“勒索软件”最近的出镜率似乎大有提高,报纸、杂志、信息安全报告以及其他所有警示人们信息安全威胁的地方都能看到它的身影。我们也许会将2016年称为”勒索软件年”,但和2017年相比却不值一提。在相对平静的2018、2019年之后,2020年勒索软件再次登上新闻头条。
我们的企业博客发布了数十篇关于勒索软件的文章,几乎所有文章都提出了以下三条建议:
- 使用可靠的保护措施;
- 避免从可疑网站上下载可疑文件,或打开可疑人员发来邮件中的可疑附件,并对员工进行相关主题的培训;
- 定期备份数据。
然而,我不时听到这样的反对意见:保护程序和提升员工意识是很好的防护措施,但是,当我们可以定期备份所有内容时,为什么还要大费心思加强防护和进行员工培训呢?如果我们被勒索软件攻击,我们只需要恢复所有文件,难道不是吗?
那么接下来让我向你解释,为什么备份不能解决所有的问题。
备份必须可恢复
备份当然是必要的,但你是否尝试过利用备份恢复公司的基础结构呢?这实际上可能比听起来复杂得多,并且你拥有的计算机和基础架构异构性越多,恢复备份就越困难。经验丰富的IT专家可能都遇到过备份无法完全还原所有内容的情况,或者恢复结果不完全如意。毫无疑问,整个流程也没有他们期望的那么快,而且有时备份根本不起作用。
曾经使用过备份工具的人都知道,他们必须定期检查备份的完整性,在临时环境中测试服务器的恢复,并且总体上确保在必要时进行恢复的时间不会花费过长时间。如果你从未尝试过恢复备份的人,那么你不应该小看这项任务,因为你无法保证在危急情况下备份可以立马发挥作用。
过分依赖备份还可能遇到另一个问题:如果备份服务器位于网络边界内部,那么勒索软件会将它与所有其他计算机一起加密,这意味着备份恢复计划完全不起到任何作用。
最起码应对措施:通过设置网络边界,合理规划备份并定期测试恢复备份,从而最大化快速回滚系统的可能性。
恢复备份意味着宕机,而宕机的代价很大
对于有各种设备和基础架构的大公司,快速恢复几乎是不可能的任务。即便备份功能完美运行而且你也倾尽全力恢复所有内容,整个流程仍然需要花费一定的时间。
在这几周时间里(是的,可能是几周而不是几天),公司的业务将受到极大影响。有人估猜宕机造成的损失会少于支付给勒索者的赎金(我们强烈建议不要这样做)。无论是恢复备份还是支付赎金,遭受勒索软件攻击后的宕机是不可避免的。即使网络犯罪分子良心发现为你提供解密程序,解密并重新运行所有系统也需要花费时间。在现实生活中,别指望网络不法分子会如此客气,而且解密器也不一定能如预期中那样起作用。
最起码的应对措施:要想避免勒索软件导致的宕机,你应该尽力避免感染勒索病毒。(但如何不被感染?答案是做好防护措施以及员工意识培训!)
现代勒索软件不仅仅是加密器那么简单
勒索软件犯罪团伙过去主要以终端客户为目标,并索要价值约300美元的加密货币作为解密赎金。然而,他们现在意识到了攻击企业的收益更大,企业会(至少更可能)支付巨额赎金。一些网络不法分子为了利益无所顾忌地攻击医疗组织。今年许多医院受到了攻击,包括最近一家负责新冠病毒疫苗供应链的公司。
现如今,勒索软件不仅仅只有加密那么简单,它潜伏在网络中并窃取发现的所有数据。随后,犯罪团伙会分析数据并以加密或(和)泄漏数据来威胁企业。勒索软件的信息可能声称,拒绝支付将导致客户个人数据或公司商业机密被公开。即便这些数据可能并非十分关键,这也会对公司的声誉造成伤害,甚至可能是永久性的。同时,这样的数据泄露可能会导致公司与《通用数据保护条例》的合规监管机构等进行一些非常不愉快的对话。如果入侵者执意泄漏公司机密或用户个人数据,备份并不会起到任何作用。此外,如果你将备份储存在云服务,内部人员相对来说会比较容易访问这些数据,理论上他们可能向攻击者提供勒索你所需要的信息。
最起码的应对措施:备份十分必要,但是仅仅依靠备份无法保护你的企业免受勒索软件的攻击。
防范勒索软件的三个要点
再次提醒,因为没有专门针对勒索软件的工具,我们仍然建议备份,但必须通过正确的方式进行备份,并且需要一定的投入以及多次备份恢复演练。所谓的投入包括了解备份的具体细节:备份的频率及其存储位置。所有负责相关事项的员工必须知道具体如何快速地重新启动对系统的操作。
保护措施也必不可少,不仅需要应急响应,还需要主动保护,避免安全威胁在网络中拥有立足之地。同样重要的是,要对员工进行网络安全基本常识的训练,并定期检测他们所学的知识。
简而言之,企业的网络安全归结为三个词:备份、保护和意识。这三点都需要落实到位,然后你便可以自信地宣布你正在使用最佳的抵御勒索软件安全策略。