勒索病毒已經(jīng)成為最大的網(wǎng)絡(luò)安全威脅之一。《Veeam 2020年數(shù)據(jù)保護(hù)趨勢(shì)報(bào)告》指出，網(wǎng)聯(lián)化導(dǎo)致的停機(jī)情況最多，而勒索病毒已成為組織最大的擔(dān)憂(yōu)。近年來(lái)，國(guó)內(nèi)企業(yè)遭到勒索病毒攻擊的事件層出不窮。2019年5月26日，易到用車(chē)服務(wù)器被黑客攻擊，APP完全癱瘓，被黑客索要巨額比特幣。2020年3月26日，京東等網(wǎng)站遭到中間人劫持攻擊，多個(gè)省市區(qū)受影響，涉及所有運(yùn)營(yíng)商。2020年4月27日，B站知名UP主“黨妹”遭勒索攻擊，數(shù)百G視頻素材丟失損失慘重。

面對(duì)勒索病毒的來(lái)勢(shì)洶洶，組織需要意識(shí)到這一威脅，并做好準(zhǔn)備、防御和補(bǔ)救措施。這是至關(guān)重要的一步，可以避免以后在受到勒索病毒攻擊期間發(fā)生計(jì)劃外的響應(yīng)或無(wú)效響應(yīng)。處理勒索病毒需擁有強(qiáng)大、多層次的防御和策略，它們由三個(gè)關(guān)鍵因素組成：培訓(xùn)、實(shí)施和補(bǔ)救。此外，擁有超強(qiáng)的備份、恢復(fù)和還原數(shù)據(jù)的方法，對(duì)于在事件發(fā)生時(shí)保護(hù)業(yè)務(wù)連續(xù)性至關(guān)重要。

培訓(xùn)業(yè)務(wù)相關(guān)者

培訓(xùn)應(yīng)該針對(duì)兩個(gè)主要受眾：IT人員和組織中的用戶(hù)。同時(shí)針對(duì)這兩個(gè)群體開(kāi)展培訓(xùn)非常重要，因?yàn)檫@兩種角色都可能帶來(lái)威脅。

勒索病毒的主要切入點(diǎn)是通過(guò)遠(yuǎn)程桌面協(xié)議(RDP)或其它遠(yuǎn)程訪問(wèn)機(jī)制、網(wǎng)絡(luò)釣魚(yú)和軟件更新。簡(jiǎn)而言之，在大多數(shù)情況下，網(wǎng)絡(luò)黑客并沒(méi)有付出與高額回報(bào)相應(yīng)的努力。從攻擊媒介的角度出發(fā)，了解這三種主要機(jī)制，對(duì)于了解應(yīng)該在哪些范圍投入最大努力以確保業(yè)務(wù)彈性非常有幫助。

大多數(shù)IT管理員將RDP用于日常工作，許多RDP服務(wù)器直接連接到網(wǎng)絡(luò)?，F(xiàn)實(shí)情況是，必須停止與網(wǎng)絡(luò)連接的RDP。IT管理員可以在特殊的IP地址、重定向RDP端口和復(fù)雜的密碼等方面發(fā)揮創(chuàng)造力，但一半以上的勒索病毒是通過(guò)RDP傳入的。這告訴我們，將RDP服務(wù)器暴露于網(wǎng)上并不符合具有前瞻性的勒索病毒彈性策略。

另一種常見(jiàn)的潛入方式是通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件。我們都收到過(guò)看起來(lái)不正常的郵件，正確的做法是刪除該項(xiàng)。但是，并非每個(gè)用戶(hù)都以相同的方式處理這些情況。有一些熱門(mén)工具可以評(píng)估組織的網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)，如Gophish和KnowBe4等。結(jié)合幫助員工識(shí)別網(wǎng)絡(luò)釣魚(yú)電子郵件或鏈接的培訓(xùn)，自我評(píng)估工具可以成為有效的第一道防線。

第三種潛入方式是利用漏洞的風(fēng)險(xiǎn)。使系統(tǒng)保持更新不僅是一項(xiàng)傳統(tǒng)的IT責(zé)任，也比以往任何時(shí)候都重要。盡管這不是一項(xiàng)艱巨的任務(wù)，但如果勒索病毒利用已知和已修補(bǔ)的漏洞，對(duì)黑客來(lái)說(shuō)似乎是一項(xiàng)不錯(cuò)的交易。請(qǐng)注意及時(shí)更新關(guān)鍵IT資產(chǎn)類(lèi)別：操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)和設(shè)備固件。包括WannaCry和Petya在內(nèi)的許多勒索病毒都基于以前發(fā)現(xiàn)且已糾正的漏洞。

