近年來勒索攻擊造成的風險不斷上升。2020年,全球勒索攻擊造成的損失達到200億美元,勒索攻擊占所有攻擊事件的30%以上,已經逐步成為企業面臨的最需要關注的安全風險之一,而這種風險還在不斷提升。
雖然現階段勒索防護需要采用體系化的手段,即依托終端安全、數據安全和安全服務的多維度防護,但數據恢復是勒索攻擊防護的最后一道防線。
在調研中發現,我國有22%的企業受到過勒索攻擊,而支付贖金的比例不足一半。對所有的甲方調研發現,有55%的用戶選擇在面臨勒索攻擊時絕不交贖金。大部分的安全專家不建議企業支付贖金,一方面支付贖金勒索者也可能并不兌現諾言;另一方面攻擊者認為交贖金的企業在面臨勒索更可能交贖金,因此更可能作為下次攻擊的目標。在不交贖金的前提下,只有自己盡快恢復數據、系統,才能保證業務的連續性。介于上述行業背景,本期發布牛品推薦——戴爾數據避風港(Cyber Recovery)。
#牛品推薦第二十一期 #
01
標簽
勒索防護 數據恢復 智能防護 備份數據保護
02
用戶痛點
當前的勒索軟件已不再是簡單針對單一終端的攻擊。隨著勒索團伙專注度的提升,他們已經將目標放到大型企業,并在鎖定核心系統或核心數據前處于潛伏的狀態。在調研中發現,當企業中勒索軟件后,75%的用戶選擇通過備份恢復數據。這個時候,備份數據是否完整、可靠、能夠立即使用,就成為能否恢復企業業務的關鍵。
在一個實際發生的用戶案例中,勒索軟件只先加密了一臺服務器中的數據,并未全面爆發。當出現服務器數據被加密時,用戶選擇通過備份數據進行恢復。然而,數據恢復時并沒有對服務器內的勒索軟件進行完整查殺,反而勒索軟件通過這個行為找到了非物理隔離的備份服務器的位置,并對備份數據進行了加密。當勒索軟件在生產網中大規模爆發時,備份數據的不可用導致生產網環境無法恢復。
通常用戶會認為擁有數據備份系統,當基于數據的勒索攻擊發生時,即可通過備份數據完成數據恢復。然而現階段的勒索軟件會在攻擊備份數據后再大規模爆發,讓用戶無法使用備份數據,從而逼迫用戶必須交納贖金。因此,備份數據的安全性也應成為用戶的關注點。
03
解決方案
1、方案介紹
戴爾數據避風港(Cyber Recovery)是一種新型數據防護思路,通過對備份數據的有效隔離、防護,保障備份數據的安全性,從而在出現數據勒索及其它非法數據變更時,能夠有效進行數據的恢復工作,快速恢復業務連續性。
Cyber Recovery并不生產備份數據,但可以與多種數據備份軟件聯動,保護備份數據在生產階段、存儲階段、應用階段的安全性。
Cyber Recovery產品理念脫胎于美國Sheltered Harbor項目研究內容,即保障網絡安全風險發生時,美國的金融行業能夠快速實現業務恢復,其中數據恢復是業務恢復的重要組成部分。而這時,一套干凈、可用的備份成為必要的工具。
備份數據也面臨著風險。由于企業在擁有備份時很難選擇支付贖金,因此現在的數據勒索的團伙通常會先破壞備份文件后再進行攻擊。在找到備份數據之前,勒索軟件通常處于潛伏的狀態,即先不加密或者僅加密少量終端,待橫向移動到備份服務器后,鎖定其中的備份數據,然后再對生產環境中的數據進行攻擊。
Cyber Recovery通過將備份數據進行隔離,并基于人工智能技術,對備份數據的安全性進行巡檢,從而保證一旦需要使用備份數據時,能夠立即使用,并且保證備份數據完整、干凈。
2、技術實現
Cyber Recovery具體實現方式為:將備份數據和生產數據通過物理方式進行隔離,包括生產網在內的外部在非授權下無法訪問到備份數據,從而保證備份數據的安全性。在生產數據與備份數據中間,隨機產生隔離開關,查看是否有需要備份的數據。當有需要傳輸的數據時,通過打開一個時間窗口進行數據傳輸,在傳輸結束后則立馬關閉接口,保證備份數據與生產環境隔離。當沒有需要傳輸的備份數據時,連接立馬斷開,不給惡意軟件可乘之機。同時,通過利用機器學習和分析技術,識別備份數據中存在的安全風險,保證及時發現勒索軟件對備份數據的攻擊行為。
Cyber Recover具體可包含四個組成部分:
Cyber Recovery Vault(網絡恢復存儲區):PowerProtect Cyber Recovery Vault 提供多層面保護,可在應對來 自內部的網絡攻擊時提供高恢復能力。它將關鍵數據從攻擊面移開,以物理方式將之隔離在數據中心的受保護部分,并需要訪問者另外提供安全憑證和通過多因素檢驗才能進行訪問。
