面对云勒索病毒攻击，企业应如何制定云端保护策略？

作者：联想凌拓云安全团队

新冠疫情下，人们的生活发生了极大的改变，足不出户就可以远程办公、在线问诊以及线上听课，生产、服务、消费等场景都变得在线化。随着线上需求的激增，中国企业也向数字化、智能化的方向加速转型，利用无服务器、容器和机器学习等新技术，将工作负载从数据中心迁移到云端。然而，中国企业在享受云端数据管理的高性价比、高扩展性及灵活性的优势时，云安全问题也随之而来。

整体来看，大多数中国企业上云的过程是分布实施的，这意味着企业的IT环境会变成混合云、多云的架构，复杂性大幅提高，网络暴露面加大，企业所面临的云安全威胁也与日俱增。知己知彼，方能百战不殆。为了更好的防范云勒索病毒攻击，我们先来了解一下什么是云勒索病毒。

什么是云勒索病毒？

勒索病毒（又称勒索软件）是一种能够感染系统和设备的恶意软件进程。部署勒索病毒通常是为了阻止被攻击的企业对其数据、应用和环境的访问。一旦系统被勒索病毒感染，恶意进程就开始加密文件。然后，该企业会收到要求支付赎金的消息。否则数据就会保持加密状态，无法继续使用自己的信息。

此外，勒索病毒也可能会试图访问更多系统，扩大网络传播范围。由于云环境通常是为了方便访问和使用而构建的，因此云环境一旦被勒索病毒感染，就可能造成重大损失。

勒索病毒为什么瞄准云？

首先，企业数据正在向云端迁移。云称得上是一座“数据金矿”。试图将数据转化为可操作的洞见或出售信息的企业注意到了这一点，网络犯罪分子也注意到了这一点，并且他们也意识到大量涌入云端的数据非常有价值。云计算供应商为全球企业和个人提供服务，而且他们所提供的也不仅仅是简单的软件即服务（SaaS）产品。有一些公司会使用数据库即服务（DBaaS）将整个数据库转移到云端。也有一些企业机构使用基础设施即服务（IaaS）将整个基础设施转移到云端。所有这些服务都承载了业务连续性所需的宝贵数据，因而吸引了勒索病毒攻击者的注意。

其次，云服务对业务连续性至关重要。为了取得成功，勒索病毒攻击者必须针对绝对关键且不可替代的工作负载，否则被攻击的企业就没有支付赎金的动力。由于疫情限制，企业的工作模式逐渐转为远程办公形式。为了给员工提供虚拟工作空间，许多公司倾向于放弃传统（且速度较慢的）虚拟专用网络（VPN）。许多IT团队更倾向于使用虚拟桌面基础架构（VDI）来自主管理虚拟机（VM）的部署，或运用云端托管桌面即服务（DaaS）产品。所有这些关键业务都是攻击者的目标。

最后，云资源由多人共享。如果攻击者设法加密云存储供应商的服务器，而恰巧被攻击的服务器也在为许多云用户提供资源时，攻击者就会提高单次攻击的赎金。然后，那些共享同一台服务器资源的云端用户迫于业务压力，不得不屈服支付赎金。而当攻击者获得高额利润后，又间接刺激了勒索病毒攻击的增长。

云勒索病毒的攻击类型及应对建议

与本地系统不同，由于云的共享资源和Internet可访问性，云更容易受到服务和环境的影响。为了更好地预防和防范云风险，企业需要全面了解勒索病毒的攻击方式。联想凌拓发现，在以下三种情况中，云容易遭到勒索病毒攻击：勒索病毒同步至云文件共享服务、RansomCloud攻击（针对云数据的勒索病毒攻击）和勒索病毒攻击云服务供应商。同时，我们基于上述三种情况也提供了针对性的建议，帮助企业筑牢云端数据管理防线。

