前言

近来勒索软件所构成的威胁逐步增强,这使许多国内外的企业都遭受了难以计数的损失。最近看到国外媒体的一篇报告中指出,勒索软件攻击范围与影响正在不断扩大,而且随着整个世界都被冠状病毒所侵扰,勒索软件也改变了他们的目标,他们开始对医疗健康企业出手,这使许多病患的治疗过程延时。在计算机世界的恶意攻击对人的生命产生威胁,是大部分医疗机构的 IT 部门始料未及的。当然勒索软件攻击医疗企业并不是刚刚开始的,这让我人联想到了 2017 年 5 月 12 日 发生的 WannaCry 勒索软件网络攻击给英国国家卫生服务局的事件,这造成了近1亿英镑的损失,并导致19,000个医疗预约被迫取消。详细情况,大家可以参考 “WannaCry” 勒索软件网络攻击的教训回顾。

Lessons learned review of the WannaCry Ransomware Cyber Attack
https://www.england.nhs.uk/wp-content/uploads/2018/02/lessons-learned-review-wannacry-ransomware-cyber-attack-cio-review.pdf
Ransomware gangs are changing targets again.
https://www.zdnet.com/article/this-is-how-much-the-wannacry-ransomware-attack-cost-the-nhs/

本文关键章节

  • 前言
  • 本文关键章节
    1. 什么是勒索病毒?
  • 2.来自于Veeam的建议
  • 2.1 简单有效的 3-2-1-0 数据保护原则
  • 2.2 利用 Veeam ONE 监控勒索病毒活动,防患于未然
  • 2.3 利用与生产存储快照结合进行快速的备份
  • 2.4 创建隔离备份环境
  • 2.4.1 利用 Cloud Tier 与 S3 的数据不可变功能
  • 2.4.2 利用磁带 或是 VTL 进行备份
  • 2.4.3 利用云服务提供商进行数据隔离备份
  • 2.5 利用Veeam Secure Restore 定期安全的恢复数据
    1. 总结:防勒索病毒的正确步骤 1,2,3
  • 4.下载白皮书:关于勒索软件的对抗与生存的对话
  • 参考链接

1. 什么是勒索病毒?

勒索软件使所有类型的最终用户和企业面临威胁,也是网络犯罪分子首选的勒索工具之一。它主要通过对数据的加密使数据无法使用,之后以解密之名进行敲诈勒索。受影响企业的损失是显而易见的,其结果包括关键数据丢失、停机时间和企业声誉受损。美国FBI的一份报告显示,2016年,勒索软件的非法收入可能达到10亿美元。这一巨大的收入数字,很大一部分都是由企业缴纳的赎金组成。当用户因为勒索软件导致业务中断,企业通常会认为支付赎金是取回数据最划算的办法。但尴尬的是,这些支付出去的赎金,通常会被直接用于下一代勒索软件的开发。所以很多企业正在无奈地用他们缴纳的赎金滋养着勒索软件开发者的事业。正因如此,勒索攻击正以惊人的速度不断发展,勒索软件家族也正在不断的进化。勒索事件之所以如此恐怖,是因为它不像一般的攻击事件,其发起者只想访问数据或者获取资源,勒索者有时既想要数据,更想要钱!这也是为什么在很多勒索事件中,受害者被骗取了钱财,但未能拿回自己的数据的原因。

img1

2.来自于Veeam的建议

在此背景下,如何保证您的企业业务永远在线,并且不会受到勒索软件等威胁的干扰。如何激活自己的数据安全能力,在物理,虚拟化和多云基础架构之间安全地移动数据,是当今的企业希望转向新的数据智能化管理平台的原因。我们来看看来自于Veeam的建议:

  • 永远的 3-2-1 备份原则
  • 利用 Veeam ONE 监控勒索病毒活动,防患于未然
  • 利用与生产存储快照相结合进行快速备份
  • 与云、VTL 或 去重设备相结合进行安全的数据保护
  • 利用 Veeam Secure Restore 定期安全的恢复数据

