■ 河南 崔賢

編者按：當(dāng)前針對(duì)企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，當(dāng)我們?cè)谟龅嚼账鬈浖艉?，?yīng)采取哪些步驟有效地恢復(fù)數(shù)據(jù)？本文將討論一些較為有效的方法。

勒索軟件已被許多組織認(rèn)定為面臨的最具威脅性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，其原因是顯而易見(jiàn)的：在2019年，超過(guò)50%的企業(yè)受到勒索軟件攻擊，估計(jì)損失達(dá)115億美元。僅在去年的最后一個(gè)月，包括佳能、Garmin等在內(nèi)的公司就成為了主要勒索軟件攻擊的受害者，并為此支付了數(shù)百萬(wàn)美元的費(fèi)用。

當(dāng)前關(guān)于勒索軟件對(duì)企業(yè)業(yè)務(wù)的影響還有很多討論，并采取了諸多措施來(lái)預(yù)防，但要確保如何在被攻擊之后對(duì)數(shù)據(jù)進(jìn)行恢復(fù)，尚存在很多困難。

盡管對(duì)于企業(yè)而言，有些勒索攻擊的贖金可能較少，但重要的是企業(yè)的重要數(shù)據(jù)是否被損壞。當(dāng)我們?cè)谟龅嚼账鬈浖艉螅瑧?yīng)采取哪些步驟有效地恢復(fù)數(shù)據(jù)？以下討論一些較為有效的方法。

檢測(cè)

可以說(shuō)，從勒索軟件攻擊中恢復(fù)數(shù)據(jù)，最具挑戰(zhàn)性的步驟是從最開(kāi)始就意識(shí)到出了問(wèn)題——它也是最關(guān)鍵的步驟之一。用戶(hù)越早檢測(cè)到勒索軟件攻擊，受到影響的目標(biāo)數(shù)據(jù)就越少。這也直接影響到恢復(fù)數(shù)據(jù)所需的時(shí)間。

勒索軟件通常會(huì)進(jìn)行特殊的精心設(shè)計(jì)，這使其很難被發(fā)現(xiàn)。當(dāng)用戶(hù)在看到顯示勒索贖金時(shí)，說(shuō)明防護(hù)為時(shí)已晚，勒索軟件已經(jīng)對(duì)整個(gè)IT環(huán)境造成了損害。因此，擁有可以識(shí)別異常行為（例如異常文件共享）的網(wǎng)絡(luò)安全解決方案，可以幫助用戶(hù)快速隔離勒索軟件感染，并在其進(jìn)一步蔓延之前進(jìn)行阻斷。

與基于簽名或基于網(wǎng)絡(luò)流量的檢測(cè)相比，異常文件行為檢測(cè)技術(shù)是檢測(cè)勒索軟件攻擊最有效的方法之一，并且誤報(bào)最少。

檢測(cè)勒索軟件攻擊的另一種方法是使用“基于簽名”的方法。如果檢測(cè)到相關(guān)的惡意代碼，則可以通過(guò)該方法來(lái)進(jìn)行查找。但這種方法的局限性在于，它只能檢測(cè)已知的勒索軟件。一般并不建議使用該方法，因?yàn)閺?fù)雜的攻擊經(jīng)常變換新的代碼，往往以另一種新的未知的勒索軟件的形式出現(xiàn)。因此，建議使用基于A(yíng)I/ML的方法，該方法通過(guò)查找惡意行為，例如文件的快速連續(xù)加密，來(lái)確定攻擊的發(fā)生。

其他有效的網(wǎng)絡(luò)安全手段還包括，對(duì)電子郵件等關(guān)鍵業(yè)務(wù)系統(tǒng)的防護(hù)。勒索軟件通常是通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件攻擊或帶有危險(xiǎn)文件附件，或者是超鏈接的電子郵件來(lái)達(dá)到感染系統(tǒng)的目的。

如果企業(yè)不具備處理危險(xiǎn)電子郵件的能力，那么勒索軟件侵入企業(yè)內(nèi)部IT環(huán)境或SaaS云環(huán)境就會(huì)非常容易。因此，特別是在云SaaS環(huán)境中，控制云環(huán)境中第三方應(yīng)用程序的訪(fǎng)問(wèn)權(quán)限非常重要。

