作为IT行业中最为普遍,也最具破坏性的威胁之一,勒索软件往往以网络钓鱼、漏洞攻击的方式向目标电脑植入病毒程序,通过加密或破坏磁盘上的文件甚至所有数据的方式进行攻击,随后以解密密钥为筹码向目标政府、企业或个人要求数额不等的赎金,并一跃成为近年来数量增加最快的网络安全威胁之一。
那么在2023年,勒索软件又迎来了怎样的变化?对企业的管理者又有什么新的启示呢?这些都在Veeam不久前发布的《2023年勒索软件趋势报告》有着详细的说明。
作为一份基于1200位独立公正的IT领导者所进行的一项调研,《2023年勒索软件趋势报告》是一份相当具有针对性的报告,所采访的人群都是负责IT技术的人员、安全保护的人员、备份人员和运营人员,涵盖的机构也包括了亚太地区及日本的大型企业、中小企业和商业机构。基于此,Veeam亚太及日本地区高级技术专家Anthony Spiteri分享了报告的主要内容以及Veeam对中国企业的若干建议。
(资料图片)
勒索软件事件频发,攻击复杂程度正在上升
在Veeam的调查中,有85%的公司遭遇过至少一次勒索软件的攻击,这个数据实际上是十分惊人的,这意味着,即便越来越多的企业认识到了勒索软件的威胁,并采取了相关的防护措施,但仍然有17%的企业在过去一年的时间里经历了4至5次甚至6此以上的攻击,并且地理分布也非常广,这表明勒索软件的攻击频率仍然处于高位,且复杂性和攻击复杂程度也非常高。
Anthony Spiteri表示,目前勒索软件的生态正在进化且变得更加工业化,也更具针对性,尤其是针对一些型的工业企业或者是金融机构,这样的攻击发起可能更多像一种集团犯罪的形式。一旦得手之后,可以获得新闻的报道,让自己变得更加出名,因此现在很多勒索软件团地会选择非常知名的企业来进行攻击,一方面是为了获得更高的赎金,另一方面也是为了变相提升自身的影响力。
不过对多数企业而言,实际上是缺乏针对勒索软件的风险管理的,调查结果心事,只有35%的受访企业有风险管理并且制定了相对有效的风险管理计划,而超过52%的企业则表示有风险管理计划,但是仍然需要改进,这就意味着这些公司现有的计划是不足以抵挡勒索软件攻击的。
“勒索软件的攻防战更像是一场不公平的游戏,攻击者只要做对一次就行了,而从防守的角度来看,必须要保证任何时候不出差错,从概率的角度上看,也是攻击者处在更加有利的地位,像现在流行的生成式AI也很快被用到了攻击手段之中。所以企业必须要有更好的备份产品来帮助自己释缓风险、恢复数据,从而有效应对攻击,Veeam的产品就处在这样一个核心的位置上,可以帮助企业更好地进行备份、恢复和重建,这也是Veeam为客户增加价值的领域。”Anthony Spiteri总结道。
备份只是开始,企业建立有效风险管理计划的策略
数据恢复是一项基本要求,但这并不意味着它是一项简单工作,对企业来说,建立有效风险管理的第一步就是确保良好的备份,虽然很多企业认识到了备份的重要性,但时至今日仍有很多企业没有做到端到端的备份工作,而要想做好相关的准备,就要采取一系列的步骤,其中比较重要的一环就是采用合适的工具,使企业能够保护并且恢复数据。
其次要加强对员工的教育工作,也就是把风险管理的政策落实到每一个员工,防止他们在一些IT设备比较脆弱的环境下受到一些社会性的攻击。从后端来看,这是一个流程,企业需要建立一个端到端的风险管理的方案,包括要保护数据,减少风险,同时恢复数据,能够做出有效的应对。
最后,对企业来说,必须增加IT预算,这实际上不难理解,要想对数据进行更好的保护,就要有对应的工作和完善的流程,从而增加对网络攻击的弹性或者韧性,这些步骤是非常重要且缺一不可的,因此一定要增加相关的预算,报告也显示,在2022年到2023年期间,针对数据恢复和防止攻击的预算上升超过了5%。
支付赎金和网络保险并非最优解,选择正确的备份软件至关重要
报告显示,欧美、亚太和日本地区的企业在制定政策的时候,都会选择在遭受勒索攻击后不支付赎金,但实际上一旦真的受到攻击,有85%的公司为了避免对企业品牌造成损害,仍然会选择支付赎金,其中77%是靠保险来支付赎金的。现如今越来越多的企业会购买网络攻击保险,但随着攻击频率的提高和手段的复杂化,购买保险也变得愈发昂贵,且其中有40%的保险公司会表示保险中并不覆盖勒索软件攻击。
这就造成了保险成本在上升,但企业获得赔偿变少的双输局面。而且不仅如此,对于那些支付了赎金的企业,也未必能保证在支付赎金之后保证数据的恢复。“Veeam发现只有59%的企业在支付赎金之后恢复了数据,21%的企业在支付了赎金以后依然无法恢复。有16%的企业采用了Veeam的解决方案后没有支付赎金就恢复了数据,我们希望把这一部分人通过我们的数据平台把他的比例扩大,通过备份工具就可以恢复自身的数据。”Anthony Spiteri表示。
这也是Veeam这样的数据平台如此重要的原因之一,对企业来说,如果有很好的备份手段,就能确保备份没有收到攻击,在无需以依赖保险的情况下恢复数据。
从Veeam产品设计的角度出发,也是希望企业恢复数据的时间尽量缩短到一周以内,确保Veeam软件能够提供数据的实时恢复,同时把恢复数据的比例尽可能放大。因为从调查结果来看,大部分企业受到攻击之后恢复数据的时间都在1-2周左右,有的甚至会长达一个月,企业需要确保自身储备库的这些数据能够完全恢复,而且是干净的,里面没有任何的恶意软件或者攻击软件残存的部分,所以会付出额外的时间成本。
考虑到有56%的企业在还原过程中还会面临再次感染的风险,Veeam采取了一系列措施来确保企业备份储存库里的数据是安全可信的。包括让数据在一个隔离区/沙盒里面进行恢复,同时提供还原生产环境的检测安全扫描,此外,企业还可以根据自身的实际需求,将数据恢复到超大规模云、DRaaS基础架构、替代服务器或者新服务器之上,同时提供将数据备份到磁带上的支持。
“Veeam在业界内提出了备份的3-2-1-1-0的最佳实践,从客户的成熟度方面考虑,已经不单纯要备份到磁带、磁盘或者单纯备份到OSS里面,很多客户更多采用的是多个备份介质。Veeam会根据企业的RTO、RPO要求以及成本角度出发,和VSP合作伙伴一起,根据3-2-1-1-0指南,为客户提供合理的建议。”Veeam中国区技术总监马弘在最后表示。