一直以來,勒索軟件就是企業的心頭大患,2024年還將持續困擾各行各業。在CNCERT國家工程研究中心發布的“2024年七大網絡安全威脅”中,第一個就是勒索軟件。
新的一年,勒索軟件將呈現出哪些新的技術方向和組織形式,又演變出哪些勒索手段?面對這些新挑戰,企業反勒索手段該何去何從?
2024年勒索軟件呈現三大趨勢
勒索軟件攻擊保持強勁增長
根據Group-IB發布的《2023-2024年高科技犯罪趨勢報告》顯示,勒索軟件保持強勁增長,2023年數據泄露網站上的公司數量同比增長74%。
安全公司Sophos發布的《2023勒索軟件態勢報告》也顯示,66%的機構在過去一年中遭受過勒索軟件攻擊。其中,76%的攻擊導致數據被加密,受害機構為此而付出的平均成本為182萬美元。
事實上,大規模增加的勒索軟件攻擊正在瞄準所有行業,醫療保健、政府和關鍵基礎設施尤其成為勒索軟件的攻擊目標。
新的一年,攻擊者會不斷嘗試領先于安全廠商開發新的戰術、技術和程序。隨著攻防雙方對抗升級,攻擊者也會不斷改變策略,選擇更簡單、更邊緣的途徑,來獲取同樣的關鍵數據,比如利用常用應用程序中的關鍵漏洞來發起攻擊。
AI增強勒索軟件攻擊的能力和效率
隨著ChatGPT等眾多AI服務的興起,勒索軟件攻擊的難度與成本均有大幅度降低。就在2023年,我國杭州市網警破獲的一起勒索軟件攻擊案件中,不法分子就是通過ChatGPT完成勒索軟件優化。
目前,犯罪團隊已經開始利用AI和機器學習來增強勒索軟件攻擊的能力和效率,包括:更令人信服的網絡釣魚嘗試、自動惡意軟件創建、逃避安全措施、個性化的社會工程攻擊等,這使得傳統防御機制更難檢測和預防它們。
勒索手法從數據加密、泄露轉向數據刪除
如今,犯罪團伙已經采用了層出不窮的勒索手法,如:雙重勒索、三重勒索,通過加密數據勒索贖金,或威脅泄露數據向受害者施壓。
但既然是勒索,犯罪團伙也傾向于采用更有效的勒索方式,數據刪除勒索正是其中之一。
數據刪除比加密更快,而且代碼編寫也容易得多,不需要進行復雜的公私鑰處理,也不需要在受害者支付贖金后提供復雜的解密代碼來挽回損失。如果數據被破壞,而企業又沒有備份,那就只能要么付錢,要么丟失數據。
什么樣的數據備份才能有效反勒索?
事實上,戰勝勒索軟件,取決于各大企業自身的網絡防御能力。但即便是安全防御能力最強的企業,也難以保證能夠100%抵抗勒索軟件團伙的滲透。
因此,在反勒索軟件的策略中,數據備份就成為重要的組成部分。研究表明,使用備份的勒索軟件受害者的恢復成本中位數,是支付贖金的受害者的一半。
但值得注意的事,并非所有的數據備份方法都是有效的,例如:
數據備份可能存在備份被感染或清除的情況
據Veeam勒索軟件趨勢報告顯示,2022年,惡意行為者至少有93%的攻擊以備份為目標。更令人震驚的是,75%的攻擊中,對手成功滲透了備份存儲庫;受影響時,39%的存儲庫將變得無法使用;近三分之一 (29%) 的數據恢復嘗試不可行。
恢復過程中出現數據丟失
恢復過程會出現各種類型的數據丟失,從簡單的文件丟失到整個系統的完全崩潰。在數據恢復過程中,需要重新建立文件系統、重新安裝操作系統、重新安裝應用程序和恢復數據。
除此之外,很多企業在恢復時才發現很多關鍵數據沒有被正確備份,又或者是因為備份周期太長、沒有測試備份數據等原因,導致發生勒索軟件攻擊時無法全數據、全維度地恢復數據。
數據備份無法快速恢復數據
