新冠疫情下,人们的生活发生了翻天覆地的变化。足不出户,远程办公、在线咨询、在线上课。生产、服务、消费等场景全部线上化。随着线上需求的激增,中国企业也在加速向数字化、智能化方向转型,利用Serverless、容器、机器学习等新技术将工作负载从数据中心迁移到云端。然而,在中国企业享受到云数据管理的高性价比、高扩展性和灵活性等优势的同时,云安全问题也随之而来。整体来看,大部分中国企业上云的过程是以分布式方式实现的,这意味着企业的IT环境将变成混合云、多云架构,这将大大增加复杂性,增加网络曝光。安全威胁也与日俱增。知己知彼,方能百战不败。为了更好的防范云端勒索病毒的攻击,我们先来了解一下什么是云端勒索病毒。什么是云勒索软件?勒索软件(也称为勒索软件)是一种能够感染系统和设备的恶意软件进程。通常部署勒索软件是为了防止受攻击的组织访问其数据、应用程序和环境。一旦系统被勒索软件感染,恶意进程就会开始加密文件。然后,该企业收到一条要求支付赎金的消息。否则数据将保持加密状态,您将无法再使用您的信息。此外,勒索软件还可能尝试访问更多系统,扩大网络传播范围。由于云环境通常是为了方便访问和使用而构建的,一旦云环境被勒索病毒感染,就会造成重大损失。为什么勒索软件会瞄准云?首先,企业数据正在向云端迁移。云堪称“数据金矿”。试图将数据转化为可操作的见解或出售信息的企业正在引起注意,网络犯罪分子也是如此,他们意识到涌入云中的数据非常有价值。云计算提供商为世界各地的企业和个人提供服务,他们提供的不仅仅是简单的软件即服务(SaaS)产品。一些公司会使用数据库即服务(DBaaS)将整个数据库移动到云端。还有一些组织使用基础架构即服务(IaaS)将其整个基础架构迁移到云中。所有这些服务都托管着业务连续性所需的宝贵数据,因此吸引了勒索软件攻击者的注意。其次,云服务对业务连续性至关重要。要想成功,勒索软件攻击者必须针对绝对关键且不可替代的工作负载,否则目标企业没有支付赎金的动机。由于疫情的限制,企业的工作方式逐渐转向远程办公。为了向员工提供虚拟工作空间,许多公司倾向于放弃传统的(和速度较慢的)虚拟专用网络(虚拟网络)。许多IT团队更喜欢使用虚拟桌面基础架构(VDI)来自行管理虚拟机(VM)部署,或使用云托管的桌面即服务(DaaS)产品。所有这些关键业务目标都是攻击者的目标。最后,云资源是多人共享??的。如果攻击者设法加密云存储提供商的服务器,而该服务器恰好也为许多云用户提供服务,则攻击者可以增加单次攻击的赎金。然后,那些共享相同服务器资源的云用户迫于业务压力不得不屈服于支付赎金。而当攻击者获得高额利润时,也间接刺激了勒索软件攻击的增长。云端勒索病毒的攻击类型和对策与本地系统不同。由于云的共享资源和Internet可访问性,云更容易受到服务和环境的影响。为了更好地防范和防范云风险,企业需要充分了解勒索病毒的攻击方式。联想灵拓发现,云容易受到勒索软件攻击的三种情况:勒索软件同步到云文件共享服务、RansomCloud攻击(针对云数据的勒索软件攻击)、针对云服务提供商的勒索软件攻击。同时,我们也针对以上三种情况提供针对性的建议,帮助企业为云数据管理筑起坚实的防线。勒索软件与云文件共享服务同步勒索软件通常会在到达云之前感染本地计算机。勒索软件渗透到本地机器上同步到云端的文件共享服务。恶意进程加密存储在受感染机器上的文件,然后将损坏的文件传播到云端。这种类型的攻击将企业网络置于极大的风险之中。一旦感染扩散到云端,企业的整个云共享系统都将受到威胁。然后勒索软件可以在网络中传播并感染其他联网机器。如果勒索软件传播到未备份的文件中,被攻击的企业可能被迫支付赎金。为此,我们建议企业从三个维度防范云勒索攻击:在主动防御方面,企业应部署CryptoSpike反勒索解决方案结合ONTAP保护关键共享文件存储,拒绝勒索攻击,使用全新的生成保护本地文件免受勒索病毒侵害的防病毒软件;在操作系统方面,企业应不断更新操作系统(OS)最新的安全补丁;在网络服务方面,企业应使用网络过滤服务来阻断受感染的网站。万一不幸遭遇攻击,企业应分三步应对:第一,企业应立即断开受感染设备和系统与互联网的连接;然后,企业应迅速联系IT和安全专家进行技术支持;最后,企业可以将第一方或第三方解决方案用于其备份和灾难恢复策略。RansomCloud攻击RansomCloud是一种新型勒索软件,以Office365等云电子邮件服务为目标。攻击者使用钓鱼邮件来获取对电子邮件帐户的访问权限。网络钓鱼电子邮件看起来就像普通电子邮件一样,可以引诱和诱骗受害者点击文件来破坏他们的系统,或者诱骗受害者让攻击者访问他们自己的帐户。一旦攻击者获得了电子邮件帐户的访问权限,他们就可以使用勒索软件来加密受害者的电子邮件信息并向受害者勒索钱财。此外,攻击者还经常使用电子邮件帐户发起新的攻击,冒充帐户所有者,诈骗受害者的家人,并向受害者的联系人传播恶意软件。面对RansomCloud攻击,我们建议企业从两方面着手:第一,在员工培训方面,企业应为员工提供相关的攻击培训和最新的教育资源,帮助各级员工了解如何识别、规避、并报告网络钓鱼;其次,在遭受攻击时,企业可以采用邮件备份和容灾策略,保证数据在遭受攻击时仍然可用。勒索软件攻击云服务商为了增加每次攻击的收益,攻击者往往直接针对云服务商,试图利用漏洞在更大范围内渗透系统。然后,攻击者可以要求更多受攻击的企业支付赎金。因此,企业在与云服务商合作时,也需要建立结构化的合作方式,共同防范勒索软件攻击。因此,我们建议企业在与云服务商合作时做到以下两点:第一,企业要有明确的需求。由于服务提供商通常有自己的勒索软件恢复计划,因此公司要求其供应商提供他们的计划,以评估提供商应对重大灾难(包括勒索软件攻击)的能力。此外,企业应制定备份计划以应对服务中断。为确保业务连续性,企业应针对如何在供应商中断期间继续运营制定自己的计划。例如,企业可以制定多云策略,使用多个云提供商来确保企业在中断期间能够恢复正常运营。企业也可以在基于IaaS架构的服务商环境和本地私有云环境部署CryptoSpike反勒索解决方案,确保关键共享文件存储免受勒索攻击,并利用本地资源或第三方开发恢复系统解决方案的混合云战略。展望未来,随着中国企业数字化转型的加速,企业IT基础设施将全面进入“云时代”。“云时代”,企业固定的防御边界不复存在。中国企业唯有建立全面的云安全战略,才能从容应对云勒索病毒等“云威胁”,构建安全稳定的IT架构,以云优势在数字时代脱颖而出。
