勒索病毒已經(jīng)成為最大的網(wǎng)絡安全威脅之一。《Veeam 2020年數(shù)據(jù)保護趨勢報告》指出，網(wǎng)聯(lián)化導致的停機情況最多，而勒索病毒已成為組織最大的擔憂。近年來，國內(nèi)企業(yè)遭到勒索病毒攻擊的事件層出不窮。2019年5月26日，易到用車服務器被黑客攻擊，APP完全癱瘓，被黑客索要巨額比特幣。2020年3月26日，京東等網(wǎng)站遭到中間人劫持攻擊，多個省市區(qū)受影響，涉及所有運營商。2020年4月27日，B站知名UP主“黨妹”遭勒索攻擊，數(shù)百G視頻素材丟失損失慘重。

面對勒索病毒的來勢洶洶，組織需要意識到這一威脅，并做好準備、防御和補救措施。這是至關重要的一步，可以避免以后在受到勒索病毒攻擊期間發(fā)生計劃外的響應或無效響應。處理勒索病毒需擁有強大、多層次的防御和策略，它們由三個關鍵因素組成：培訓、實施和補救。此外，擁有超強的備份、恢復和還原數(shù)據(jù)的方法，對于在事件發(fā)生時保護業(yè)務連續(xù)性至關重要。

培訓業(yè)務相關者

培訓應該針對兩個主要受眾：IT人員和組織中的用戶。同時針對這兩個群體開展培訓非常重要，因為這兩種角色都可能帶來威脅。

勒索病毒的主要切入點是通過遠程桌面協(xié)議(RDP)或其它遠程訪問機制、網(wǎng)絡釣魚和軟件更新。簡而言之，在大多數(shù)情況下，網(wǎng)絡黑客并沒有付出與高額回報相應的努力。從攻擊媒介的角度出發(fā)，了解這三種主要機制，對于了解應該在哪些范圍投入最大努力以確保業(yè)務彈性非常有幫助。

大多數(shù)IT管理員將RDP用于日常工作，許多RDP服務器直接連接到網(wǎng)絡。現(xiàn)實情況是，必須停止與網(wǎng)絡連接的RDP。IT管理員可以在特殊的IP地址、重定向RDP端口和復雜的密碼等方面發(fā)揮創(chuàng)造力，但一半以上的勒索病毒是通過RDP傳入的。這告訴我們，將RDP服務器暴露于網(wǎng)上并不符合具有前瞻性的勒索病毒彈性策略。

另一種常見的潛入方式是通過網(wǎng)絡釣魚郵件。我們都收到過看起來不正常的郵件，正確的做法是刪除該項。但是，并非每個用戶都以相同的方式處理這些情況。有一些熱門工具可以評估組織的網(wǎng)絡釣魚風險，如Gophish和KnowBe4等。結合幫助員工識別網(wǎng)絡釣魚電子郵件或鏈接的培訓，自我評估工具可以成為有效的第一道防線。

第三種潛入方式是利用漏洞的風險。使系統(tǒng)保持更新不僅是一項傳統(tǒng)的IT責任，也比以往任何時候都重要。盡管這不是一項艱巨的任務，但如果勒索病毒利用已知和已修補的漏洞，對黑客來說似乎是一項不錯的交易。請注意及時更新關鍵IT資產(chǎn)類別：操作系統(tǒng)、應用程序、數(shù)據(jù)庫和設備固件。包括WannaCry和Petya在內(nèi)的許多勒索病毒都基于以前發(fā)現(xiàn)且已糾正的漏洞。

實施和補救

即使是遵循最佳實踐來防止遭受勒索病毒侵害的組織，也面臨著風險。盡管培訓是至關重要的一步，但組織必須為最壞的情況做準備。這對于IT和業(yè)務領導者來說有一個好處，那就是擁有一種富有彈性的備份存儲。

在Veeam，我們提倡將3-2-1規(guī)則作為通用數(shù)據(jù)管理策略。3-2-1規(guī)則建議在至少兩種不同類型的介質(zhì)上至少應有三份重要數(shù)據(jù)副本，其中至少有一份副本不在線上。該規(guī)則最大的好處是，它不需要任何特定類型的硬件，并且通用性足以解決幾乎所有的故障情況。

3-2-1策略中的“1個”副本必須具有強大彈性，即“網(wǎng)閘式離線數(shù)據(jù)存儲”、“離線”或“不可變”。不同形式的媒介可以以超級彈性的方式存儲該數(shù)據(jù)副本，包括磁帶介質(zhì)、與S3或S3兼容的對象存儲中的不可變備份、網(wǎng)閘式離線數(shù)據(jù)存儲和脫機介質(zhì)，或備份和災難恢復的軟件即服務。

盡管有這些培訓和技術實施，但萬一病毒潛入，組織仍必須準備好補救。在Veeam，我們的方法很簡單。不要支付贖金，唯一的選擇就是恢復數(shù)據(jù)。此外，當發(fā)現(xiàn)威脅時，組織需要計劃應對措施。第一步是與支持人員聯(lián)系。Veeam客戶可以聯(lián)系專門的團隊來指導他們在勒索病毒事件中如何恢復數(shù)據(jù)。請勿將備份置于危險之中，因為它們對您的恢復能力至關重要。

在任何類型的災難中，溝通都是需要克服的首要挑戰(zhàn)之一。組織需要制定如何與團隊之外的合適人員進行溝通的計劃。這將包括文本群發(fā)列表、電話號碼或其他通常用于協(xié)調(diào)擴展團隊之間的通信機制。在此通訊錄中，您還需要內(nèi)部或外部的安全專家、事件響應專家和身份管理專家。

對于決策權限也需要進行籌劃。企業(yè)必須在事件發(fā)生之前決定由誰負責進行恢復或故障轉移。一旦做出恢復決定，組織就需要進行額外的安全檢查，然后才能使系統(tǒng)恢復在線狀態(tài)。組織還必須確定整個虛擬機恢復是否為最佳操作方案，或者文件級恢復是否更有意義。最后，恢復過程本身必須是安全的，在所有系統(tǒng)上進行全面的防病毒和反惡意軟件檢查，并強制用戶在恢復后更改密碼。

綜上所述，盡管勒索病毒的威脅確實存在，但通過適當?shù)臏蕚涔ぷ鳎M織可以提高對事件的抵御能力，以最大程度地降低數(shù)據(jù)丟失、財務損失和聲譽受損的風險。這就需要通過培訓、實施和補救這三大策略來解決問題。首先，應該對您的IT團隊和員工進行培訓，以最大程度地降低風險和預防。其次，需要很好地執(zhí)行解決方案以確保數(shù)據(jù)的安全和備份。最后，如果您之前的防御措施失敗了，請準備好通過完整的備份和災難恢復功能來修復數(shù)據(jù)系統(tǒng)。

（本文由Veeam產(chǎn)品戰(zhàn)略高級總監(jiān)Rick Vanover和Veeam中國區(qū)總經(jīng)理張弘聯(lián)合撰寫）