為了更好的防范云勒索病毒攻擊，我們先來(lái)了解一下什么是云勒索病毒。

 

　　作者：聯(lián)想凌拓云安全團(tuán)隊(duì)來(lái)源：至頂網(wǎng)|2021-03-1112:02收藏分享

 

　　新冠疫情下，人們的生活發(fā)生了極大的改變，足不出戶就可以遠(yuǎn)程辦公、在線問(wèn)診以及線上聽(tīng)課，生產(chǎn)、服務(wù)、消費(fèi)等場(chǎng)景都變得在線化。隨著線上需求的激增，中國(guó)企業(yè)也向數(shù)字化、智能化的方向加速轉(zhuǎn)型，利用無(wú)服務(wù)器、容器和機(jī)器學(xué)習(xí)等新技術(shù)，將工作負(fù)載從數(shù)據(jù)中心遷移到云端。然而，中國(guó)企業(yè)在享受云端數(shù)據(jù)管理的高性價(jià)比、高擴(kuò)展性及靈活性的優(yōu)勢(shì)時(shí)，云安全問(wèn)題也隨之而來(lái)。

 

　　整體來(lái)看，大多數(shù)中國(guó)企業(yè)上云的過(guò)程是分布實(shí)施的，這意味著企業(yè)的IT環(huán)境會(huì)變成混合云、多云的架構(gòu)，復(fù)雜性大幅提高，網(wǎng)絡(luò)暴露面加大，企業(yè)所面臨的云安全威脅也與日俱增。知己知彼，方能百戰(zhàn)不殆。為了更好的防范云勒索病毒攻擊，我們先來(lái)了解一下什么是云勒索病毒。

 

 

　　勒索病毒(又稱勒索軟件)是一種能夠感染系統(tǒng)和設(shè)備的惡意軟件進(jìn)程。部署勒索病毒通常是為了阻止被攻擊的企業(yè)對(duì)其數(shù)據(jù)、應(yīng)用和環(huán)境的訪問(wèn)。一旦系統(tǒng)被勒索病毒感染，惡意進(jìn)程就開(kāi)始加密文件。然后，該企業(yè)會(huì)收到要求支付贖金的消息。否則數(shù)據(jù)就會(huì)保持加密狀態(tài)，無(wú)法繼續(xù)使用自己的信息。

 

　　此外，勒索病毒也可能會(huì)試圖訪問(wèn)更多系統(tǒng)，擴(kuò)大網(wǎng)絡(luò)傳播范圍。由于云環(huán)境通常是為了方便訪問(wèn)和使用而構(gòu)建的，因此云環(huán)境一旦被勒索病毒感染，就可能造成重大損失。

 

 

　　首先，企業(yè)數(shù)據(jù)正在向云端遷移。云稱得上是一座“數(shù)據(jù)金礦”。試圖將數(shù)據(jù)轉(zhuǎn)化為可操作的洞見(jiàn)或出售信息的企業(yè)注意到了這一點(diǎn)，網(wǎng)絡(luò)犯罪分子也注意到了這一點(diǎn)，并且他們也意識(shí)到大量涌入云端的數(shù)據(jù)非常有價(jià)值。云計(jì)算供應(yīng)商為全球企業(yè)和個(gè)人提供服務(wù)，而且他們所提供的也不僅僅是簡(jiǎn)單的軟件即服務(wù)(SaaS)產(chǎn)品。有一些公司會(huì)使用數(shù)據(jù)庫(kù)即服務(wù)(DBaaS)將整個(gè)數(shù)據(jù)庫(kù)轉(zhuǎn)移到云端。也有一些企業(yè)機(jī)構(gòu)使用基礎(chǔ)設(shè)施即服務(wù)(IaaS)將整個(gè)基礎(chǔ)設(shè)施轉(zhuǎn)移到云端。所有這些服務(wù)都承載了業(yè)務(wù)連續(xù)性所需的寶貴數(shù)據(jù)，因而吸引了勒索病毒攻擊者的注意。

 