此外,數據備份能否在發生數據丟失時快速恢復數據,以保證業務的正常運行,也是一大考驗。據Veeam勒索軟件趨勢報告中的受訪者估計,他們平均需要3.3周的時間才能完成恢復工作。現實情況是,一些恢復工作可能會持續數月。
總的來說,能夠有效反勒索的數據備份需要具備幾大特點:一是干凈恢復;二是完整恢復;三是快速恢復。這就要求數據備份不僅自身是安全可靠的,還要能夠實時對數據安全進行監測。
對此,瑞數信息專家認為,數據備份需要構建“事前數據健康體檢、事中智能威脅檢測、事后快速響應恢復”的數據安全閉環防護體系,才能有效對抗惡意軟件攻擊,進行數據健康體檢,快速發現惡意威脅,并在數分鐘內恢復系統的正常運行。
瑞數DDR有效對抗勒索軟件
基于此,瑞數信息推出的數據安全檢測與應急響應系統(River DDR),正是這樣一款反勒索的數據備份利器——通過事前、事中和事后數據安全閉環防護體系,有效解決傳統終端安全軟件被繞過,備份系統恢復過程冗長等嚴峻的安全問題,讓勒索軟件等新興數據安全威脅無法再四處為虐。
事前數據健康體檢
創新的智能數據風險識別引擎,基于“深度文件內容檢測”技術,能夠高效識別企業數據中心內各類結構化與非結構化數據是否已被破壞或隱含風險。
事中智能威脅檢測
創新的AI智能識別引擎,提供基于“數據訪問行為模式”的智能分析與識別能力;通過AI熵值檢測技術,改進目前數據安全檢測的速度、檢測的正確率,以使安全檢測可以達到國內領先程度,解決當前業界無法通過安全檢測來應對勒索攻擊的問題,實現全鏈路威脅行為與內容變化追蹤,即時發現可疑的攻擊行為。
事后快速響應恢復
創新的智能檢測沙箱與溯源引擎能夠有效定位攻擊事件根源,移除勒索軟件加密后的文件并用最新的干凈備份進行恢復,同時對系統進行加固,自動生成可直接掛載的干凈數據。
總的來說,瑞數數據安全檢測與應急響應系統(River DDR)具備以下技術優勢:
掌控數據資產:生成企業數據完整性、敏感數據分布及權限審計等報告,幫助用戶擺脫無法掌握數據資產分布以及數據安全威脅不可見的窘境。
防勒索軟件攻擊:建立數據安全預警能力,對批量數據竊取及高度隱蔽性異常訪問等惡意行為進行智能安全分析,高效識別各類已知與未知的攻擊。避免大量數據被加密、竊取后,才發現已經長時間被勒索軟件攻擊。
保護備份數據:隔離備份數據,防止勒索軟件、黑客或內部人員刪除或破壞備份數據。
持續驗證備份數據:持續驗證備份數據的可用性,避免在應急時,才發現備份數據不可用,無法進行恢復。
發現異常數據:通過特有的文件與數據庫動態變化追蹤技術,可以發現系統中損毀或異常的文件和數據,檢測準確性達到95%以上。
分鐘數據恢復:加密或毀損文件發現與快速恢復,實現分鐘級的數據恢復,將業務中斷的時間降到最低,全面保護業務的連續性。
相比其他同類型產品,瑞數數據安全檢測與應急響應系統(River DDR)實現了多項技術創新和突破,包括:AI智能深度檢測引擎、AI熵值檢測、數據原始格式備份等。這些技術回歸數據本身,通過對文件和數據庫進行健康檢測,可以更直接有效發現異常安全行為。此外,還實現了檢測與恢復一體化,真正實現勒索防護生命周期防護。
目前,瑞數數據安全檢測與應急響應系統(River DDR)已經在高精制造業、醫療機構、金融、運營商等行業廣泛應用。對于那些擁有大量敏感數據的企業和組織而言,此系統也非常適用。
結語
隨著勒索軟件愈發猖狂,數據備份和恢復技術成為遠見者的必備選擇。但數據備份不僅要有效,更要走向綜合性的數據安全解決方案,才能保護企業數據免受勒索軟件等安全威脅的侵害,并及時發現和應對安全威脅。
(新聞稿 2024-04-10)