遏制

在檢測(cè)到勒索軟件攻擊之后，用戶(hù)可以通過(guò)隔離勒索軟件進(jìn)程，來(lái)阻止其進(jìn)一步傳播。如果是在云環(huán)境中，則這些攻擊通常源自遠(yuǎn)程文件同步，或是運(yùn)行勒索軟件加密過(guò)程的第三方應(yīng)用程序，或是瀏覽器插件驅(qū)動(dòng)的其他進(jìn)程。挖掘并隔離勒索軟件攻擊的來(lái)源可以有效遏制感染，從而減輕對(duì)數(shù)據(jù)的破壞。為了達(dá)到有效的結(jié)果，該過(guò)程必須是自動(dòng)化的。

很多攻擊是趁管理員未監(jiān)控IT環(huán)境間隙的數(shù)小時(shí)內(nèi)發(fā)生的。因此，一旦發(fā)生勒索攻擊，必須迅速做出反應(yīng)以阻止病毒傳播。安全策略規(guī)則和腳本必須作為主動(dòng)保護(hù)的一部分放在適當(dāng)?shù)奈恢?。因此，在識(shí)別出感染后，自動(dòng)化程序會(huì)通過(guò)刪除可執(zhí)行文件或擴(kuò)展名來(lái)阻止攻擊，并將受感染的文件與IT環(huán)境的其他部分隔離開(kāi)來(lái)。

在遭遇勒索軟件攻擊時(shí)，還有一種方法可以讓企業(yè)能夠挽回或彌補(bǔ)損失，那就是購(gòu)買(mǎi)網(wǎng)絡(luò)保險(xiǎn)。網(wǎng)絡(luò)保險(xiǎn)是一種網(wǎng)絡(luò)安全領(lǐng)域里的保險(xiǎn)，旨在保護(hù)企業(yè)（以及為企業(yè)提供服務(wù)的個(gè)人）免受基于互聯(lián)網(wǎng)的風(fēng)險(xiǎn)（如勒索軟件攻擊），以及與IT基礎(chǔ)架構(gòu)、隱私、數(shù)據(jù)治理相關(guān)的其他風(fēng)險(xiǎn)。在這種情況下，網(wǎng)絡(luò)保險(xiǎn)可以幫助企業(yè)減輕恢復(fù)數(shù)據(jù)的部分財(cái)務(wù)負(fù)擔(dān)。當(dāng)然，目前網(wǎng)絡(luò)保險(xiǎn)制度在國(guó)內(nèi)市場(chǎng)尚未成熟，但其發(fā)展前景非常廣闊。

備份

在大多數(shù)情況下，即使快速檢測(cè)到并遏制了勒索軟件攻擊，仍然會(huì)有一部分?jǐn)?shù)據(jù)受到影響并需要還原。這就需要對(duì)數(shù)據(jù)進(jìn)行備份，才能實(shí)現(xiàn)對(duì)被破壞數(shù)據(jù)的恢復(fù)。在進(jìn)行備份時(shí)，可以遵循如下“3-2-1”原則，將備份數(shù)據(jù)與實(shí)際運(yùn)行環(huán)境隔離開(kāi)。

·保留任何重要文件的3個(gè)副本，包括一個(gè)主要文件和兩個(gè)備份文件。

·將文件保留在2種不同的介質(zhì)類(lèi)型上。

·異地維護(hù)1份副本。

如果您的備份是在SaaS環(huán)境中的，則需要通過(guò)云備份供應(yīng)商來(lái)存儲(chǔ)重要數(shù)據(jù)，以符合“異地”的原則。這將極大地減少備份數(shù)據(jù)與生產(chǎn)數(shù)據(jù)一同受到影響的幾率。

因此，從勒索軟件攻擊中恢復(fù)數(shù)據(jù)的可靠方法，是對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行備份。但目前在面對(duì)勒索軟件攻擊時(shí)，備份的重要性尚未能得到足夠的重視。相對(duì)于絞盡腦汁地防范隨時(shí)可能出現(xiàn)的勒索軟件，采取備份操作并從備份中恢復(fù)數(shù)據(jù)，對(duì)業(yè)務(wù)數(shù)據(jù)的保護(hù)更能占據(jù)主動(dòng)權(quán)。