　　其次，云服務(wù)對(duì)業(yè)務(wù)連續(xù)性至關(guān)重要。為了取得成功，勒索病毒攻擊者必須針對(duì)絕對(duì)關(guān)鍵且不可替代的工作負(fù)載，否則被攻擊的企業(yè)就沒(méi)有支付贖金的動(dòng)力。由于疫情限制，企業(yè)的工作模式逐漸轉(zhuǎn)為遠(yuǎn)程辦公形式。為了給員工提供虛擬工作空間，許多公司傾向于放棄傳統(tǒng)(且速度較慢的)虛擬專(zhuān)用網(wǎng)絡(luò)(虛擬網(wǎng)絡(luò))。許多IT團(tuán)隊(duì)更傾向于使用虛擬桌面基礎(chǔ)架構(gòu)(VDI)來(lái)自主管理虛擬機(jī)(VM)的部署，或運(yùn)用云端托管桌面即服務(wù)(DaaS)產(chǎn)品。所有這些關(guān)鍵業(yè)務(wù)都是攻擊者的目標(biāo)。

 

　　最后，云資源由多人共享。如果攻擊者設(shè)法加密云存儲(chǔ)供應(yīng)商的服務(wù)器，而恰巧被攻擊的服務(wù)器也在為許多云用戶提供資源時(shí)，攻擊者就會(huì)提高單次攻擊的贖金。然后，那些共享同一臺(tái)服務(wù)器資源的云端用戶迫于業(yè)務(wù)壓力，不得不屈服支付贖金。而當(dāng)攻擊者獲得高額利潤(rùn)后，又間接刺激了勒索病毒攻擊的增長(zhǎng)。

 

　　云勒索病毒的攻擊類(lèi)型及應(yīng)對(duì)建議

 

　　與本地系統(tǒng)不同，由于云的共享資源和Internet可訪問(wèn)性，云更容易受到服務(wù)和環(huán)境的影響。為了更好地預(yù)防和防范云風(fēng)險(xiǎn)，企業(yè)需要全面了解勒索病毒的攻擊方式。聯(lián)想凌拓發(fā)現(xiàn)，在以下三種情況中，云容易遭到勒索病毒攻擊：勒索病毒同步至云文件共享服務(wù)、RansomCloud攻擊(針對(duì)云數(shù)據(jù)的勒索病毒攻擊)和勒索病毒攻擊云服務(wù)供應(yīng)商。同時(shí)，我們基于上述三種情況也提供了針對(duì)性的建議，幫助企業(yè)筑牢云端數(shù)據(jù)管理防線。

 

 

　　勒索病毒通常先感染本地計(jì)算機(jī)，然后再到達(dá)云端。勒索病毒在本地機(jī)器上滲透進(jìn)同步到云端的文件共享服務(wù)。該惡意進(jìn)程會(huì)對(duì)被侵入的機(jī)器所存儲(chǔ)的文件進(jìn)行加密，然后將被破壞的文件傳播到云端。這種類(lèi)型的攻擊使得企業(yè)網(wǎng)絡(luò)面臨巨大的風(fēng)險(xiǎn)，一旦感染擴(kuò)散到云端，企業(yè)的整個(gè)云共享系統(tǒng)就會(huì)遭到威脅。然后，勒索病毒就可以進(jìn)行網(wǎng)絡(luò)傳播，感染其他聯(lián)網(wǎng)機(jī)器。如果勒索病毒蔓延到?jīng)]有備份的文件，被攻擊的企業(yè)可能就需要被迫支付贖金。

 

　　為此，我們建議企業(yè)從三個(gè)維度來(lái)防范云勒索攻擊：在主動(dòng)防御方面，企業(yè)應(yīng)部署結(jié)合ONTAP的CryptoSpike防勒索病毒解決方案以保護(hù)關(guān)鍵的共享文件存儲(chǔ)，拒絕勒索病毒攻擊，并使用能夠防御勒索病毒、保護(hù)本地文件的新一代殺毒軟件;在操作系統(tǒng)方面，企業(yè)應(yīng)采用最新安全補(bǔ)丁持續(xù)更新操作系統(tǒng)(OS);在網(wǎng)絡(luò)服務(wù)方面，企業(yè)應(yīng)使用網(wǎng)絡(luò)過(guò)濾服務(wù)攔截受感染網(wǎng)站。如不幸遭受攻擊時(shí)，企業(yè)應(yīng)分三個(gè)步驟做好響應(yīng)對(duì)策：首先，企業(yè)應(yīng)立即斷開(kāi)被感染的設(shè)備和系統(tǒng)與互聯(lián)網(wǎng)的連接;然后，企業(yè)應(yīng)迅速聯(lián)系IT和安全專(zhuān)家來(lái)獲取技術(shù)支持;最后，企業(yè)可使用第一方或第三方解決方案來(lái)采取備份和災(zāi)難恢復(fù)策略。

