攻防战旷日持久，如何构建企业防御勒索病毒的神盾？

　　【全球存储观察 | 新闻速递】 勒索病毒攻击频繁，企业每11秒遭受一次勒索软件攻击，2021年3月，美国最大的保险公司之一CNA遭到勒索软件攻击后支付了4000万美元，约合人民币2.57亿元的赎金，成为迄今为止已经支付的数额最大赎金。
　　然而，这只是  ＂冰山一角＂  ，因为勒索病毒造成的全球损失，到目前已经高达1290亿元。
　　有分析机构统计发现，已有60%的组织受到过攻击。如此说来，构建企业有效防御勒索病毒攻击的  ＂神盾＂  ，势在必行。
　　＂神盾握在手！＂
　　＂勒索靠边走！＂
　　有矛就有盾，
　　如何提升对＂矛＂的认知？
　　在构建有效防御勒索病毒攻击的＂神盾＂之前，需要了解其攻击方式，认清＂矛＂的特点。
　　首先需要对勒索病毒的认知有所提升，当前来看，勒索病毒不仅针对 Windows系统，也针对Linux、VMware、Mac、安卓系统。
　　不仅针对个人电脑，也针对服务器、应用系统、NAS，以及工业互联网、移动设备等。
　　不仅针对企业系统，也针对政府、医疗、教育、能源、金融等重要行业领域。腾讯发布2021上半年勒索病毒趋势报告数据显示，各行业几乎都遭到了勒索病毒攻击，医疗行业以占比 18% ，成为勒索病毒攻击的重灾区之一。可见，众多行业领域用户构建勒索病毒防御体系更是势在必行。
　　从已经发生的勒索病毒攻击事件来分析其攻击行为与攻击方式看，勒索病毒攻击行为针对桌面数据主要包括了网页挂马、IE浏览器漏洞利用、文件共享、捆绑木马病毒和钓鱼邮件攻击；针对业务系统数据主要包括了文件共享、漏洞攻击、篡改第三方程序和黑客入侵攻击。从实际情况来看，桌面数据比业务系统数据更易受到勒索病毒攻击。
　　勒索病毒攻击原理主要分为两个方式，一是，赎金换秘钥的勒索。黑客利用勒索病毒发起攻击，针对企业的桌面数据和业务系统数据进行恶意加密，然后企业必须支付赎金，才能获得秘钥对加密数据进行恢复。
　　二是，不付赎金就公开企业机密数据的勒索。黑客利用勒索病毒发起攻击，窃取企业的桌面数据包括明文文档，回传机密数据到恶意代码服务器，然后威胁企业必须支付赎金，否则公开机密数据，造成企业不可估量的损失和行业负面影响。
　　针对这些勒索病毒的频繁攻击，许多企业想到了一些常见的防御手段。比如安装杀毒软件，并保持病毒库更新。定期开展漏洞扫描，和风险评估。及时更新操作系统，和应用系统。禁用U盘、移动硬盘等移动存储设备。避免对外网映射RDP服务，关闭网络文件共享。这些防御手段虽好，然而世界上没有绝对的安全，任何防御手段都有可能失效。
　　要知道，勒索病毒攻击愈发＂猖狂＂，就连企业用户的备份数据也成了攻击目标，这意味着企业数据保护的最后一道＂马奇诺防线＂面临崩溃。对＂矛＂的认知可算提高了，但这可如何对策才好呢？
　　爱数重磅发布2+2+1防勒索病毒整体解决方案，构筑坚固防线
　　无论针对桌面数据，还是针对业务系统数据，任何一道防线的失守，都将导致企业关键数据被加密或被盗窃，甚至带来企业的业务停顿与崩溃等不可估量的后果。
　　就此，需要从桌面数据和业务系统数据两道防线双管齐下，构建全面的防护体系。
　　基于对企业数据生命周期管理与保护的十年专注积累，爱数特别推出2+2+1防勒索病毒整体解决方案，其目的就是利用不可变存储技术帮助企业用户在防御勒索病毒上实现备份数据副本不可篡改。与此同时，实现桌面数据不泄露，实现数据快速恢复，最终构建起企业有效防御勒索病毒的＂神盾＂。
　　五道＂防毒神盾＂，
　　如何构建桌面数据防护战线？
　　针对桌面数据的勒索病毒防护战线方面，爱数防勒索病毒解决方案拥有五道＂神盾＂。
　　＂神盾＂一，上传限制，阻断勒索病毒在企业网络传播。
　　对于传统基于NAS、FTP等协议而言，其缺乏上传限制及杀毒能力文件共享，容易被黑客利用做共享传播。然而，AnyShare就完全不同了，通过文件格式限制及服务端杀毒，AnyShare可以阻断被勒索病毒篡改的文件及病毒程序的传播途径，从而构建了一道针对勒索病毒攻击的＂神盾＂。
　　＂神盾＂二，桌面数据防篡改，阻止勒索病毒攻击。
　　AnyShare拥有备受对象存储用户关注的文档WORM特性，允许用户以＂不可删除、不可篡改＂方式保存和使用数据。这个特性正好为防御勒索病毒攻击带来了很强的＂免疫力＂。当勒索病毒尝试删除或篡改受保护用户桌面数据时，只有受攻击的桌面数据副本会受到影响，服务端的数据将不受影响，从而构建了又一道针对勒索病毒攻击的＂神盾＂。
　　＂神盾＂三，桌面数据加密，无惧公开威胁。
