勒索软件的发展趋势
2013年勒索软件开始出现,已经成为近年数量增加最快的网络威胁之一。根据亚信安全最新报告显示,在2015年9月至2016年6月期间,勒索软件出现了爆发式增长。一个尤为危险的信号是,在中国传播的勒索软件数量已经从过去的可以忽略不计,增长到如今的数以万计,其中通过网页链接(URL)检测到的勒索软件数量从283个增长到18990个,增长超过67倍,并成为勒索软件感染最严重的10大国家之一。
报告中写到,由于勒索软件可以通过多种途径来传播,因此基于单一层面的防护机制都无法有效防范勒索软件,应该构建多维度深层次的防御体系。
-
Locky通过携带了受感染文件的垃圾邮件传播,并将所有文件的扩展名变更为.locky;
-
Petya通过网络钓鱼进行传播,并引入了新的重写硬盘MBR的方法;
-
Cerber可以伪装成Adobe Flash Player更新,在下一次重启时冒充弹出的Windows可执行文件;
-
Samas利用WEB服务器中的漏洞,在网络内部进行传播。
早期的一些勒索软件工具敲诈的是个人,而新的勒索软件则选择瞄准金融和地方政府,因为他们更有可能会快速支付赎金以恢复其关键业务。不论是Windows,还是Mac OS X系统都将成为他们的攻击对象,其中金融行业的Office、Adobe PDF和图形文件等其他文件扩展名都极有可能成为目标。
勒索软件的类型
勒索软件的破坏方式
勒索软件的主要破坏方式示意如下图:
①病毒邮件发送至企业邮件服务器;
②用户点击打开邮件感染病毒(磁盘被加密/文件被加密)用户不能使用电脑/访问文件;
③受感染用户电脑自动加密其有权限访问的服务器上的文件(Windows磁盘映射);
④其他用户不能访问文件。
勒索软件给金融IT管理带来的挑战
通过上述对勒索软件的主要攻击方式的了解,可以肯定的是,一旦遭遇勒索软件的攻击将会给金融单位带来以下恶劣影响:
-
个人数据和办公电脑不可用,日常办公停滞;
-
金融单位在日常办公领域大量使用基于传统文件服务器的文件共享协作模式,一旦某用户遭遇攻击,会通过文件服务器的文件共享通道快速传播和扩散,在极短的时间内就会影响到整个办公环境,造成整体办公和业务运转停滞;
-
金融机构每天都会向相关金融监管机构(银监会、证监会、保监会)递交相关业务报表,一旦此类文件也被勒索软件感染,会进一步将影响面扩大,后果不堪设想;
-
国内某些金融机构已出现了勒索软件攻击事件,在行业形成了较大的震动。
勒索软件防护要点
-
对重要文件进行备份,在异地至少有一份完整的数据副本;
-
文件集中存储在企业数据中心的服务器而非个人电脑;
-
采用虚拟化桌面VDI场景,勒索软件攻击出现锁屏时可进行快速重建和恢复;
-
通过下一代防火墙进行监控与拦截(对于邮件、文件、备份服务器);
-
通过邮件网关的反病毒功能进行拦截(仅对邮件服务器)。
爱数ARS解决方案
ARS全称Anti-Ransomware Solution,是爱数面向防勒索软件需求场景的数据管理整体解决方案,可以保证数据和系统的可用性和业务连续性。
方案设计原则:
-
Mail服务器或WEB服务器遭到攻击后可以通过数据和系统备份快速恢复;
-
重要办公文档集中管控,细粒度权限访问、安全共享。并且具有文件历史版本的回滚功能,当文件被加密后可以快速会退到正常状态的版本。同时文档集中管理平台需要有防病毒模块,实现病毒文件的主动查杀和隔离功能;
-
采用桌面云解决方案,当遇到磁盘加密或整机锁屏的场景下,可以从虚拟主机快速恢复和还原;
-
采用基于海量日志的大数据分析技术,快速发现勒索软件攻击点,解决勒索软件在企业内的扩散,溯源问题;
-
需要对重要的文档数据、虚拟机文件、Mail及WEB服务器数据进行完整的备份保护,在同城或异地机房至少保留一份完整的数据副本。
方案拓扑图
方案价值:
-
爱数AnyShare可为文件提供历史版本查询及回溯功能,如果存储在AnyShare平台的文件被勒索软件感染,用户可以通过历史版本回溯功能将文档恢复到正常状态的版本;同时AnyShare内置防病毒模块,可以实现病毒攻击的主动查杀和感染文件的自动隔离,将病毒文件的影响控制在最小范围;
-
爱数AnyVM超融合基础设施全面兼容VMware、Citrix以及国产KVM虚拟化产品,当系统文件数据被感染,导致无法正常办公时,可以快速将系统恢复到正确的可用状态;
-
AnyRobort可以通过行为日志分析,快速定位勒索软件攻击点,便于用户快速找到漏洞,从源头解决问题;
-
爱数AnyShare、AnyVM均可以与爱数AnyBackup结合,对云端的数据以及关键的虚拟机进行备份保护,当文件被勒索软件锁定或者终端桌面被锁屏后,利用备份数据即可轻松恢复数据文件和虚拟机文件;
-
爱数AnyBackup保护的数据可以实时或定时同步到同城或异地数据中心,轻松实现D2D2R解决方案,进一步确保了本地数据中心数据的安全性和可用性;
-
爱数ARS解决方案可以完美解决勒索软件防护要点中涉及到的数据管理问题。在勒索软件攻击场景中,践行为用户提供持续数据运营服务的价值理念。
