作者:Edwin Weijdema,Veeam欧洲、中东及非洲地区首席技术官兼首席网络安全技术专家
现在,大多数企业已经认识到了勒索软件的风险。虽然这肯定是件好事,但我们也应该注意到,勒索软件的攻击次数和破坏程度已经达到了前所未有的级别。我们经常听到受影响的公司说,虽然他们知道被攻击的后果可能会很严重,但实际情况甚至超出了他们最糟糕的设想。为什么会这样?因为他们的企业没能充分做好从被攻击后恢复的准备。
在最近一份关于数据保护和勒索软件恢复的报告中,多达 85% 的企业表示,在过去 12 个月中,他们至少受到过一次勒索软件的攻击。在 49% 的公司中,黑客已经作案两到三次。在 17% 的案例中,甚至出现过四次或更多次。这些惊人的统计数据清楚地说明了一件事:每个企业都应该随时做好可能会被网络攻击的准备。
更加关注勒索软件本身并不是解决办法。企业已经过度关注了这个单一的概念,导致无法把握更大的局势。因为不仅有很多比勒索软件危害更大的其它方式,他们会为发起成功且有毁灭性的攻击开路,而且在攻击发生时,黑客往往已经在公司系统中肆无忌惮地窥探了数月至数年,然后才放出勒索软件本身。为了更好地应对,我们必须首先了解勒索软件攻击前的运作。
系统中的不速之客
事实上,勒索软件的出现只是攻击周期的最后一环。这是攻击者走出幕后现形的时刻。在你不知道的情况下,黑客很有可能此时也在监视着你的企业系统。此外,并非所有网络攻击者都有意图发动勒索软件。只要不被发现,他们就可以查看和窃取敏感信息,这比支付赎金换取加密数据或系统对企业造成的损失更大。
典型的攻击始于观察阶段,黑客会在企业中寻找有趣的目标。然后,他们发送网络钓鱼来创建入口点。他们可以自己使用这些入口,但也可以很容易地将其转售给其他网络犯罪分子,这些网络犯罪分子则通过内部渠道传播网络钓鱼,以获得更多的访问权限和特权。就像我们看不到他们一样,黑客也不知道他们到底在哪里。就像走在黑暗的酒店里,逐渐发现前台、厨房和电梯在哪里。一路上,他们接管机器,尽可能多地去禁用安全机制。
到目前为止,至少已经过去了好几个月的时间,黑客们在您的企业中越来越来去自如。在开始发动勒索软件之前,他们已经在攻击的每个阶段都添加了恶意软件。当然,他们也会额外关注您的备份,因为您的企业可以利用它们快速恢复,这样还可以绕过任何赎金要求。在攻击发生后,彻底清理恶意软件也应该是重中之重,因为黑客可以通过这种方式迅速卷土重来,对企业进行第二次攻击。
那么,我们就没有办法减少网络攻击的影响了吗?虽然没有可以让奇迹发生的解决方案,但我们至少应该提高企业的应变能力。为此,每家公司都应制定可靠的灾难恢复计划。我们过去对这些事并不太关注,但这也是可以理解的,要知道许多灾难(如大洪水)每一百年才会发生一次。然而,网络攻击的概率要高得多。与其他灾难一样,这种攻击需要强有力的危机管理、清晰的沟通,和能够迅速做出决策的危机团队。
因此,一个好的网络恢复计划不仅要关注 IT 部门和企业的技术部分,还要关注现代公司成功公式中的另外两个要素:人员和流程。在数字化社会中,我们需要扩大这三大支柱之间的凝聚力。只有这样,公司才能真正提高其复原力,并在遭受任何灾难或挫折(包括勒索软件攻击)后迅速恢复。
情况在好转之前会变得更糟
我们以一个好消息和一个坏消息结束本次反思。坏消息是:勒索软件目前尚未达到顶峰。正如上述报告所显示的,我们正在遵循这样一种趋势,即情况必须先变得更加严重,然后才能有所改善。好消息是,转机终将到来。也许在两年左右的时间里,企业就会吸取教训,知道在灾难发生时应该采取哪些措施,从而具备足够的应变能力。
当然,网络攻击总会造成混乱,但有了强有力的应急计划,我们就能在一定程度上控制混乱,并确保数据可恢复。前提是我们要摆脱围绕网络犯罪的 "浪漫化/天真化 "的氛围,认识到事态的严重性。很多时候,网络犯罪被认为是一个读起来令人兴奋的话题,就像悬疑电影一样,但我们并没有充分认识到,黑客是伤害许多人的罪犯。因此,勒索软件是一种残酷的犯罪形式,我们必须一起彻底打击。