• 勒索病毒同步至云文件共享服务

勒索病毒通常先感染本地计算机，然后再到达云端。勒索病毒在本地机器上渗透进同步到云端的文件共享服务。该恶意进程会对被侵入的机器所存储的文件进行加密，然后将被破坏的文件传播到云端。这种类型的攻击使得企业网络面临巨大的风险，一旦感染扩散到云端，企业的整个云共享系统就会遭到威胁。然后，勒索病毒就可以进行网络传播，感染其他联网机器。如果勒索病毒蔓延到没有备份的文件，被攻击的企业可能就需要被迫支付赎金。

为此，我们建议企业从三个维度来防范云勒索攻击：在主动防御方面，企业应部署结合ONTAP的CryptoSpike防勒索病毒解决方案以保护关键的共享文件存储，拒绝勒索病毒攻击，并使用能够防御勒索病毒、保护本地文件的新一代杀毒软件；在操作系统方面，企业应采用最新安全补丁持续更新操作系统（OS）；在网络服务方面，企业应使用网络过滤服务拦截受感染网站。如不幸遭受攻击时，企业应分三个步骤做好响应对策：首先，企业应立即断开被感染的设备和系统与互联网的连接；然后，企业应迅速联系IT和安全专家来获取技术支持；最后，企业可使用第一方或第三方解决方案来采取备份和灾难恢复策略。

• RansomCloud攻击

RansomCloud是一种以Office 365等云端电子邮件服务为目标的新型勒索病毒。攻击者会使用钓鱼邮件来获取电子邮件账户。钓鱼邮件看起来跟正常的电子邮件一样，来诱导和欺骗受害者点击文件来破坏他们的系统，或诱导受害者为攻击者提供自己的账户访问权限。一旦攻击者获得电子邮件账户的访问权限，他们就可以使用勒索病毒对受害者的电子邮件信息进行加密并对受害者进行金钱勒索。此外，攻击者还经常使用电子邮件账户发起新的攻击、冒充账户所有者、诈骗受害者的家属并向受害者的联系人传播恶意软件。

面对RansomCloud攻击，我们建议企业从两方面着手：首先，在员工培训方面，企业应该为员工提供相关攻击的培训和最新教育资源，来帮助各级员工了解如何识别、避免和报告网络钓鱼；其次，在受到攻击时，企业可采取电子邮件备份和灾难恢复策略，确保数据在受到攻击时仍然可用。

• 勒索病毒攻击云服务供应商

为了增加每次攻击的收益，攻击者往往直接针对云供应商，试图利用漏洞来更大范围渗透系统。然后，攻击者就可以要求更多被攻击的企业支付赎金。因此，企业与云服务供应商合作时，也需要建立一种结构化的合作方式共同防范勒索病毒攻击。

因此，我们建议企业在与云服务供应商合作时，要做到以下两点：首先，企业要有明确的需求。由于服务供应商通常都有自己的勒索病毒恢复计划，因此，企业要求自己的供应商提供他们的计划，从而评估该供应商面对重大灾难（包括勒索病毒攻击）的响应能力。另外，企业要制定应对服务中断的后备计划。为了确保业务连续性，企业应该自行制定一份关于如何在供应商服务中断期间继续运营的计划。例如企业可以制定使用多家云供应商的多云策略，以确保企业在故障期间也能够恢复正常运行。企业还可以在基于IaaS架构的服务商环境以及本地的私有云环境中部署CryptoSpike防勒索病毒解决方案以确保关键共享文件存储免受勒索病毒攻击，并以此制定一项利用本地资源或第三方恢复解决方案的混合云策略。

放眼未来，随着中国企业数字化转型的加速，企业的IT基础架构将全面进入“云时代”。而在“云时代”，企业固定的防御边界也不复存在。中国企业只有建立全面的云安全策略，才能从容面对诸如云勒索病毒等“云威胁”，打造安全稳定的IT架构，借助云端优势，在数字化时代脱颖而出。