面對勒索軟件 如何保護數(shù)據(jù)備份安全��?
盡管近期攻擊事件有所減少,但勒索軟件仍然對企業(yè)構(gòu)成了重大威脅�,尤其是勒索軟件編寫者意識到備份是一種有效的防御措施,并且正在修改其惡意軟件以追蹤并消除備份�。
勒索軟件攻擊下降,但并沒有消失
McAfee報告稱��,去年惡意軟件和樣本的數(shù)量都有所下降���。根據(jù)最新的報告�,2018年第三季度�,勒索軟件樣品數(shù)量還不到2017年底峰值的一半,當時的峰值約為230萬件�。卡巴斯基實驗室數(shù)據(jù)顯示��,在過去一年里���,76.5萬名卡巴斯基用戶受到了加密文件的惡意軟件攻擊�,相比之下,有500多萬人受到了密碼破解者的攻擊���。
Bitdefender的威脅研究主管Bogdan Botezatu表示�,勒索軟件攻擊減少的主要原因是安全公司在防御方面的能力越來越強��。他表示:“勒索軟件總會有新版本�,有些會比其他版本更復(fù)雜,更難捕獲�,但我們預(yù)計,勒索軟件的比例不會再有大規(guī)模的增加��,至少不會比去年大�。”
Malwarebytes惡意軟件情報主管Adam Kujawa表示:“幾年來���,勒索軟件一直是最大的威脅��,但現(xiàn)在已經(jīng)大幅下降��?��!辈贿^,他說��,勒索軟件正在不斷發(fā)展�。例如,惡意軟件作者正在利用最新的漏洞��,比如美國國家安全局(NSA)泄露的漏洞��。他說:“我們看到這些病毒在很多惡意軟件家族中都有出現(xiàn)���?!薄爱斈闶褂眠@種攻擊時���,如果你感染了一個系統(tǒng)�,你可以通過使用這些攻擊橫向移動�。你創(chuàng)造了一個更大的目標——這是我們肯定會看到的趨勢?��!?
針對備份的勒索軟件
Kujawa表示��,勒索軟件現(xiàn)在會刪除它在這個過程中遇到的任何備份�。例如��,勒索軟件的常見策略是刪除Windows創(chuàng)建的文件的自動副本���?!耙虼耍绻氵M行系統(tǒng)還原就會發(fā)現(xiàn)��,你無法恢復(fù)備份���,”他說���。“我們也看到他們使用共享網(wǎng)絡(luò)驅(qū)動器�。”
最近的兩個例子就是SamSam和Ryuk���。去年11月�,美國司法部起訴兩名伊朗人使用SamSam惡意軟件向包括醫(yī)院在內(nèi)的200多名受害者勒索3000多萬美元���。起訴書說���,攻擊者在正常營業(yè)時間之外發(fā)動攻擊,并“對受害者電腦的備份進行加密”��,從而使損失最大化。
最近���,Ryuk擊中了幾個備受矚目的目標��,包括《洛杉磯時報》和云托管提供商Data Resolution。根據(jù)Check Point的安全研究人員的說法���,Ryuk包含一個刪除影子卷和備份文件的腳本�?�!半m然這個特定變體的惡意軟件并不專門針對備份���,但它提供了更簡單的備份解決方案——那些導(dǎo)致數(shù)據(jù)駐留在文件共享的風(fēng)險,”來自Continuum公司的Brian Downey說�。
瞻博網(wǎng)絡(luò)(Juniper Networks)威脅研究主管Mounir Hahad表示���,最常見的做法是通過微軟Windows的一個名為“早期版本”(Previous Versions)的功能來做到這一點���。它允許用戶恢復(fù)文件的早期版本。他說:“大多數(shù)勒索軟件變體都會刪除影子復(fù)制快照��?��!彼a充說��,大多數(shù)勒索軟件攻擊還會攻擊映射網(wǎng)絡(luò)驅(qū)動器上的備份���。
勒索軟件攻擊備份不具備針對性
但是��,這并不意味著所有備份現(xiàn)在都是脆弱的���。博思艾倫咨詢公司(Booz Allen Hamilton)的首席技術(shù)專家David Lavinder表示,當勒索軟件確實在追蹤備份時��,通常是隨機的��,而不是蓄意的��。根據(jù)勒索軟件的不同��,它通常通過爬蟲系統(tǒng)來查找特定的文件類型��?�!叭绻龅絺浞菸募U展名��,它肯定會加密它��,”他說。
他還表示�,勒索軟件還試圖傳播,感染盡可能多的其他系統(tǒng)�。和WannaCry一樣,這種蠕動能力是他希望在未來看到更多活動的地方��。他表示:“我們不希望看到任何針對備份的蓄意攻擊�,但我們確實希望看到更專注于橫向轉(zhuǎn)移的努力?�!?
