时间:2022 / 03 / 31浏览次数:1378
2021 年度勒索事件仍然频发,仅2021年第一季度,就发生了多起国际知名企业被勒索的案件,并且赎金持续刷新纪录。让企业饱受困扰的勒索病毒加密手段复杂,解密成本高,使用电子货币支付赎金,变现快、追踪难;目前勒索病毒已经呈现了大规模的产业链,这让攻击者不需要任何知识,只要支付少量的租金就可以开展勒索病毒攻击的非法勾当,大大降低了勒索病毒攻击的门槛,推动了勒索病毒大规模爆发,今天就让我们从认识勒索病毒开始,说明企业如何利用 Veeam 的解决方案提高企业的勒索病毒防御的能力。
01
勒索病毒相关知识
(熟悉的小伙伴可以跳过此节)
1.1. 什么是勒索病毒?
点此查看答案
今年来勒索病毒使所有企业都面临的巨大威胁,同时也是网络犯罪分子首选的勒索工具之一。它主要通过对数据的加密,使数据无法使用,之后以解密之名进行敲诈勒索。受影响者的挫败感是显而易见的,其结果包括关键数据丢失,停机停业和声誉受损。勒索事件之所以如此可怖,是因为它不像一般攻击事件,其发起者只想访问数据或者获取资源,勒索者有时既想要数据,更想要钱。这也是为什么在很多勒索事件中,受害者被骗取了钱财,但未能拿回自己数据的原因。
1.2. 勒索病毒的危害
点此查看答案
勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2018 年 3 月,国家互联网应急中心通过自主监测和样本交换形式共发现 23 个锁屏勒索类恶意程序变种,该类病毒通过对用户数据加密,勒索用户付费解锁,对用户财产和安全均造成严重威胁。
1.3. 防护勒索病毒的重要性
点此查看答案
一旦被勒索病毒感染,受害者电脑中的文档就会被加密,壁纸遭到篡改,且桌面会弹出窗口,其内容是指引数据被劫持的用户将价值不菲的比特币转到攻击者的账户上。据悉,已有部分受害者向黑客支付了赎金。勒索病毒感染危害极大,从攻击行为上分析,例如:“永恒之蓝” 可以远程攻击 Windows 操作系统的 445 端口,无需用户任何操作就可以锁死磁盘文件,向用户勒索比特币。实际上,勒索病毒本身也十分具有攻击性,它主要利用了操作系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。据有关部门统计显示,该病毒的夜间每小时攻击次数可以达到 4000 次之多。
通过各方面的信息收集与整理,也让我们更加意识到勒索病毒的重要性,这让每个拥有数据的都应提高警惕:
1不要等数据丢了,才意识到备份的重要性
2相关企业和组织不应忽视网络安全防护的投入
3加强信息化建设的统一规划和科学管理
02
来自 Veeam 的建议
在此背景下,如何保证您的业务永远在线,并且不会受到勒索病毒的威胁。如何激活自己的数据安全能力,在物理,虚拟化和多云基础架构之间安全地移动和使用数据,是当今的企业希望转向新的数据智能管理的原因,让我们来看看来自于 Veeam 的建议:
针对日常运维工作的安全
❖对员工和 IT 管理团队进行安全操作规范培训。
❖定期检查并确保 IT 系统和IT人员符合只具备完成任务所必需的最小权限的原则,且在未经授权的情况下禁止访问相关系统或资源。
❖及时更新操作系统以及应用服务的补丁,消除漏洞。
❖
合理制定并执行备份计划,备份服务器、工作站/PC等数据,确保未经授权用户不可访问备份数据。任何需要进行备份的数据都可以有效执行备份,在发生勒索病毒攻击时快速恢复数据。
针对备份系统自身安全
❖日常运维人员采用普通的view账号,只有查看、无修改的权限;同时定期修改密码,降低密码泄密带来的风险。
❖配置防火墙策略,减少开放不必要端口,特别是22、135、445、3389等端口
❖Veeam软件自身备份数据存放在不同的备份介质,保障Veeam软件自身安全,也保障Veeam软件可快速恢复。
❖部署Veeam备用机,并关机作为主Veeam服务器的备机(可对主Veeam服务器离线存放)。
针对备份数据安全
❖确保数据保护遵循至少具有三份副本、存放在两种介质中、一份存放在异地、一份存放在不可变介质库中、对备份及容灾数据进行验证确保数据有效的3-2-1-1-0原则。
❖对业务系统和Veeam软件自身备份的数据进行加密。
❖对业务系统和Veeam软件自身备份的数据进行加密。
针对数据恢复安全
❖基于勒索病毒的行为设置监控阈值,利用监控软件探知异常行为。
❖利用备份数据,对已知中病毒的时间点进行测试,确认数据恢复策略。
❖经常性利用备份数据恢复业务系统,使用杀毒软件对恢复的数据进行病毒安全查杀,确保数据安全性。
03
Veeam 防勒索解决方案
3.1. 数据架构安全解决方案
Veeam 的数据保护结构符合 3-2-1-1-0 的数据保护黄金法则,3-2-1-1-0 法则具有极大的普遍性,适用于所有企业与个人以及所有环境类型,包括物理、虚拟和云。利用这个原则可以使企业远离勒索病毒的困扰。
Veeam Backup & Replication 可轻松帮助您满足所有 3-2-1-1-0 数据保护黄金法则的要求。
右滑动查看3-2-1-1-0 数据保护黄金法则 >>>
至少拥有数据的3个副本 , 设置备份任务和备份复制任务来为您的每一份需要保护的数据创建若干(至少两份)备份。
将副本存储在2个不同的介质上:您可将备份存储至下列任何介质:磁带、磁盘、云等等。
保存1份异地备份的副本:设置Backup Copy Job(备份复制工作)来利用内置广域网加速更快速地转移异地备份,或者使用横向扩展的备份存储库自动的实现备份数据的分层和多副本存放。
保存1份防篡改的备份副本:即一份物理隔离、离线或不可变的备份副本。
受保护数据的0错误:结合Veeam的SureBackup全自动的备份验证,确保备份数据的可恢复和可运行。
Veeam数据保护整体架构,如下图:
3.2.
