以守为攻，铸造抵御勒索软件的铜墙铁壁

据区块链分析公司 Chainalysis报告显示，2020年被勒索软件攻击的组织至少支付了3.5亿美元赎金。在这一触目惊心的数字背后，还有不断愈演愈烈的网络犯罪活动。勒索软件攻击者一般倾向于将目标锁定在能够提供大笔付款的大公司，或者是无力承受任何攻击的中小机构。勒索软件的受害者已经不仅仅局限于商业领域，还包括政府部门、教育和卫生机构。网络犯罪分子不仅会加密文件，还会窃取企业的核心数据，并威胁如果不支付赎金，他们就会向全世界公布这些数据。难怪有业内人士预言，2021年将迎来勒索软件的全面爆发。

数据保护仍是重中之重

在日益严峻的网络安全威胁下，企业愈发意识到数据才是自身最有价值的资产，无关规模大小和所处行业。数据只有在得到有效保护的情况下，才能实现其价值，推动企业的业务创新和发展。2021年数据保护仍是重中之重。

在任何时间，全球任何地点都有企业面临勒索软件攻击，企业数据就是勒索事件中的扣押“人质”。这里我们要讲一个正面例子，在勒索事件发生后“人质”如何从绑匪手中巧妙逃脱，不仅毫发未伤，同时也未对正常业务运营造成任何影响。这个例子是Commvault的客户——位于美国内华达州的斯帕克斯市政府。在该市遭遇勒索软件攻击后，Commvault第一时间发现了攻击情况，并帮助客户迅速从攻击中恢复了数据。因为斯帕克斯市政府已经完成了对其物理和虚拟服务器上的数据备份，所以才能在短短12小时内快速恢复数据，而无需几周时间。借助Commvault提供的集成数据恢复解决方案，任何组织机构都可以在受到网络攻击情况下快速恢复数据，并保持业务连续性。

以守为攻，防患于未然

Commvault的使命是帮助客户做好准备，包括数据准备、合规准备和恢复准备。Commvault平台内置的逻辑可跟踪典型的数据活动和行为。通过数据监控，Commvault可以为客户提供第一时间发现勒索软件攻击的洞察力。如果看到异常峰值或其他异常情况，Commvault软件会提醒客户注意潜在的危险情况。Commvault软件可以将复杂的恢复过程自动化，同时涵盖合规操作，并为客户提供整个过程内的详细洞察。

Commvault认为，一个完整的勒索软件策略既包括降低成功攻击的风险，也包括减轻成功攻击带来的影响。完整的策略由五个环节构成：

1. 制定计划：就像任何灾难恢复计划一样，反勒索软件计划的基本要素有三点，即识别关键应用程序并对其排列优先级；为系统、数据和应用程序定义恢复点目标 (RPO)、恢复时间目标 (RTO) 和服务水平协议 (SLA)；以及确保所有相关人员参与至数据恢复工作中。
2. 预防攻击：首先要提高员工的警惕性和IT人员及时更新补丁漏洞的意识。接下来企业可通过强化基础设施和使用AAA 安全框架，从身份确认、授权和记账三方面强化应用程序。关于勒索软件防护，可使用备份设备、非标准端口切换、WORM（一写多读）技术和Air Gap空气间隙技术等多种方法保护备份数据。
3. 监控环境：检测可以包括扫描服务器异常，如不寻常的文件系统行为等。机器学习已经成为这项工作的核心，其使用历史数据来识别合法活动和潜在问题迹象之间的区别。蜜罐可通过创建一个对黑客特别有吸引力的隐藏文件类型并监控它的签名变化和其他异常，从而进行进一步检测。
4. 恢复数据：备份数据有三种方法，每种方法对恢复都有不同的影响。其中传统备份在文件级进行；块级备份通过逐块处理可避免传统备份的性能损失；以及复制采用连续的方法进行数据备份。
5. 测试计划：一旦制定了计划并有了执行它的程序和技术，下一步就是频繁执行测试，以验证是否能够满足组织为关键和高优先级数据和应用程序定义的SLA。

在我们努力发展数据恢复技术的同时，勒索软件的攻击能力也在水涨船高，正与邪的对立问题可能永远都不会消失。所以我们需要尽可能的加强数据保护，避免将数据暴露在威胁下，并积极采取措施，以守为攻，主动对抗勒索软件。只有多方面、全方位的数据保护，才能铸造抵御勒索软件攻击的铜墙铁壁。(本文作者为Commvault中国区技术总监李可 )