　　从服务端缓存到用户桌面，通过本地DLP数据泄密防护（Data leakage prevention）客户端对明文数据进行加密，即便遭遇黑客回传也不惧敏感数据公开。此外，针对加密副文档，也可以通过服务端直接下载加密后的＂加密副文档＂，即使桌面未及时安装DLP客户端，也同样可以实现对桌面数据的加密保护。针对桌面数据进行加密保护，从而构建了又一道针对勒索病毒攻击的＂神盾＂。
　　＂神盾＂四，勒索行为实时告警与阻断。
　　AnyRobot配合AnyShare，不仅可以实现操作日志的实时接入，同时实时检测和识别勒索病毒行为，及时告警通知用户，并第一时间阻断勒索行为，从而又构建了一道针对勒索病毒攻击的＂神盾＂。
　　＂神盾＂五，桌面数据删除还原，无惧数据丢失。
　　借助AnyShare的系统回收站功能，当企业遭遇勒索病毒攻击并大量删除本地文件时，可以通过AnyShare二级回收站对所有被删除的文件进行还原。与此同时，AnyShare也有追溯历史版本的功能，被勒索病毒篡改的文档，可以通过历史版本进行还原。另外再借助AnyRobot可观测性功能，通过AnyRobot可观测性对行为日志进行分析，确认勒索病毒攻击行为最初发生的时间点，以便快速恢复业务。这三个有效手段的结合，有助于桌面数据删除还原，从而又构建了一道针对勒索病毒攻击的＂神盾＂。
　　在五道＂神盾＂层层叠叠的防护之下，企业的桌面数据自然不惧黑客利用勒索病毒对其攻击，以及进行数据篡改、加密或泄露。
　　备份数据＂防篡改＂，
　　超强＂神盾＂夯实业务数据防护战线
　　针对业务系统数据的勒索病毒防护战线方面，爱数防勒索病毒解决方案拥有超强＂神盾＂。
　　一般情况下，企业的业务系统遭受勒索病毒的攻击，除了数据备份之外，数据恢复便成为了业务系统抵御勒索病毒攻击的最后一道防线。
　　既然要实现有效的数据快速恢复，那么必然需要考虑恢复的数据本身要有效，不能被黑客篡改。AnyBackup具有最小的RPO和RTO特点，拥有备份数据的防篡改能力。这里值得一提的黑科技就是不可变存储，实现了存储进程内核级认证，有效拦截非认证进程的读写I/O，并且还是系统内核拦截，黑客无法绕行。同时该功能实现过程中的性能损耗仅在1%以内。可见，不可变存储技术非常有助于企业实现备份数据的防篡改能力。
　　同时AnyBackup还为用户提供全栈数据的勒索病毒防护能力，以及支持远程复制、数据上云、归档的能力。AnyBackup构建的高性能备份恢复框架，为用户实现分钟级挂载恢复。从而，这些能力的结合，为企业又构建了一道针对勒索病毒攻击的超强＂神盾＂。
　　在面向AnyShare和VMware被勒索病毒攻击场景中，爱数构建的这道超强＂神盾＂，可以帮助企业有效防护业务系统数据遭受勒索病毒的攻击与破坏。
　　在面向AnyShare防勒索病毒场景下，AnyBackup对AnyShare发起应用级的数据备份能力，其中包含对象存储、业务数据(数据库)、OSS网关的元数据(NOSQL) 。当Anyshare遭遇勒索病毒感染，AnyBackup可将之前备份的AnyShare对象存储数据、业务数据、OSS网关的元数据恢复回去，并高效完成。
　　在面向VMware防勒索病毒场景下，当前服务器虚拟化与云计算普及，VMware场景是广大企业用户比较普遍的存在。黑客通过VMware远程漏洞进行攻击，将虚拟磁盘以及虚拟机的相关配置文件加密，虚拟机因此无法启动，导致业务宕机。
　　为此，AnyBackup可以对VMware场景下的虚拟机备份，并保留虚拟机源生配置信息和虚拟磁盘数据，每次备份完成后，都会产生快照。
　　当VMware平台遭遇勒索病毒感染，AnyBackup可将备份数据挂载至VMware平台，并注册虚拟机， 以达到快速恢复业务效果。
　　小结：双管齐下，无惧勒索
　　当然，任何一种解决方案要行之有效，实现真正的落地，还需要注意一些细节。为此，爱数给出了三大建议。
　　一是，严格执行3-2-1备份原则，即存储3份完整文件，一份原件加上两份拷贝；在2种不同的介质上存储；将1份拷贝保存在异地。
　　二是，制定应急响应机制，开展灾难恢复演练。
　　三是，定期检查和更新防勒索病毒方案，让方案保持攻防的有效性。
　　在针对勒索病毒这场旷日持久的攻防战中，众多的企业用户不仅需要借助爱数领先的＂2+2+1＂防勒索病毒整体解决方案保护自己，聚焦桌面数据和业务系统数据两道防线＂双管齐下＂，构建企业高效的＂防毒神盾＂。同时，也需要不断提升防范意识，形成完善的防御体系与机制，真正实现 ＂备享安全，无惧勒索＂ 。
　　- END-
　　你
　　怎
　　么
　　看
　　？
　　欢迎文末评论补充！
　　【全球存储观察】本文和作者回复仅代表个人观点，不构成任何投资建议。
　　【阿明】：科技评论专栏作家、科技媒体从业24年、新闻评论年产出上百万字，用数据说话，带你看懂科技公司。
　　技评论专栏作家、科技媒体从业24年、新闻评论年产出上百万字，用数据说话，带你看懂科技公司