當(dāng)前企業(yè)在采用云服務(wù)時(shí)可能存在一個(gè)誤區(qū)，很多企業(yè)可能會(huì)錯(cuò)誤地認(rèn)為云服務(wù)提供商已采取了完備的方案來(lái)保護(hù)客戶(hù)的數(shù)據(jù)，而不需要自己做什么。當(dāng)然，在保護(hù)客戶(hù)數(shù)據(jù)安全方面，云服務(wù)提供商確實(shí)采取了一些機(jī)制。但實(shí)際上，保護(hù)云環(huán)境中的數(shù)據(jù)安全往往采取的是責(zé)任共擔(dān)的方式，確保云上數(shù)據(jù)安全不僅僅是云服務(wù)提供商的責(zé)任，還包括客戶(hù)自己。

報(bào)告相關(guān)部門(mén)

當(dāng)前世界各國(guó)和地區(qū)針對(duì)數(shù)據(jù)保護(hù)都頒布了相關(guān)的法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，因此企業(yè)需要遵循當(dāng)?shù)氐脑S多合規(guī)性法規(guī)，例如PCI-DSS（第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）、GDPR（通用數(shù)據(jù)保護(hù)條例）等，許多法規(guī)都要求企業(yè)應(yīng)將違規(guī)行為通知相關(guān)監(jiān)管機(jī)構(gòu)。因此，一旦出現(xiàn)了相關(guān)的違規(guī)行為，就應(yīng)立即報(bào)告相關(guān)部門(mén)。特別是如果您的企業(yè)屬于某些受監(jiān)管的行業(yè)（例如金融行業(yè)），那么同樣有針對(duì)該行業(yè)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，這些都是需要企業(yè)熟知的。

測(cè)試

在對(duì)數(shù)據(jù)進(jìn)行恢復(fù)后，還需要測(cè)試對(duì)數(shù)據(jù)和任何其它受影響的關(guān)鍵業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)，以確保成功恢復(fù)了數(shù)據(jù)和服務(wù)。這樣，才算是徹底解決了所有的問(wèn)題，然后再考慮將整個(gè)系統(tǒng)重新投入運(yùn)行。

而如果是在IT環(huán)境中遇到的響應(yīng)時(shí)間比平常慢，或者文件大小比正常情況大時(shí)，那么這可能表明數(shù)據(jù)庫(kù)或存儲(chǔ)系統(tǒng)中仍潛藏著某些風(fēng)險(xiǎn)。

結(jié)語(yǔ)

俗話(huà)說(shuō)“最好的防守就是進(jìn)攻”，這句話(huà)帶給我們的啟示是，在網(wǎng)絡(luò)安全領(lǐng)域中，不要總是被動(dòng)防范，要掌握主動(dòng)權(quán)。面對(duì)勒索軟件攻擊，只有兩種選擇，要么您具有足夠的前瞻性思維，做好備份，則可以從備份中還原數(shù)據(jù)，要么支付贖金。但選擇支付贖金是有風(fēng)險(xiǎn)的，因?yàn)檎l(shuí)都無(wú)法保證，在支付完贖金后，網(wǎng)絡(luò)犯罪分子是否會(huì)真的給你解密來(lái)恢復(fù)數(shù)據(jù)。

與網(wǎng)絡(luò)犯罪分子進(jìn)行這種交易可沒(méi)有簽署合同或行為準(zhǔn)則。相關(guān)報(bào)告顯示，為勒索病毒支付贖金的企業(yè)中約有42%的文件并未被解密。

鑒于當(dāng)前針對(duì)企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，如果沒(méi)有適當(dāng)?shù)陌踩珎浞莺蜋z測(cè)機(jī)制，后果將是災(zāi)難性的?，F(xiàn)在采用相關(guān)的安全解決方案可以確保您以后不會(huì)為受破壞的數(shù)據(jù)而懊惱。而且從其他企業(yè)受勒索攻擊的案例中吸取教訓(xùn)，也可以幫助您避免遭受同樣的悲劇。