通過采取一些基本的預(yù)防措施��,您可以保護您的備份和系統(tǒng)免受這些新的勒索軟件策略的影響�。
使用額外的副本和第三方工具補充Windows備份
為了防止勒索軟件刪除或加密文件的本地備份��,Kujawa建議使用其他備份或第三方工具或其他不屬于默認的Windows配置工具���。他說:“如果它不以同樣的方式做事��,惡意軟件將不知道在哪里刪除備份��?!薄叭绻愕膯T工感染了某種病毒�,他們可以清除它并從備份中恢復(fù)。”
隔離備份
一個受感染的系統(tǒng)和它的備份之間的障礙越多��,勒索軟件就越難接近它���。位于印第安納波利斯的網(wǎng)絡(luò)安全服務(wù)公司Pondurance的首席執(zhí)行長Landon Lewis說���,一個常見的錯誤是,用戶在備份時使用的身份驗證方法與在其他地方使用的方法相同�。他說:“如果你的用戶帳戶受到攻擊,攻擊者想做的第一件事就是升級他們的權(quán)限���?��!薄叭绻麄浞菹到y(tǒng)使用相同的身份驗證,它們可以接管一切�。”
使用不同密碼的獨立身份驗證系統(tǒng)會使這一步更加困難���。
在多個位置保存多個副本
Lewis建議公司使用至少兩種不同的備份方法�,保存重要文件的三份不同副本��,其中至少有一份需要放在不同的位置�。他說��,基于云的備份提供了一個易于使用的離線備份選項��?��!盎ヂ?lián)網(wǎng)上的塊存儲非常便宜。很難解釋為什么有人不使用它作為額外的備份方法���。如果你使用不同的認證系統(tǒng)�,那就更好了�。
此外,許多備份供應(yīng)商還提供回滾選項���,或同一文件的多個版本。如果遭到勒索軟件攻擊并加密文件��,那么備份實用程序會自動備份加密版本��,并覆蓋好的版本���,那么勒索軟件甚至不需要特意去備份��。因此�,回滾正在成為一個標準特性,公司應(yīng)該在確定備份策略之前進行檢查�。劉易斯說:“我肯定會把這一點加入我的標準?!?
測試,測試,測試
許多公司只有在遭受攻擊后才發(fā)現(xiàn)他們的備份沒有被采用,或者備份太過繁瑣而無法恢復(fù)��。他說:“如果你沒有做過某種類型的恢復(fù)練習(xí)��,而且沒有記錄在案�,也沒有人熟悉它,我們?nèi)匀粫吹皆S多客戶考慮付費���,在某些情況下�,實際上是這樣做的���,因為付費給攻擊者實際上在操作上更便宜�?��!?
Kaseya是一家提供備份解決方案的技術(shù)公司�,該公司首席技術(shù)官Bob Antia也建議檢查備份供應(yīng)商是否能夠檢測到勒索軟件攻擊���,尤其是更新���、更隱秘的攻擊��。他說��,一些勒索軟件現(xiàn)在故意運行緩慢�,或者在加密前處于休眠狀態(tài)��?��!斑@兩種技術(shù)意味著很難知道從備份恢復(fù)到什么時間點���,”他說?�!拔翌A(yù)計�,勒索軟件將繼續(xù)尋找更棘手的方式來隱藏自己�,使追回變得更加困難?!?
Antia說:“我們最近還沒有看到像WannaCry和Petya這樣的大規(guī)模全球重大攻擊?�!钡f���,當這種情況真的發(fā)生時���,可能會造成極大的傷害���。“我們看到個別組織因最近的襲擊遭受了數(shù)百萬美元的損失��?�!?