 

 

　　RansomCloud是一種以O(shè)ffice365等云端電子郵件服務(wù)為目標(biāo)的新型勒索病毒。攻擊者會(huì)使用釣魚(yú)郵件來(lái)獲取電子郵件賬戶。釣魚(yú)郵件看起來(lái)跟正常的電子郵件一樣，來(lái)誘導(dǎo)和欺騙受害者點(diǎn)擊文件來(lái)破壞他們的系統(tǒng)，或誘導(dǎo)受害者為攻擊者提供自己的賬戶訪問(wèn)權(quán)限。一旦攻擊者獲得電子郵件賬戶的訪問(wèn)權(quán)限，他們就可以使用勒索病毒對(duì)受害者的電子郵件信息進(jìn)行加密并對(duì)受害者進(jìn)行金錢(qián)勒索。此外，攻擊者還經(jīng)常使用電子郵件賬戶發(fā)起新的攻擊、冒充賬戶所有者、詐騙受害者的家屬并向受害者的聯(lián)系人傳播惡意軟件。

 

　　面對(duì)RansomCloud攻擊，我們建議企業(yè)從兩方面著手：首先，在員工培訓(xùn)方面，企業(yè)應(yīng)該為員工提供相關(guān)攻擊的培訓(xùn)和最新教育資源，來(lái)幫助各級(jí)員工了解如何識(shí)別、避免和報(bào)告網(wǎng)絡(luò)釣魚(yú);其次，在受到攻擊時(shí)，企業(yè)可采取電子郵件備份和災(zāi)難恢復(fù)策略，確保數(shù)據(jù)在受到攻擊時(shí)仍然可用。

 

 

　　為了增加每次攻擊的收益，攻擊者往往直接針對(duì)云供應(yīng)商，試圖利用漏洞來(lái)更大范圍滲透系統(tǒng)。然后，攻擊者就可以要求更多被攻擊的企業(yè)支付贖金。因此，企業(yè)與云服務(wù)供應(yīng)商合作時(shí)，也需要建立一種結(jié)構(gòu)化的合作方式共同防范勒索病毒攻擊。

 

　　因此，我們建議企業(yè)在與云服務(wù)供應(yīng)商合作時(shí)，要做到以下兩點(diǎn)：首先，企業(yè)要有明確的需求。由于服務(wù)供應(yīng)商通常都有自己的勒索病毒恢復(fù)計(jì)劃，因此，企業(yè)要求自己的供應(yīng)商提供他們的計(jì)劃，從而評(píng)估該供應(yīng)商面對(duì)重大災(zāi)難(包括勒索病毒攻擊)的響應(yīng)能力。另外，企業(yè)要制定應(yīng)對(duì)服務(wù)中斷的后備計(jì)劃。為了確保業(yè)務(wù)連續(xù)性，企業(yè)應(yīng)該自行制定一份關(guān)于如何在供應(yīng)商服務(wù)中斷期間繼續(xù)運(yùn)營(yíng)的計(jì)劃。例如企業(yè)可以制定使用多家云供應(yīng)商的多云策略，以確保企業(yè)在故障期間也能夠恢復(fù)正常運(yùn)行。企業(yè)還可以在基于IaaS架構(gòu)的服務(wù)商環(huán)境以及本地的私有云環(huán)境中部署CryptoSpike防勒索病毒解決方案以確保關(guān)鍵共享文件存儲(chǔ)免受勒索病毒攻擊，并以此制定一項(xiàng)利用本地資源或第三方恢復(fù)解決方案的混合云策略。

 

　　放眼未來(lái)，隨著中國(guó)企業(yè)數(shù)字化轉(zhuǎn)型的加速，企業(yè)的IT基礎(chǔ)架構(gòu)將全面進(jìn)入“云時(shí)代”。而在“云時(shí)代”，企業(yè)固定的防御邊界也不復(fù)存在。中國(guó)企業(yè)只有建立全面的云安全策略，才能從容面對(duì)諸如云勒索病毒等“云威脅”，打造安全穩(wěn)定的IT架構(gòu)，借助云端優(yōu)勢(shì)，在數(shù)字化時(shí)代脫穎而出。