存储介质安全解决方案
Veeam 认为存在安全并可恢复的备份数据是抵御勒索病毒侵害的最后一道防线。由于勒索病毒威胁不断加剧,Veeam 强调其中 “一个” 数据副本必须具有超强的安全性(即物理隔离、离线或不可变)。Veeam 软件采用安全设计,可利用可靠的备份有助于防范停机和数据丢失并避免支付高昂赎金。Veeam 软件可以使用具有不可变特性的备份存储介质防止勒索病毒和恶意攻击者执行对备份数据的加密与删除,确保备份数据安全无忧。
Veeam认为,从弹性抵御勒索病毒攻击的角度来说,备份解决方案的实施与合规性审计非常一致。产品合规性可能并不在于产品本身,而是完全由产品的实施和审核方式来决定。当遭到勒索病毒攻击时,企业的弹性处理能力完全取决于备份解决方案的实施方式、威胁行为和修复过程。
Veeam为确保存储在备份存储介质中数据的安全,可以采用以下六种机制确保备份存储介质中数据的安全:
❖基于Linux的加固备份存储介质库
❖物理或虚拟带库(离线保存备份数据)
❖移动存储介质(脱机保存备份数据)
❖硬件重删设备
❖云对象存储
❖存储快照
3.2.1. 基于Linux的加固备份存储介质库
通过使用基于 Linux 的加固备份存储库来实现备份存储库内备份数据原生不可变,从而确保数据安全,防止恶意加密和删除。适用于使用服务器挂载各种块存储设备作为Veeam备份存储介质库的场景。
Veeam软件使用以普通用户身份运行的 VeeamTransport 服务管理备份数据的读取、写入以及删除,使用以 root 用户身份运行的 veeamimmureposvc 服务管理备份数据的不可变标记。如果备份数据存在不可变标记,以普通用户身份运行的 VeeamTransport 服务或使用 root 用户去操作删除、修改、加密备份数据则会提示失败。通过此方法确保备份数据是安全可恢复的。如下图:
Veeam基于Linux的加固备份存储介质库具有以下特点:
❖单次使用的凭据:加固的 Linux 存储库使用的单次使用凭据 (Single-use credentials for hardened repository) 只在初始部署时和安装产品更新时进行交互,不会存储在配置数据库中。避免黑客通过攻陷 Veeam Backup & Replication 获取用户名密码后攻击 Repository。如下图:
❖不依赖SSH协议:所有以前的 SSH 协议使用已经被封装到 Veeam Transport Service。因此只有在初始部署时才需要 SSH。这允许客户使用 SSH 多重身份验证(MFA),甚至完全禁用SSH服务器,以保护的存储库不受影响。如果需要对基于 Linux 的加固备份存储库进行管理,建议采用带外管理方式。这样可以减少加固备份存储库的暴露面,确保加固备份存储库的安全。如下图:
❖不可变性的存储库:预防意外删除存储库上的备份数据。现在可以使 Veeam 的映像级备份在指定的一段时间内是不可变的,还可以按照并保护 GFS 备份他们的保留政策的整个期限。
3.2.2. 物理或虚拟带库(离线保存备份数据)
物理或虚拟带库作为一种历史悠久的离线保存备份数据的存储技术,在面对勒索病毒防护上一点也没有过时。写入到磁带中的数据只能被覆写或擦除而不能被在线修改或加密,同时磁带可以从带库中取出离线异地保管,还可以设置物理的写保护功能,做到只能被读取不能被篡改。从而可以有效地抵御勒索病毒和其它恶意程序对于备份数据的攻击。如下图:
Veeam软件可以将备份数据写入到物理或虚拟带库中,备份数据写入磁带后,可以将磁带从磁带库中取出进行离线异地保管,并可以设置写保护。
当需要恢复数据时,可以在Veeam软件中查询相关备份任务还原点所对应Barcode的磁带,将这些离线保管的磁带重新放入带库中,即可由Veeam软件控制带库将备份数据恢复出来。如下图:
3.2.3. 移动存储设备(脱机保存备份数据)
离线保管备份数据是抵御勒索病毒和其它恶意程序对于备份数据的攻击的主要方式,我们还可以利用Veeam软件实现对移动存储设备的在线和离线控制。
在开始备份之前,我们可以将移动存储介质与Veeam备份服务器连接,但是不置为自动联机状态,只让移动存储设备处于脱机状态。如下图:
编写使移动存储设备进行联机与脱机的脚本。在Veeam软件的备份任务中设置脚本。在备份任务开始之前先执行联机脚本,使移动存储设备与Veeam备份主机联机,备份任务产生的数据会写入到移动存储设备中。当备份数据完全写入到移动存储介质后执行脱机脚本,使移动存储设备与Veeam备份主机脱机。以此来确保移动存储设备可以脱机保存备份数据,尽可能使脱机保存备份数据,防止勒索病毒和其它恶意程序对于备份数据的攻击。如下图: