí)驗(yàn)室Emsisoft發(fā)布的一份報(bào)告顯示，2020年第一季度和第二季度成功的勒索軟件攻擊數(shù)量呈大幅下降趨勢(shì)。

在COVID-19危機(jī)期間，美國(guó)公共部門成功的勒索軟件攻擊次數(shù)在2020年1月至2020年4月之間有所減少，但這種趨勢(shì)如今再次出現(xiàn)了逆轉(zhuǎn)。部分原因可能在于解除了限制以及大批員工返崗。

該研究還指出，自去年11月以來(lái)，包括DoppelPaymer、REvil / Sodinokibi和NetWalker在內(nèi)的團(tuán)體數(shù)量一直在穩(wěn)定增長(zhǎng)，它們不再單純地加密美國(guó)公共部門的數(shù)據(jù)，還會(huì)進(jìn)一步竊取并威脅公開(kāi)泄露數(shù)據(jù)。

對(duì)此，Emsisoft的首席技術(shù)官Fabian Wosar警告稱，

“2020年不應(yīng)該繼續(xù)步2019年的后塵。對(duì)于人員、流程和IT方面進(jìn)行適當(dāng)?shù)耐顿Y，將導(dǎo)致勒索軟件事件的發(fā)生率大幅降低，即便真的發(fā)生了勒索事件，其影響力以及破壞成本也會(huì)低得多?！?/p>

黑客聲譽(yù)+潛在利潤(rùn)=更多勒索軟件

勒索軟件的成功商業(yè)模式以及受害者支付的巨額利潤(rùn)，使其受歡迎的程度持續(xù)飆升。與其他惡意軟件商業(yè)模式不同，攻擊者會(huì)竊取數(shù)據(jù)，然后在暗網(wǎng)上出售數(shù)據(jù);利用勒索軟件作為攻擊媒介的黑客直接就可以從受害者那里獲得贖金。他們通過(guò)破壞受害者的網(wǎng)絡(luò)環(huán)境就可以實(shí)現(xiàn)這一點(diǎn)，而數(shù)字貨幣（通常是比特幣）提供的匿名性也使他們獲取報(bào)酬的行為成為可能。

此外，針對(duì)外行的定制解決方案，例如勒索軟件即服務(wù)（RaaS）以及自制（DIY）套件，也提供了“開(kāi)箱即用”的便捷性，利用這些工具發(fā)起攻擊，進(jìn)一步推動(dòng)了勒索軟件的增長(zhǎng)。

總之，與勒索軟件有關(guān)的犯罪才剛剛開(kāi)始，攻擊者的潛在利潤(rùn)是巨大的，且還有更多新的領(lǐng)域等待發(fā)掘利用。

勒索軟件進(jìn)化論

雖然目前絕大多數(shù)勒索軟件仍然集中在文件加密（即加密文件，并要求支付贖金解密）上，但仍然出現(xiàn)了一些更為高級(jí)的攻擊策略，因?yàn)橐恍┕粽咭呀?jīng)領(lǐng)悟到，將文件作為“人質(zhì)”，只是賺錢的一種方法。攻擊——無(wú)論是通過(guò)破壞、竊取還是滲漏——然后要求受害者支付贖金以停止或恢復(fù)攻擊，很可能才是惡意軟件領(lǐng)域的未來(lái)。

數(shù)據(jù)損壞

文件和數(shù)據(jù)庫(kù)損壞

目前，最常見(jiàn)的勒索軟件攻擊類型是使用加密API的文件損壞（加密）。但是，我們也看到了針對(duì)MongoDB和MySQL等數(shù)據(jù)庫(kù)的損壞攻擊。由于數(shù)據(jù)庫(kù)通常是組織最敏感數(shù)據(jù)所在的地方，因此對(duì)數(shù)據(jù)庫(kù)的勒索軟件攻擊可能會(huì)進(jìn)一步增加。

請(qǐng)記住，加密只是損壞的一種表現(xiàn)形式。它還可以是：

完整的文件清除;

刪除所有數(shù)據(jù)庫(kù)表;