如果上面的记不住的话,请记住这个极简单版本

防勒索病毒的正确步骤 1,2,3

  • 遵守 Veeam 3-2-1-0 数据保护最佳实践
  • 利用 Veeam ONE 监控勒索病毒活动
  • 缩短备份间隔,创建隔离的备份环境

img5

2.1 简单有效的 3-2-1-0 数据保护原则

3-2-1-0 数据保护原则具有极大的普适价值,适用于所有企业与个人的数据保护环境, 包括物理、虚拟和云。利用这个原则可以使企业远离勒索病毒的困扰。所谓的 “3-2-1-0 备份规则”。意义在于,至少拥有 3 个数据副本,保存在 2 种以上的介质上,建立1 份异地数据副本,0 则表示 “0 数据错误或丢失”,因为 Veeam 的 SureBackup 可以自动检验每一个备份的可恢复性,从而使备份数据有效性得到保障。

Veeam Backup & Replication™ 可帮助您满足所有 3-2-1 备份规则要求。

至少拥有数据的三个副本

设置 Backup Job (备份作业) 来为您的每一个工作负载创建若干备份集

将副本存储在两个不同的介质上

您可将备份存储至下列任何介质:磁带、磁盘、云等等。

保存一份异地备份的副本

设置 Backup Copy Job (备份副本作业) 来利用内置广域网加速更快速地转移异地备份,或者使用 Veeam Cloud Connect 将异地备份存储至服务提供商基础架构。

2.2 利用 Veeam ONE 监控勒索病毒活动,防患于未然

通常病毒形成威胁的时候,做什么补救的措施都显得很苍白,所以对源头的治理才是最重要的。如何尽早的发现勒索病毒的活动,避免企业承受风险呢?Veeam ONE 中包含了一个值得注意功能,那就是对可能的发生的勒索软件活动进行报警,它会检测VM上是否发生了可疑活动,如下图。这些VMware警报可以提供对数据中心的可视性,以确保您的业务安全性与可用性。

gandcarb

关于警报的参数,是基于CPU总运行时间和磁盘写入状态等条件的,这些参数可以根据您的喜好进行修改:警报可用于提高对可能发生攻击的安全意识,并使系统管理员能够调查,分析和进行和进行判断。我认为你会同意被告知比无视你组织内的持续攻击要好得多。居安思危,未雨绸缪!

gandcarb

2.3 利用与生产存储快照结合进行快速的备份

在防止数据被病毒感染的时候,缩短数据备份的间隔是非常重要的。实现此目标的最佳方法之一就是利用存储系统快照来保持高可用性级别。我们这里以DELL EMC的存储为例, Veeam Availability Suite™ 提供与 EMC Unity 和 VNX / VNXe 所有闪存和混合存储阵列的集成。 通过利用自动化调用存储快照的强大功能来实现备份、复制和恢复任务。此集成功能为数据中心提供了增强 Always-On Enterprise™ 可用性的新方法。 Veeam可用套件附带的存储快照调用功能 与 Veeam Explorer™ 存储快照利用功能,可以大大缩短数据备份间隔和数据即时利用的能力,从而实现更细粒度的数据保护,目前Veeam支持与多种存储集成,使您能够:

最大限度地减少对生产VM的影响而快速备份
从EMC Unity / VNX / VNXe存储快照直接快速创建备份,速度比竞争对手快20倍
在两分钟或更短的时间内轻松恢复单个数据集
与Cloud Connect 结合形成异地备份与长期数据保留

VNX1

2.4 创建隔离备份环境

2.4.1 利用 Cloud Tier 与 S3 的数据不可变功能

Veeam Cloud Tier 支持不可变备份集,这是一种强大的技术,可以抵御勒索软件和其他威胁。 这是通过利用启用了容量层的 Veeam 横向扩展备份存储库(SOBR)来实现的。 容量层是基于策略的功能,可将备份数据写入对象存储。 利用 AWS S3和与S3兼容的存储系统支持具有合规性的对象锁定。这在 Veeam Backup & Replication 中配置非常轻松,只需要选择使备份在指定的天数内不变的选项,同时指定不可变周期即可,如下图就把数据的不可变周期设定为30天。

