毫无疑问,自2017年WannaCry、NotPetya席卷全球以来,勒索攻击一直以不可忽略的危害性和破坏力,被全球企业和机构视为最大网络威胁之一,再加上2020年,受疫情大流行和全球数字化进程加快的驱动,数以百万计远程办公场景的快速激增,也一定程度上因网络的开放和对外接口的增多,给勒索攻击提供了更多的机会。
除此之外,面对持续表现出旺盛活跃度且信用度不高的勒索攻击团队,过往依赖“赎金”支付的挽救措施也同样失去了效果,而“防患于未然”的数据保护部署策略变得更加重要,由此才能最大限度规避攻击风险、降低攻击所带来的成本支出。
那么,面对外部环境的一系列全新变化,以及勒索病毒攻击的愈演愈烈,对于国内企业客户而言,在数据保护体系方面应该树立何种理念?而构筑一个未雨绸缪的数据保护“避风港”又应该如何落地和实施呢?
新常态:勒索攻击太猖獗在戴尔科技集团大中华区数据保护产品技术总监李岩看来,今天的数据保护正面临着全新的挑战,既有类似网络光缆挖断这样的“黑天鹅”事故,也有机房失火、云数据中心员工不当操作导致误删除以及勒索病毒这样的网络威胁等“灰犀牛”事件,前者往往是突发性的,很难提前预判,但后者则是容易被大多数企业忽视的。
特别是当前随着科技发展日新月异,技术创新如火如荼,但不可否认的是,来自勒索病毒等网络威胁并没有因此而被削弱,结果甚至恰恰相反——技术在强化“盾牌”坚固性的同时,也让勒索攻击的“长矛”更加锋利。
根据Verizon和埃森哲的数据统计,目前全球每11秒就发生一起网络攻击;其中,71%的入侵具有金钱动机,而43%的入侵涉及到小型企业;此外,类似勒索攻击这样的网络犯罪给一家组织造成的平均损失就高达1300万美元;而未来5年全球面临的损失将会高达5.2万亿美元,且各行各业均面临着这样的损失威胁,也正因此网络犯罪被称之为“历史上最大的财富转移”。 同样,中国也是“网络攻击及勒索病毒”的重灾区,来自腾讯安全《2020上半年勒索病毒安全报告》显示,从地区分布来看,广东、浙江、山东、河南、上海最为严重,其它省份也有遭受到不同程度攻击。此外,从影响行业看,传统企业、教育、医疗、政府机构遭受攻击最为严重,互联网、金融、能源也遭到勒索病毒攻击影响。
可以说,无论是国外还是国内,勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作,正在世界范围内持续产生严重危害。更致命的是,被攻击者不仅要面临数据泄露带来的经济损失,还需要承受赎金支付后数据仍被公开的不确定性,以及相关数据泄露法规的处罚和声誉影响,而这种“双重勒索”也正渐成为勒索攻击的“新常态”。
数据也显示,只有不到五分之一(18%)的人成功恢复了被锁的文件;三分之一(35%)的人丢失了“大量数据”;13%的人丢失了几乎所有的数据;而大多数(55%)的人也仅仅只是恢复了部分文件。
正如李岩所言:“过去通过协商或者支付赎金的策略并不是最终的解决之道,因为遭遇勒索病毒攻击后损失的不仅仅是赎金,还包括业务停顿损失;付出的大量人力和时间成本;CIO的职业风险;以及商誉、索赔、法律诉讼、商业机会损失等等。”
不难看出,面对愈演愈烈的勒索攻击这样的网络威胁,身处产业数字化浪潮中的每一家企业或机构都可能成为勒索攻击的下一个攻击目标。因此,重新思考应对勒索攻击的战略,以及做好数据保护的体系以防患于未然,不仅至关重要,更是“迫在眉睫”。
新方法:三位一体是关键面对这种全新的变化和挑战,李岩认为企业应该建立“两条腿走路”的策略,并通过“三位一体”的方式,才能实现最完善的数据保护,最终构建起数据保护的闭环战略。
具体而言,“两条腿走路”的策略,是指既要建立起充分的防御,也要做好完善的保护。对于企业的安全部门而言,无论是防火墙、防病毒、入侵检测、漏洞扫描、访问控制、网络监控等建设,还是内部的安全策略的制定、职责分工、风险管理、网络安全转入、灾难恢复计划等管理和流程,都是做好安全防护的第一步。
