台湾知名的计算机制造商宏碁(Acer)近日遭到了REvil勒索软件的攻击。黑客团伙通过在网站公开泄露数据的方式,证明了入侵宏碁的真实性,并索要赎金5000万美元,约合人民币3.25亿元。
法国 OVH 数据中心大火硝烟未散,针对 VMware VSphere 的病毒还未走远,宏碁又被 REvil病毒勒索巨额赎金,最近的数据保护市场可谓草木皆兵。
狡猾的 REvil 病毒勒索团队
REvil 病毒以攻击知名机构而闻名。2020 年 5 月,纽约市一家服务于全球影视娱乐巨星的律师事务所成为 REvil 病毒攻击的受害者,包括 LadyGaga、埃尔顿·约翰、罗伯特·德尼罗和麦当娜等全球大牌音乐和电影明星的私人法律事务面临被曝光的风险。
虽然没有证据表明攻击来自同一个团伙,但事实证明这拨人很狡猾。
根据报道,在攻击上述事务所时,黑客团伙一开始要求受害者以比特币(Bitcoin)支付赎金,但后来改为门罗币(XMR)——更具匿名性的虚拟货币。门罗币是一个创建于2014年4月开源匿名货币,其交易金额、交易时间、地址、发送方和接收方等信息完全隐匿,司法部门很难追踪和查询。
除了收取赎金的方式狡猾多变,黑客处理数据的手段也更加多样。传统的黑客手段,一般是加密数据,如果受害者缴纳赎金,黑客通过发送私钥恢复数据(通常不一定能够恢复)。但是黑客现在通过公开部分商业数据,胁迫受害者赶快支付赎金。更有甚者,连备份数据一起加密,让受害者没有可恢复的数据。
EDR + CDP会是最优解吗?
勒索病毒是一种以钓鱼邮件、程序木马、网页挂马的形式进行传播的病毒。该病毒利用加密算法对文件进行加密,被感染的数据一般无法解密,必须拿到私钥才有可能破解。
勒索病毒的危害极大,企业用户的文件数据一旦被加密,可能会遭受经济、名誉、监管等方面的多重打击。
如何安全有效地应对病毒攻击,我们需要从底层逻辑开始思考。
黑客利用病毒勒索企业机构,目的是加密或泄露数据。如果把企业比喻成一间房子,数据就是房子里的财产。在房子周边,我们通过网络安全防护的各类产品构建起坚固的防线,抵挡勒索病毒的攻击。在房子里面,我们通过备份、转移的方式,对数据进行多重保护,确保外防的网络被攻破后,还有数据可用来恢复业务。
防勒索病毒的软件并不少,从360杀毒软件到火绒,但很多时候,这种免费的杀毒软件,有其局限性。它们更多在端点进行防御,即在台式机、服务器、移动设备和嵌人式设备等进行被动式防御,如果病毒库更新或发现不及时,随时可能遭到入侵。
EDR 是一种更为主动和智能的杀毒软件,全称端点检测与响应((Endpoint Detection and Response),不同于端点被动防御,EDR 是过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行智能的阻止、取证、补救和溯源,从而有效对端点进行防护。
这有点像导弹反导拦截技术,普通的杀毒软件像是一种未段反导拦截技术,EDR 是一种中段反导拦截技术。EDR 更具主动性和安全性。
但是再牛的拦截技术,也可能会出现漏网之鱼。这个时候,就需要另外一种技术保护房子里的数据。
备份(Backup)是经常被用来保护数据的灾备软件。备份通常分为冷备、温备和热备,随着用户对数据实时性的要求越来越高,持续数据保护 CDP(Continuous Data Protection)技术正在被用户所接受。
CDP 技术兼具数据备份与恢复的功能,可以提供百万分之一秒的数据保护颗粒度。当企业级数据被病毒加密时,用户可以根据需要,将数据恢复至任意历史时间点。
CDP 防范病毒感染的方式包括备端设置多个文件目录和主备端采用不同操作系统等,让勒索病毒无法感染备端的数据,或无法感染所有的备份数据。
外配 EDR,内置 CDP,这对于很多用户对数据保护的基础要求,绰绰有余,所以这对 CP 可能是目前解决勒索病毒的最优解。
从“互联网+”到“Data+”
从“互联网+”到“Data+”,数据保护市场在增长
过去十年,互联网技术推动了生产方式的变革,“互联网+”的发展模式,极大地提高了企业的生产经营效率,给人们的生活带来了便捷。
进入数字经济时代,数据成为了新的生产要素。万物互联以数据为基础,通过数据采集、价值挖掘和大数据应用,赋能各行各业的数字化转型升级,在“互联网+”的基础之上,进一步助力企业增效降本。
我们可以称之为“Data+”,一个以数据为核心进行生产的新发展理念。
而未来建立在数据应用基础之上的生产力体系,在面对勒索病毒等安全挑战时,必然促使用户采取措施加大对数据的保护力度。那么,企业级数据保护包括的容灾、备份、归档这三大应用领域,将会在“Data+”时代形成一个可持续增长的数据产业市场。
这也是我们从最近不断发生的数据安全事件中,对未来的市场较为直观的判断。