远离安全噩梦，Veeam三大策略打赢勒索病毒防御战

　　【51CTO.com原创稿件】2020年，突如其来的新冠肺炎疫情，在给各行各业带来巨大影响的同时，也彻底让企业看到了数字化转型的重要性。疫情之后，企业数字转型步入快车道，高速发展的数字化业务给勒索病毒带来了巨大的“利好”，企业必须采取有效的安全防护措施，才能保护应用和数据安全，确保业务的连续性。

　　安全成为企业噩梦，形势或许更加严峻

　　全球最早的勒索病毒雏形诞生于1989年，由Joseph Popp编写，该木马程序以“艾滋病信息引导盘”的形式进入系统，采用替换AUTOEXEC.BAT文件的方式，实现在开机时记数。一旦系统启动次数达到90次时，该木马将隐藏磁盘的多个目录，C盘的全部文件名也会被加密，从而导致系统无法启动。在中国，第一个勒索病毒——Redplus勒索木马出现在2006年，该木马会隐藏用户文档和包裹文件，然后弹出窗口要求用户将赎金汇入指定银行账号。

　　实际上，勒索病毒最初针对的是个人计算机，随着企业实施数字化转型，勒索病毒的主要攻击目标也随之发生变化，由此勒索病毒成为令所有企业非常痛恨的一种网络攻击方式。近年来，企业因受勒索病毒攻击造成的巨大损失事件层出不穷。有关数据显示，2019年勒索病毒带来的各种损失达到115亿美元。

　　虽然企业越发重视勒索病毒的攻击，并采取了一定的防护，但业界多家安全厂商对勒索病毒监测发现，勒索病毒的攻击势头仍然呈现上升趋势，频率也在增加。

　　在企业面临的威胁当中，除了对文件服务器、数据库服务、虚拟机和云环境进行直接攻击之外，勒索病毒还会搜索应用和数据备份，并其进行加密，让企业防不胜防。此外，勒索病毒还把更多的目光转向针对云服务器提供商或运营商，对云上的数据进行加密勒索。

　　为了提高攻击的成功率，攻击者也开始采取更长期的观察，从最初的轻微破坏网络安全到完全控制受害者的公司网络，其中一些攻击可能需要数周或更长时间。这意味着，攻击者有足够的时间和耐心来了解企业关键数字资产，从而让他们对受害者施加更大的压力。

　　可以说，勒索病毒已经成为全球企业的噩梦，且情况变得越来越糟糕。

　　勒索病毒无孔不入，安全意识必须树牢

　　在攻击方式上，勒索病毒与其它病毒最大的区别在于其不但会直接利用木马等攻击企业的数据中心，而且还会利用各种移动、桌面设备进行攻击，例如通过企业员工的电脑漏洞来攻击企业的数据中心等等。此外，其还会伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，以此来形成传播，感染企业的应用和数据，造成巨大损失。

　　相关报道显示，截至2019年第四季度，超过57%的勒索病毒攻击载体通过远程桌面协议(RDP)漏洞切入，超过26%通过网络钓鱼攻击传播，还有超过12%来自软件漏洞。

　　因此，在应对勒索病毒方面，首先要让员工树立强大的安全意识，这也正是Veeam倡导的防范勒索病毒的3个终极策略之一：培训。

　　由于勒索病毒能够通过任何员工的设备实现攻击，因此培训的对象不仅仅是IT人员，还包括企业的每一位员工。通过对所有员工进行攻击载体识别培训，让他们了解RDP、网络钓鱼和软件更新是攻击切入的三大机制，找准应对勒索病毒攻击的着力点，树立牢固的安全意识。

　　当然，在对企业IT部门人员进行培训时，需要要求员工学习使用各种工具，以便能够在发生勒索病毒攻击并需要还原数据时，可以及时并快速应对。为此，Veeam推出了Veeam Backup & Replication™安全恢复、Veeam DataLabs™数据备份等防勒索病毒产品，让企业在受到勒索病毒攻击后快速还原应用和数据，保证业务不中断。