任何數(shù)據(jù)篡改（例如，更改數(shù)據(jù)庫(kù)記錄）

備份加密或完全清除

作為針對(duì)勒索軟件的緩解技術(shù)，擁有備份非常重要。但是，依賴備份并不是理想的選擇——主要是需要花費(fèi)很多時(shí)間才能使系統(tǒng)恢復(fù)正常運(yùn)行（顯然，它們無(wú)法用作預(yù)防機(jī)制）。對(duì)于員工和客戶而言，這種停機(jī)時(shí)間可能會(huì)造成巨大的損失——勒索軟件鎖定舊金山公共交通售票機(jī)就是一個(gè)例子。

盡管如此，在勒索軟件攻擊已經(jīng)發(fā)生后，備份仍然是不錯(cuò)的緩解措施之一。擁有備份的企業(yè)也往往選擇拒絕支付贖金，也正因如此，一些針對(duì)備份的勒索軟件攻擊開(kāi)始出現(xiàn)，以最大限度地獲得贖金。

如今，多種勒索軟件——包括WannaCry和新變種的CryptoLocker都會(huì)刪除微軟Windows操作系統(tǒng)創(chuàng)建的卷影備份——卷影備份是微軟Windows為方便恢復(fù)提供的簡(jiǎn)單方式。在 Mac上，攻擊者從一開(kāi)始就把備份作為目標(biāo)。研究人員發(fā)現(xiàn)，2015年功能還不全面的首個(gè)Mac勒索軟件就已經(jīng)針對(duì)了使用名為時(shí)間機(jī)器的Mac OS X自動(dòng)備份流程的磁盤。其機(jī)制很直接：加密備份數(shù)據(jù)以切斷企業(yè)對(duì)勒索軟件的控制，迫使他們支付贖金。攻擊者越來(lái)越傾向于破壞備份。

此外，像SamSam和Ryuk同樣是針對(duì)備份的勒索軟件。去年11月，惡意行為者使用SamSam惡意軟件，加密受害者電腦的備份，向包括醫(yī)院在內(nèi)的200多名受害者敲詐了3000多萬(wàn)美元。Ryuk則通過(guò)一個(gè)可以刪除影子卷和備份文件的腳本，攻擊了包括洛杉磯時(shí)報(bào)和云托管提供商Data Resolution在內(nèi)的多個(gè)目標(biāo)。

好消息是，如今，針對(duì)備份的勒索軟件攻擊還大多是偶然的，而不是有針對(duì)性的。Booz Allen Hamilton首席技術(shù)官David Lavinder表示，根據(jù)勒索軟件的不同，它通常會(huì)通過(guò)爬取系統(tǒng)來(lái)尋找特定的文件類型，那么如果它遇到了備份文件的擴(kuò)展名，就一定會(huì)加密它。

數(shù)據(jù)滲漏

數(shù)據(jù)滲漏這種方式，就像一片尚未發(fā)掘的“金礦”在等待惡意行為者。

以Vault 7-泄露CIA網(wǎng)絡(luò)武器的文檔，然后由WikiLeaks發(fā)布一事為例，讓我們假設(shè)攻擊者的目標(biāo)是金錢，那么你認(rèn)為哪種攻擊形式——損壞或滲漏，對(duì)黑客而言才是最有利可圖的，可能性包括：

加密數(shù)據(jù)并要求付款才能解密（損壞）;

竊取數(shù)據(jù)并嘗試在暗網(wǎng)上出售（滲漏）;

竊取數(shù)據(jù)并要求付款以免泄露（泄露）;

答案可能是滲漏。公開(kāi)私有數(shù)據(jù)可能會(huì)使數(shù)據(jù)所有者最為害怕。這可能也是勒索軟件流行性持續(xù)飆升的原因所在。暴露財(cái)務(wù)記錄、病歷、國(guó)家行為者數(shù)據(jù)、正在申請(qǐng)的專利或任何其他敏感數(shù)據(jù)是一個(gè)重大威脅。

