除新冠肺炎疫情之外，勒索軟件已成為全球經(jīng)濟面臨的嚴重威脅之一。Gartner的調(diào)查研究數(shù)據(jù)表明，企業(yè)遭遇攻擊早已不再是“會否”的問題，而只是“何時”的問題。

Gartner預(yù)測，到2025年，75%的企業(yè)將面臨一次或多次攻擊。由于勒索軟件團伙采取更加激進的戰(zhàn)術(shù)勒索贖金，美國國家安全機構(gòu)發(fā)現(xiàn)，2020年遭勒索企業(yè)平均贖金支出已高達20萬美元。

針對企業(yè)的大規(guī)模勒索軟件攻擊頻頻見諸報端，咨詢公司埃森哲就是新鮮出爐的受害者。美國是此類攻擊的高發(fā)地區(qū)，勒索軟件攻擊占美國所有網(wǎng)絡(luò)攻擊的30%，是全球比例的兩倍多。

[[437998]]

為什么勒索軟件攻擊狀況如今更加嚴峻?

安全專家普遍的說法是，新冠肺炎疫情及其導(dǎo)致的封城和居家辦公，為黑客創(chuàng)造了誘人的新機會。

員工有時會使用不安全的個人設(shè)備和網(wǎng)絡(luò)，通過很容易入侵的遠程桌面協(xié)議軟件訪問辦公電腦，或者通過往往配置錯誤或防護不當?shù)奶摂M專用網(wǎng)接入辦公系統(tǒng)。這就導(dǎo)致即使是具有大量IT預(yù)算和大型安全團隊的大企業(yè)，也會遭遇漏洞完美風暴。而且，勒索軟件攻擊還變得越來越復(fù)雜。

勒索軟件攻擊如今發(fā)展出了多個階段，從滲透網(wǎng)絡(luò)到盜取登錄憑證，再到攻擊備份系統(tǒng)。在為期數(shù)周到數(shù)月的整個攻擊過程中，不到最后有人突然發(fā)現(xiàn)文件被加密鎖定無法使用，公司通常不會發(fā)覺自己遭到了攻擊。

勒索軟件攻擊會對數(shù)據(jù)存儲造成怎樣的影響?

勒索軟件攻擊團伙會襲擊所有IT基礎(chǔ)設(shè)施，不僅僅是服務(wù)器和應(yīng)用。ESET發(fā)布的勒索軟件報告顯示，2021年，附網(wǎng)存儲(NAS)設(shè)備制造商QNAP向其客戶發(fā)出警報稱，eCh0raix正在攻擊其NAS設(shè)備，尤其是使用弱口令的NAS設(shè)備。

這一前景實在不容樂觀，因為數(shù)據(jù)增長是爆炸性的，而80%的企業(yè)數(shù)據(jù)現(xiàn)在基本上是非結(jié)構(gòu)化文件數(shù)據(jù)，要么位于NAS存儲，要么存放在云端。

非結(jié)構(gòu)化文件數(shù)據(jù)面臨勒索軟件挑戰(zhàn)

由于規(guī)模巨大、格式多樣且增長迅速，文件數(shù)據(jù)保護相當棘手。IT部門必須制定多層策略，也就是說，除了保存本地備份副本，還必須在云端等不會被感染的其他地方單獨保存一份額外的副本。

但如今，我們討論的是天價遭攻擊成本。很多企業(yè)的文件數(shù)據(jù)規(guī)模已達PB級，而1PB往往意味著幾十億個文件。公司本就難以備份所有這些數(shù)據(jù)。再添加一份額外的副本，可能會讓首席財務(wù)官相當頭痛。