CyberSense:PowerProtect Cyber Recovery是第一個與CyberSense充分集成的解決方案,為備份數據增加了智能化保護層,可在攻擊滲透數據中心時幫助發現數據受損情況。
恢復和糾正:PowerProtect Cyber Recovery提供自動化的恢復流程,來快速并滿懷信心地將關鍵業務系統重新上線運行。
解決方案規劃和設計:可選的Dell EMC顧問服務幫助您確定需要保護哪些關鍵業務系統,并為相關的應用和服務、以及恢復這些應用和服務所需的基礎架構建立依存映射。
3、方案優勢
基于隔離的備份數據保護機制并非戴爾獨創,但在實際應用當中,戴爾Cyber Recovery具備其特有的優勢:
隨機的連接建立機制,減少探測可能:隨機連接建立保證不會被探測到具體時間,如果攻擊者有意進行針對備份數據的攻擊,由于沒有辦法知曉連接開啟時間,所以無法判斷何時進行攻擊合適。
快速判斷是否需要備份數據:當連接建立后,會判斷是否存在需要備份的數據,如果不需要進行更新備份,則立即斷開。判定信息通過私有協議傳輸,當不存在需要備份的數據時,僅需在兩個握手時間內即可完成判斷并關閉連接。這減少了這一連接期間被攻擊的可能性。
去重專利技術,減少存儲空間及傳輸時間:通過自有專利技術,將數據進行去重處理,可以舍去高達60倍的存儲時間,同時也意味著生產環境和備份環境的窗口時間最低只需要全部傳輸的1/60。而減少這一窗口時間,能夠降低備份服務器被發現及被攻擊的概率。
備份數據的防護技術:使用AI/ML技術對惡意軟件的風險進行掃描、分析、偵測,并提供即時報警,保證備份數據的安全性。當備份數據被攻擊時,通過人工智能技術能夠及時發現備份數據的安全問題,在備份數據完全被破壞前,進行惡意軟件查殺,并重新備份干凈的備份數據。
4、目標用戶
Cyber Recovery適用于多種用戶,特別是對于有如下特點的用戶,將能提供更有效的數據防護能力:
關鍵信息基礎設施用戶。關鍵信息基礎設施已經成為勒索攻擊者的重要目標,同時由于一旦破壞關鍵信息基礎設施的業務連續性,會對生產生活造成重大影響。
業務連續性要求較高用戶。除關鍵信息基礎設施外,一些互聯網企業、制造業同樣對業務連續性有高要求,這類企業一旦出現業務中斷,會對企業造成重大損失。
數據資產多的用戶。大數據公司、互聯網企業、咨詢公司等企業通常掌握有大量數據資產,這類公司的數據一旦被勒索受到的損失重大。
5、解決問題
Cyber Recovery可以有效應對的問題包括:
勒索攻擊的數據恢復。基于數據加密的勒索行為依舊是當前勒索攻擊的主要攻擊形式。Cyber Recovery能夠保護用戶的備份數據安全性,并當勒索攻擊爆發式,能夠通過備份數據完整恢復企業數據,從而幫助企業恢復業務連續性。
非法的數據變更恢復。當“從刪庫到跑路”已經不再是一個段子時,企業就必須面對有意或無意的數據非法變更行為。針對有意為之的數據刪除行為,Cyber Recovery由于有效將生產網和備份數據隔離,所以能夠保護備份數據不會被有益刪除,同時也為數據完整恢復提供可能。
04
用戶反饋
憑借Cyber Recovery的性能優勢及實際測試的優異表現,Dell公司以第一個方案提供者的身份,成為Sheltered Harbor組織的項目合作伙伴。
“Cyber Recovery數據避風港存儲區按照業務發展的速度不斷擴展。CyberSense也是一款出色的工具,其報告功能和數據查看方式讓我能夠堅定地告訴董事會:‘網絡安全值得信賴’。”
——Bob Bender ,Founders Federal Credit Union 首席技術官
“誰也不想因為遭受網絡入侵而上報。Cyber Recovery數據避風港解決方案是我們為數據提供另一層保護的好方法。”
——Josh Kohlhoff,
威斯康星州道奇縣網絡管理員
安全牛評
隨著數據成為企業越來越重要的資產,這些用戶日益重視數據的安全。數據備份是應對突發安全事件時,保證業務連續性的必備工具。然而,我們通常認為數據備份一定是可靠的、干凈的、完整的,卻忽略了對備份數據的保護,這可能導致異常事件發生時,用戶的措手不及。
Cyber Recovery本質是一套備份安全防護系統。通過物理隔離機制,惡意軟件和一般用戶均無法觸碰到隔離的備份數據。產品針對數據加密型勒索具有較強的恢復機制,但并非適用于所有類型的勒索攻擊,例如數據竊取型勒索。產品針對數據的誤操作、非法變更也有適用性。
備份數據隔離防護是應對數據型勒索攻擊的新思路,也是應對攻擊的最后一道防線。