如果他們能回到過(guò)去，你認(rèn)為Netflix是否會(huì)選擇支付贖金來(lái)阻止《女子監(jiān)獄》（Orange Is the New Black）劇集的泄露？或者可能雅虎的高管會(huì)同意付款以阻止10億用戶帳戶泄露的事情發(fā)生？

顯然，我們永遠(yuǎn)無(wú)法確保支付完贖金就能從黑客手中拿回完整無(wú)損的數(shù)據(jù)（畢竟他們是惡意的），但是不支付贖金肯定會(huì)最終導(dǎo)致黑客公開(kāi)或出售你的數(shù)據(jù)。需要注意的是，我們并非鼓勵(lì)你選擇支付贖金！我們要做的是不斷完善自身流程，形成更為牢固緊密的保護(hù)網(wǎng)。

如今，我們已經(jīng)看到了此類攻擊（竊取文件或數(shù)據(jù)庫(kù)，然后索要贖金）的示例，例如最早開(kāi)啟這種攻擊模式的Maze勒索軟件。2019年11月， Maze勒索軟件加密了Allied Universal公司的許多計(jì)算機(jī)，要求其支付300個(gè)比特幣（約合230萬(wàn)美元）來(lái)解密整個(gè)網(wǎng)絡(luò)，并表示在加密之前已經(jīng)竊取了受害者的文件，以此來(lái)進(jìn)一步脅迫受害者支付贖金。

隨后Sodinokibi、DoppelPaymer等多款勒索軟件紛紛效仿。

2020年1月，Sodinokibi勒索軟件背后的運(yùn)營(yíng)商竊取了美國(guó)時(shí)裝公司Kenneth Cole 的大量數(shù)據(jù)，并威脅其支付贖金，否則將公開(kāi)包含完整轉(zhuǎn)儲(chǔ)的被盜數(shù)據(jù)。在拒絕支付贖金后，3月份，Sodinokibi運(yùn)營(yíng)商發(fā)布了包含從美國(guó)時(shí)裝公司Kenneth Cole 竊取的數(shù)據(jù)的下載鏈接。

8月份，Sodinokibi又破壞了美國(guó)烈酒和葡萄酒行業(yè)最大公司之一Brown-Forman的網(wǎng)絡(luò)系統(tǒng)，竊取了其超過(guò)1TB的數(shù)據(jù)。

2020 年 3 月，DoppelPayme勒索軟件入侵了Visser Precision（一家為汽車和航空業(yè)定制零件的制造商，客戶涵蓋SpaceX、特斯拉、波音、霍尼韋爾等）的電腦并對(duì)其文件進(jìn)行了加密，要求Visser Precision在3 月份結(jié)束前支付贖金，否則將把機(jī)密文件內(nèi)容公開(kāi)至網(wǎng)上。

拒絕付款后，DoppelPaymer 在網(wǎng)上公開(kāi)了這些機(jī)密數(shù)據(jù)。據(jù)悉，被泄露的信息包括 Lockheed-Martin 設(shè)計(jì)的軍事裝備的細(xì)節(jié)（比如反迫擊炮防御系統(tǒng)中的天線規(guī)格）、賬單和付款表格、供應(yīng)商信息、數(shù)據(jù)分析報(bào)告以及法律文書(shū)等。此外，Visser 與特斯拉和 SpaceX 之間的保密協(xié)議也在其中。

雖然，此類攻擊已經(jīng)展露頭角，但這顯然只是冰山一角。數(shù)據(jù)滲漏有可能繼續(xù)成為巨大的賺錢工具。

備份，不容忽視的防線

盡管竊取并威脅泄露數(shù)據(jù)的新攻擊模式能夠帶來(lái)更多收益，但是簡(jiǎn)單的文件加密的形式仍然不會(huì)很快消失，因?yàn)樵撧k法仍然行之有效，且潛在的攻擊對(duì)象很廣（無(wú)論是個(gè)人還是企業(yè)），而且防病毒解決方案也無(wú)法有效地阻止這種攻擊。

而針對(duì)這種攻擊形式，備份無(wú)疑是行之有效的緩解方式。定期備份數(shù)據(jù)的企業(yè)，當(dāng)檢測(cè)到勒索軟件攻擊時(shí)，就有機(jī)會(huì)能夠快速恢復(fù)數(shù)據(jù)并將破壞降至最低。

在某些特殊情況下，比如NotPetya等大規(guī)模勒索軟件模仿Petya勒索軟件提出相似的勒索要求。在這種情況下，受害者哪怕支付贖金也無(wú)法恢復(fù)數(shù)據(jù)，因此良好的備份/恢復(fù)能力顯得尤為重要。

正因?yàn)榱己玫膫浞萑绱擞行?，所以如今勒索軟件的攻擊者已?jīng)把矛頭對(duì)準(zhǔn)了備份流程和工具。所以，作為遭遇數(shù)據(jù)加密勒索時(shí)最后的防線和控制方式，備份也同樣需要保護(hù)。

您可以通過(guò)采取一些基本的預(yù)防措施來(lái)保護(hù)備份和系統(tǒng)免受這些新型勒索軟件策略的攻擊：

1. 使用額外的副本和第三方工具補(bǔ)充Windows備份

為了防止勒索軟件刪除或加密本地備份文件，安全專家建議使用額外的備份或第三方工具或其他不屬于Windows默認(rèn)配置的工具。這樣一來(lái)，惡意軟件將無(wú)法得知?jiǎng)h除備份的具體位置。而如果有員工感染了什么，也可以刪除它并從備份中恢復(fù)。

2. 隔離備份

受感染的系統(tǒng)與其備份之間的屏障越多，勒索軟件就越難進(jìn)入。一個(gè)常見(jiàn)的錯(cuò)誤是，用戶對(duì)備份使用了與其他地方相同的身份認(rèn)證方法。這樣一來(lái)，如果你的用戶賬戶被入侵，攻擊者要做的第一件事就是升級(jí)他們的特權(quán)，而一旦你的備份系統(tǒng)使用了相同的身份驗(yàn)證，它們就可以輕松接管一切。

而使用不同密碼的單獨(dú)身份驗(yàn)證系統(tǒng)會(huì)使此步驟變得更難實(shí)現(xiàn)。

3. 在多個(gè)位置保存多個(gè)備份副本（321原則）

要實(shí)現(xiàn)全面的數(shù)據(jù)保護(hù)，建議公司保存重要文件的三份不同的副本，使用至少兩種不同的備份方法，并且至少其中的一份需要被放在不同的位置：

3 份備份數(shù)據(jù)：也許有企業(yè)會(huì)認(rèn)為三份數(shù)據(jù)備份有點(diǎn)過(guò)度，但假設(shè)數(shù)據(jù)故障是獨(dú)立事件，同時(shí)遺失三份數(shù)據(jù)的機(jī)率便是百萬(wàn)分之一，并非是只有一份備份時(shí)的百份之一，這樣可大大提高可靠性。另一個(gè)需要多于兩份備份的原因，是可將主副本及備份存于不同地方。

存于2種不同媒介：用2種不同媒介保存可確保不會(huì)因?yàn)槭褂猛谎b置存儲(chǔ)數(shù)據(jù)而引起相同的故障。由于同一存儲(chǔ)方案的不同硬盤有可能連續(xù)發(fā)生故障，建議將數(shù)據(jù)存于至少2種存儲(chǔ)媒介，而且媒介需要位于不同地方。

1個(gè)備份存于異地：由于火災(zāi)等意外即可損壞所有硬本備份，一個(gè)近年普及的存儲(chǔ)選項(xiàng)是把數(shù)據(jù)存放于云端上，這個(gè)選項(xiàng)有其必要性。