萬幸，我們還可以創(chuàng)建經(jīng)濟高效的多層策略。方法如下：

1. 重視可見性與審計

早期檢測勒索軟件是一個很好的目標，可以通過在企業(yè)各個網(wǎng)絡(luò)和基礎(chǔ)設(shè)施上監(jiān)測操作行為和識別威脅與異常活動來實現(xiàn)。采用非結(jié)構(gòu)化數(shù)據(jù)管理工具分析數(shù)據(jù)使用，可以揭示文件可疑操作，比如文件讀取和寫入次數(shù)異常。盡管早期檢測可作為理想防線，但并非萬無一失，因為勒索軟件攻擊也在不斷進化。存儲管理器應(yīng)具有分析數(shù)據(jù)儀表盤，顯示內(nèi)部和云端各個位置所有數(shù)據(jù)使用的關(guān)鍵指標。大部分(80%)文件數(shù)據(jù)通常都是冷數(shù)據(jù)，一年多沒用過的那種。想要創(chuàng)建經(jīng)濟高效的多層防御策略，關(guān)鍵在于知道哪些數(shù)據(jù)是經(jīng)常使用的熱數(shù)據(jù)，而哪些是不經(jīng)常使用的冷數(shù)據(jù)。

2. 創(chuàng)建多層數(shù)據(jù)管理防御

• 熱數(shù)據(jù)快照與備份。快照與備份能夠在數(shù)據(jù)更新時跟蹤記錄數(shù)據(jù)的各項變更。經(jīng)常使用的熱數(shù)據(jù)需要快照與備份來防止用戶誤操作或系統(tǒng)故障導(dǎo)致的損失。但快照和備份也會遭到勒索軟件攻擊，如果很多天都沒有檢測出來，那它們“保護”的可能就是已損壞的數(shù)據(jù)了。想要抵御勒索軟件，我們還需要在單獨的物理位置，比如云端，再存上一份不可變(無法重寫)的數(shù)據(jù)副本。快照和備份可不便宜，所以我們只這么備份通常僅占總量20%的熱數(shù)據(jù)。

• 冷數(shù)據(jù)云分層和不可變存儲。不應(yīng)對所有數(shù)據(jù)一視同仁是現(xiàn)代數(shù)據(jù)管理的箴言之一。數(shù)據(jù)管理可不能搞民主。通過將冷數(shù)據(jù)從頂級NAS分層到云端對象鎖定存儲，我們就能以很少的成本獲得冷文件數(shù)據(jù)的不可變副本。勒索軟件無法重寫這一副本。將冷數(shù)據(jù)轉(zhuǎn)移到對象存儲還能減少備份占用的空間，可以在減少備份許可成本的同時，再加上一道勒索軟件防線。當然，你還可以創(chuàng)建異地(DR)磁帶數(shù)據(jù)備份。不過，這樣的話，恢復(fù)時間就會長上許多了。而且，在云時代，物理備份解決方案的吸引力早已不如從前。

3. 制定計劃并加以驗證

前兩項就位后，團隊應(yīng)制定可行的計劃來應(yīng)對攻擊場景。不要等到黑客成功鎖定文件/系統(tǒng)并在電腦前笑等贖金入賬的時候才來驗證自己的計劃是否可行。必須記錄和測試計劃，確保能通過快速恢復(fù)和替代數(shù)據(jù)訪問方法來保護數(shù)據(jù)，這樣才能在不中斷業(yè)務(wù)或支付大筆贖金的情況下保持業(yè)務(wù)正常運行。

抵御勒索人人有責

與勒索軟件的斗爭正從安全團隊擴展到企業(yè)IT的各個方面，包括數(shù)據(jù)存儲。通過非結(jié)構(gòu)化數(shù)據(jù)管理，存儲專業(yè)人員可以采用多層防御策略來輔助安全同事的工作。這種策略始于跨所有存儲的實時可見性，并納入了快照、備份和對象鎖定云存儲。企業(yè)網(wǎng)絡(luò)安全團隊會對此感激不盡的。

隨著網(wǎng)絡(luò)犯罪團伙愈加激進，隨著他們的攻擊手段不斷推陳出新，數(shù)據(jù)管理專業(yè)人員需要通過更為細致入微的災(zāi)難恢復(fù)計劃加強防范。