實(shí)施和補(bǔ)救

即使是遵循最佳實(shí)踐來(lái)防止遭受勒索病毒侵害的組織，也面臨著風(fēng)險(xiǎn)。盡管培訓(xùn)是至關(guān)重要的一步，但組織必須為最壞的情況做準(zhǔn)備。這對(duì)于IT和業(yè)務(wù)領(lǐng)導(dǎo)者來(lái)說(shuō)有一個(gè)好處，那就是擁有一種富有彈性的備份存儲(chǔ)。

在Veeam，我們提倡將3-2-1規(guī)則作為通用數(shù)據(jù)管理策略。3-2-1規(guī)則建議在至少兩種不同類(lèi)型的介質(zhì)上至少應(yīng)有三份重要數(shù)據(jù)副本，其中至少有一份副本不在線上。該規(guī)則最大的好處是，它不需要任何特定類(lèi)型的硬件，并且通用性足以解決幾乎所有的故障情況。

3-2-1策略中的“1個(gè)”副本必須具有強(qiáng)大彈性，即“網(wǎng)閘式離線數(shù)據(jù)存儲(chǔ)”、“離線”或“不可變”。不同形式的媒介可以以超級(jí)彈性的方式存儲(chǔ)該數(shù)據(jù)副本，包括磁帶介質(zhì)、與S3或S3兼容的對(duì)象存儲(chǔ)中的不可變備份、網(wǎng)閘式離線數(shù)據(jù)存儲(chǔ)和脫機(jī)介質(zhì)，或備份和災(zāi)難恢復(fù)的軟件即服務(wù)。

盡管有這些培訓(xùn)和技術(shù)實(shí)施，但萬(wàn)一病毒潛入，組織仍必須準(zhǔn)備好補(bǔ)救。在Veeam，我們的方法很簡(jiǎn)單。不要支付贖金，唯一的選擇就是恢復(fù)數(shù)據(jù)。此外，當(dāng)發(fā)現(xiàn)威脅時(shí)，組織需要計(jì)劃應(yīng)對(duì)措施。第一步是與支持人員聯(lián)系。Veeam客戶(hù)可以聯(lián)系專(zhuān)門(mén)的團(tuán)隊(duì)來(lái)指導(dǎo)他們?cè)诶账鞑《臼录腥绾位謴?fù)數(shù)據(jù)。請(qǐng)勿將備份置于危險(xiǎn)之中，因?yàn)樗鼈儗?duì)您的恢復(fù)能力至關(guān)重要。

在任何類(lèi)型的災(zāi)難中，溝通都是需要克服的首要挑戰(zhàn)之一。組織需要制定如何與團(tuán)隊(duì)之外的合適人員進(jìn)行溝通的計(jì)劃。這將包括文本群發(fā)列表、電話號(hào)碼或其他通常用于協(xié)調(diào)擴(kuò)展團(tuán)隊(duì)之間的通信機(jī)制。在此通訊錄中，您還需要內(nèi)部或外部的安全專(zhuān)家、事件響應(yīng)專(zhuān)家和身份管理專(zhuān)家。

對(duì)于決策權(quán)限也需要進(jìn)行籌劃。企業(yè)必須在事件發(fā)生之前決定由誰(shuí)負(fù)責(zé)進(jìn)行恢復(fù)或故障轉(zhuǎn)移。一旦做出恢復(fù)決定，組織就需要進(jìn)行額外的安全檢查，然后才能使系統(tǒng)恢復(fù)在線狀態(tài)。組織還必須確定整個(gè)虛擬機(jī)恢復(fù)是否為最佳操作方案，或者文件級(jí)恢復(fù)是否更有意義。最后，恢復(fù)過(guò)程本身必須是安全的，在所有系統(tǒng)上進(jìn)行全面的防病毒和反惡意軟件檢查，并強(qiáng)制用戶(hù)在恢復(fù)后更改密碼。

綜上所述，盡管勒索病毒的威脅確實(shí)存在，但通過(guò)適當(dāng)?shù)臏?zhǔn)備工作，組織可以提高對(duì)事件的抵御能力，以最大程度地降低數(shù)據(jù)丟失、財(cái)務(wù)損失和聲譽(yù)受損的風(fēng)險(xiǎn)。這就需要通過(guò)培訓(xùn)、實(shí)施和補(bǔ)救這三大策略來(lái)解決問(wèn)題。首先，應(yīng)該對(duì)您的IT團(tuán)隊(duì)和員工進(jìn)行培訓(xùn)，以最大程度地降低風(fēng)險(xiǎn)和預(yù)防。其次，需要很好地執(zhí)行解決方案以確保數(shù)據(jù)的安全和備份。最后，如果您之前的防御措施失敗了，請(qǐng)準(zhǔn)備好通過(guò)完整的備份和災(zāi)難恢復(fù)功能來(lái)修復(fù)數(shù)據(jù)系統(tǒng)。

（本文由Veeam產(chǎn)品戰(zhàn)略高級(jí)總監(jiān)Rick Vanover和Veeam中國(guó)區(qū)總經(jīng)理張弘聯(lián)合撰寫(xiě)）