　　Veeam Backup & Replication™在安全恢复期间会挂载企业计划还原的机器磁盘，触发杀毒软件扫描已挂载磁盘中的文件，如果检测到恶意软件，则 Veeam Backup & Replication 将中止还原流程，或者根据安全恢复设置中的限制条件还原机器或还原磁盘。

　　Veeam DataLab 是一项 SureBackup® 作业，能够在隔离的环境中执行并打开虚拟机 (VM) 备份，此功能不但旨在验证系统是否确实可恢复，也可用于测试应用程序或操作系统更新等。DataLabs 不但能够用于获取还原点，并在还原之前确保系统按预期运行，还可以在不连接网络的情况下打开DataLab中的一个或多个系统，以执行一些可能的修复。

　　当然，Veeam还建议用户掌握SureBackup 的使用方法，以便于在进行勒索病毒修复时，能够轻松运行 SureBackup作业，确保系统能够正确还原，并且应用程序按预期运行。

　　Veeam认为，培训对于企业防止勒索病毒的攻击有着重要意义，不但能够让企业所有员工树立预防勒索病毒的意识，而且还能够让所有员工熟练掌握防勒索病毒的处理流程，让IT部门员工熟练使用各种工具，快速处理各种风险，在保持业务连续性的同时，将安全风险、成本降至最低。因此，培训是防止勒索病毒攻击的必要措施，企业不得有半点松懈。

　　夯实备份基础架构，弹性抵御勒索病毒攻击

　　当企业遭遇勒索病毒攻击时，快速处理和补救措施必须高效快速，这就必须借助简单、灵活和可靠的备份产品和解决方案。实际上，这也是Veeam防范勒索病毒的3个终极策略中的另外两个：实施和补救。

　　笔者认为，简单、灵活和可靠的备份产品和解决方案，必须具备以下几大要素。首先，必须操作简单，易于使用，这样才能做到在企业受到攻击后能够快速恢复，降低因操作带来的复杂度。其次，必须能够很好的兼容企业所有存储产品。由于大部分企业往往会使用不同品牌、不同型号的存储设备，这就要求备份产品必须能够支持各种存储设备，具备极高的灵活性。最后，必须具备极强的数据自我复原能力，即使遇到再强大的攻击，也能够完整的恢复业务数据。以上这些，也是Veeam提出的弹性抵御勒索病毒攻击的主要理念。

　　在抵御勒索病毒的威胁时，Veeam不但提供了保护Veeam Backup & Replication服务器和组件、实现检测勒索病毒的 Veeam 功能、多种恢复技术配置、多种终端保护、NAS保护、备份数据加密和编排式备份和副本恢复，而且还提出了超弹性备份存储和 3-2-1 原则，即建议至少为重要数据保存三个副本，并保存在两种不同介质上，其中一个副本为异地存储。3-2-1 原则的优势在于对硬件类型没有特别要求，并且具有普遍适用性，能够应对几乎任何故障场景。

　　此外，由于勒索病毒威胁不断加剧，Veeam 强调其中“一个”数据副本必须具有超强的弹性(即物理隔离、离线或不可变)。

　　实际上，Veeam的超弹性备份存储不但支持磁带备份，S3或兼容S3的对象存储中的不可变备份，而且提供物理隔离和离线介质(即移动硬盘、轮转驱动器)以及带内部保护功能 Veeam Cloud Connect中的备份。

　　Veeam认为，从弹性抵御勒索病毒的角度来说，备份解决方案的实施与合规性审计非常一致。产品合规性可能并不在于产品本身，而是完全由产品的实施和审核方式来决定。当遭到勒索病毒攻击时，企业的弹性处理能力完全取决于备份解决方案的实施方式、威胁行为和修复过程。