4. 重要的事情說(shuō)三遍：測(cè)試，測(cè)試，測(cè)試你的備份

除非能夠可靠快速地恢復(fù)，否則備份沒(méi)有任何價(jià)值。許多公司在遭受攻擊之后，才發(fā)現(xiàn)自己的備份無(wú)法使用，或者過(guò)程太麻煩而無(wú)法實(shí)現(xiàn)恢復(fù)。如果備份程序無(wú)法以足夠的細(xì)粒度執(zhí)行備份或沒(méi)有備份目標(biāo)數(shù)據(jù)，有備份的企業(yè)也可能被迫支付贖金。例如，阿拉巴馬州的蒙哥馬利縣就因?yàn)閿?shù)據(jù)備份無(wú)法恢復(fù)被勒索軟件加密的文件的問(wèn)題，而被迫支付了500萬(wàn)美元贖金來(lái)最終恢復(fù)數(shù)據(jù)。

測(cè)試恢復(fù)過(guò)程包括確定數(shù)據(jù)丟失窗口。如果企業(yè)每周進(jìn)行一次完整備份，就可能損失一周的數(shù)據(jù)，因?yàn)樾枰獜纳弦粋€(gè)備份恢復(fù)。每天或每小時(shí)備份一次能大幅提高防護(hù)水平。更有細(xì)粒度的備份和盡早檢測(cè)勒索軟件都是防止損失的關(guān)鍵。

除了備份，我們要做的還有很多

如今，隨著技術(shù)的不斷發(fā)展，一些勒索軟件會(huì)故意放慢速度，或者在加密前處于休眠狀態(tài)，這兩種技術(shù)意味著將很難知道需要從備份中恢復(fù)到什么時(shí)間點(diǎn)。此外，預(yù)計(jì)勒索軟件還會(huì)繼續(xù)找到更好的方法來(lái)隱藏自己，使恢復(fù)工作變得更加困難。

我們最近還沒(méi)有看到像WannaCry和Petya這樣的全球大規(guī)模攻擊，但當(dāng)它真的發(fā)生時(shí)，就必然會(huì)造成極大的破壞。

而處理勒索軟件從來(lái)都并非易事，除了基本的備份工作之外，以下建議也將幫助您在面對(duì)勒索軟件攻擊時(shí)，最大程度地降低損害并防止攻擊：

借助“開(kāi)箱即用”的警報(bào)系統(tǒng)進(jìn)行數(shù)據(jù)審核和監(jiān)控——主要用于事件發(fā)生后的取證和事件響應(yīng);

啟用實(shí)時(shí)阻止——只是進(jìn)行威脅警報(bào)有時(shí)候已經(jīng)為時(shí)已晚。實(shí)時(shí)阻止可以進(jìn)一步防止攻擊。除了實(shí)時(shí)阻止之外，有能力隔離其系統(tǒng)受到威脅的用戶/主機(jī)也具有極大的優(yōu)勢(shì);

使用欺騙技術(shù)——處理勒索軟件最有效的方法之一是植入數(shù)據(jù)誘餌，讓黑客竊取/破壞，然后在其訪問(wèn)數(shù)據(jù)時(shí)發(fā)出警報(bào)/阻止。欺騙黑客并利用它來(lái)發(fā)揮自己的優(yōu)勢(shì);

執(zhí)行定期的發(fā)現(xiàn)和掃描計(jì)劃——識(shí)別敏感數(shù)據(jù)在網(wǎng)絡(luò)中的具體位置;

實(shí)施內(nèi)部威脅以及用戶和實(shí)體行為分析（UEBA）技術(shù)——查找針對(duì)數(shù)據(jù)的異常訪問(wèn)行為，尤其是那些有權(quán)訪問(wèn)它的人，包括粗心、受到威脅甚至惡意的內(nèi)部人員;

部署以數(shù)據(jù)為中心的整體解決方案——將解決方案與一個(gè)控制臺(tái)一起使用，可以集中保護(hù)并獲取有關(guān)文件、數(shù)據(jù)庫(kù)、web和其他勒索軟件攻擊的信息。

勒索軟件攻擊將愈演愈烈，防護(hù)之路勢(shì)必道阻且長(zhǎng)，面臨重壓的企業(yè)組織必須全方位完善自身的防御系統(tǒng)，以更好地面臨更加嚴(yán)峻的挑戰(zhàn)。
責(zé)編AJX