但也要承认,任何一个安全防护系统都很难是一个完美的系统,因为这个过程中隐藏着大量的“剩余风险”和“约束风险”,其中“剩余风险”是指那些运用了所有的控制和风险管理技术以后而留下来,未被管理的风险;而“约束风险”,是指企业往往会受到组织架构、业务流程、技术手段以及人员素质等影响,由此造成风险管控上的疏漏,加上目前勒索攻击的手段十分丰富,出现了多种多样的组合方式,这些都会让企业的安全防护策略“防不胜防”。
“真正两全其美的策略是什么,一定是充分的防御加完善的保护才行,缺一不可,只做一边,不做另一边,那么在数据保护上就是瘸腿走路。”李岩说。
而在数据保护上,则必须通过“三位一体”的新方式,这种“金字塔式”的数据保护策略,则会让企业的数据保护更安全——目前超过80%的企业应用,都应该做好数据备份,它能提供最基本的保护,并能全面覆盖所有工作负载,同时具有可靠、快速、低成本恢复的优势;同时,60%-70%的企业应用,还要进一步做好灾难恢复(DR),这是因为企业的数据保护不仅会面临风火雷电等自然灾害,更能够有效防止站点故障的发生,其优势在于节省带宽、快速复制,但这种方式也仅仅只能部分防护黑客和勒索病毒的攻击。
不仅如此,对于特别重要的企业应用和特别关键的数据,仅有备份和容灾仍然是不够的,这就需要通过弹性网络恢复(CR),针对关键应用防勒索攻击,加上安全加锁,进一步防止内部攻击,这种“三位一体”的全新数据保护方式,才能最终确保数据完整可恢复。
为何一定需要“三位一体”的数据防护方式呢?李岩表示,一方面仅有备份是没有用的,因为备份数据也是攻击的主要目标。换句话说,任何暴露在网络中的数据都面临数据安全威胁;另一方面,灾难恢复(DR)不等于网络弹性恢复(CR),因为传统的灾难恢复/业务连续性解决方案,已不足以应对现代化的网络威胁,从下图中也能清晰的感受到二者的本质性区别。
对此,戴尔科技集团大中华区数据保护业务拓展经理匡志勇也强调:“很多发生的灾难恢复其实往往属于‘黑天鹅’事件,而勒索攻击这样的网络威胁则是‘灰犀牛’事件,从事件发生的频率和威胁的严重性上来说,企业快速建立网络弹性恢复(CR)的能力就显得十分重要。”
从这个角度来看,网络弹性恢复(CR)之所以被称之为数据保护的“避风港”,背后的关键在于,它不仅能帮助企业从勒索攻击或者逆境中恢复或轻松构建出适应的能力,同时也将是企业数据保护的终极方案,由此让企业对勒索攻击建立起真正的“免疫”能力。
新价值:未雨绸缪固基石回头来看,数据保护体系就如同人的疾病防疫,“防患于未然”和“御敌于千里之外”显然是最为理想的结果。因为若采取被动防御方式,一旦得病后再去“求医问药”,即使最终能够医好,恐怕也会消耗极大的精力与体力,并造成实际损失,这显然也与建立数据保护的初心相违。
事实上,目前关于如何最有效地保护关键数据和数字资产免受网络攻击的威胁,全球广泛多样的行业中的监管机构已逐渐达成共识,那就是通过建立“避风港”,以隔离的方式保护关键数据拷贝,是从勒索软件和毁灭性的攻击恢复的最好方式。
同样,国内法律法规关于防网络攻击中也做出了相关规定,比如《网络安全法》中就明确指出:“企业针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击。”而国家保密局防勒索威胁建议中,也指出构建多重防御体系,是提升网络风险防控能力的关键。
那么,企业如何才能开启数据安全的“避风港”之旅呢?在这方面,戴尔科技集团能够提供相关的方法论、落地策略,以及创新的解决方案,帮助企业实现了最佳的数据保护能力,让企业能够能把数据保护的“主动权”牢牢掌握在手中。