VNX1

2.4.2 利用磁带 或是 VTL 进行备份

磁带备份:每个 IT 组织对磁带介质都有自己的看法,但是毫无疑问,磁带的购置成本与离线功能和可移植性是无可匹敌的。 除非黑客可以写入磁带或从中读取,否则从库中弹出或移出的磁带介质将自动脱机。 Veeam 支持一次写入多次读取(WORM)介质,以增强抵御勒索软件的能力。 Veeam 还具有广泛的磁带媒体支持,包括将文件写入磁带以及在磁带上完成备份。 Veeam 磁带备份对 VM 和物理服务器都有效。

img4

2.4.3 利用云服务提供商进行数据隔离备份

从上图我们可以看到,利用EMC的Data Domain的功能 ,我们是可以创建隔离备份环境的,这样就可以使备份好的数据,再也无法被更改。同时,在9.5U4的Cloud Connect 更新中 Veeam 的BaaS也添加了有间隙备份(Air-Gapped Backup)选项, VCSP 可以使用 "租户到磁带" 功能创建备份服务以实现更长期的保留。

img4

2.5 利用Veeam Secure Restore 定期安全的恢复数据

备份是个周而复始的日常任务,而病毒的出现则是突发性的事件,这就造成了0 Day攻击的现象,以下图为例,备份每天都在运行,而随着备份的进行,新的病毒也一并随着备份数据存储到了备份介质中,随着时间的推移,反病毒厂商会制作新的病毒库,用来抵抗病毒。而在数据还原时,通常我们都不能将数据直接还原到生产环境中,原因很简单,我们担心二次感染的的出现, Veeam Secure Restore 可以彻底解决这个问题,在发现勒索病毒后,我们可以自动化的周期性的,将之前受感染的数据用安全还原方式恢复。

SR1

Veeam Backup&Replication 允许您执行安全还原 - 使用防病毒软件扫描计算机数据,然后将计算机还原到生产环境。

Veeam Secure Restore 工作原理 如下图,首先,我们在已有的备份集中找到需要的还原点,在Datalabs中将需要还原的磁盘挂载,同时启动杀毒软件进行扫描,如果发现病毒,则启动杀毒,并把主机还原至无网络的状态,等待处理。如果没有发现病毒,则直接还原到生产环境。Veeam的Datalabs创造了一个隔离的数据还原环境,与此同时,在隔离的环境中进行杀毒,这样就可以确保数据还原的安全性。

SR2

在安全还原期间,Veeam Backup & Replication 会将按照您计划将要还原的VM的磁盘装入装载置服务器。然后触发防病毒软件以扫描已装入磁盘中的文件。如果在扫描期间防病毒检测到恶意软件,Veeam Backup&Replication 将中止恢复过程,或者根据安全恢复设置恢复计算机的限制。Veeam可以帮助企业激活自己的数据安全能力,在物理,虚拟化和多云基础架构之间安全地恢复数据,安全还原可用于以下还原操作:

  • 即时VM恢复
  • 整个VM还原
  • 还原到Microsoft Azure
  • 恢复到Amazon EC2
  • EC2实例磁盘导出

3. 总结:防勒索病毒的正确步骤 1,2,3

  • 遵守 Veeam 3-2-1-0 数据保护最佳实践
  • 利用 Veeam ONE 监控勒索病毒活动
  • 缩短备份间隔,创建隔离的备份环境

img5

4.下载白皮书:关于勒索软件的对抗与生存的对话

在这里推荐您下载 《关于勒索软件的对抗与生存的对话》 在这里,您可以了解到

  • 理解与描述勒索软件的影响与复杂性
  • 有效地对抗勒索软件提高企业IT系统弹性和超可用性
  • 快速反应,并从勒索软件攻击恢复

draas_for_dummies

参考链接

《使用Veeam ONE充分利用您的VMware警告》
https://www.veeam.com/blog/vmware-alarms-management-tips-tricks.html
《关于勒索软件的对抗与生存的对话》
https://go.veeam.com/ransomware-awareness-education
Lessons learned review of the WannaCry Ransomware Cyber Attack
https://www.england.nhs.uk/wp-content/uploads/2018/02/lessons-learned-review-wannacry-ransomware-cyber-attack-cio-review.pdf
Ransomware gangs are changing targets again.
https://www.zdnet.com/article/this-is-how-much-the-wannacry-ransomware-attack-cost-the-nhs/

标签: none

添加新评论