首先,是方法论,正所谓“授人以鱼更要授人以渔”。李岩认为,建立“避风港”需要一种全面的方法和能力,对于企业来说,就必须要做好以下工作:一是,决定企业关键数据,即在遭受灾难性网络攻击后,企业需要评估哪些数据对恢复正常业务至关重要,通常而言这些关键数据占客户总资产数据量10%—15%之间;二是,评估数据容量,即一旦发生灾难性的攻击,Vault区能够将企业最关键的数据恢复到生产状态。
在此基础上,需要定义恢复时间,即业务部门需要概述和定义灾难性攻击后,恢复的端到端恢复时间表;最后是与数字化转型以及云策略保持一致,即企业需要了解云中的数据集是什么,它们如何受到保护,以及在发生网络攻击时是否需要云中的数据或服务。
其次,是落地策略,戴尔科技集团能够提供数据安全的多重数据保护方案和策略,即备份+容灾+CR避风港,同样这个环节也需要采取“四步走”的方式:第一步是企业需要做好本地备份+异地容灾的工作;第二步是重要数据复制到CR保险库,同时设置弹性网络隔离降低入侵风险;第三步是数据实现上锁,生成不可篡改版本,并在沙箱内扫描侦测数据是否被感染破坏;第四步是遭遇勒索攻击时,能以最快的速度对完整数据进行恢复验证。
李岩指出,数据安全“避风港”也并不是“放之四海而皆准”的,企业一定要明确认知其最佳应用场景——保护组织总部最有价值数据资产,以及为分支机构建立数据安全保险库,即借助总部提供的共享资源池,保障分支机构关键数据安全。
与此同时,建立数据安全“避风港”也需要基本的架构准备,即CR Vault区必须包含安全的基础设施来存储企业的关键数据,并支持一个分析平台来检测恶意活动,同时这个区域仅支持授权人员访问;同时,企业还需建立一个“清洁室”,必须是经过净化的基础设施,以支持迁移回生产环境;此外,数据落地区域,同样也需要净化的基础设施,主要用于存储数据,锁定数据不被串改,能够进行数据扫描,最后能够平滑转移到“清洁室”。可以说,如此完善的落地策略,为企业构建数据安全“避风港”真正做到了“保驾护航”。
最后,是就绪的方案,戴尔科技集团不仅具备方法论和落地策略,更有就绪的、创新的解决方案,这就是PowerProtect Cyber Recovery解决方案。该方案通过多层安全设计解决方案可防范广泛多样的威胁——其中包括内部人员威胁 此外,也能够通过现代化的用户界面来实现自动化、编排化的运营,由此让客户建立起领先的网络弹性,最终实现“断、舍、离、锁、侦”。
逐一拆解来看,所谓“断”,是断开备份主机及备份储存媒体,避免备份主机及备份数据 同时遭绑架勒索;“舍”是舍去大量数据,透过专利去重复技术,舍去高达60倍的储存空间需求;“离”,是指离开风险,建构安全备份平台;“锁”,是锁住备份数据,无法恶意窜改;而“侦”,是指使用AI/ML技术对恶意软件(包括勒索软件)进行扫描、分析、侦测,并提供即时报警。
值得一提的是,PowerProtect Cyber Recovery也是一套十分成熟的解决方案,目前已在全球经过了700多家客户的实践验证,其技术创新优势更在业界引领了多个第一,比如PowerProtect Cyber Recovery在2015年发布时,就是全球第一个提供定制部署服务的“隔离”恢复解决方案;而最近两年,PowerProtect Cyber Recovery也是第一家参与“Sheltered Harbor”联盟项目的解决方案提供商成员;第一家获得“Sheltered Harbor”项目背书的“交钥匙式”的数据保险库解决方案。
总的来说,通过PowerProtect Cyber Recovery构筑的数据安全“避风港”能够为用户化解以下挑战——直接解决的挑战包括勒索病毒攻击、外部恶意攻击以及内部恶意“删库跑路”下恢复关键业务数据;而间接解决的挑战则包括避免支付赎金,减少停业损失、商誉损失、机会损失、时间成本损失、避免律诉诉讼风险等,从而使得用户真正具备了应对来自未来已知的或未知的网络攻击能力,让关键业务数据做到“坚如磐石、稳如泰山”。