一直以来,勒索软件就是企业的心头大患,2024年还将持续困扰各行各业。在CNCERT国家工程研究中心发布的“2024年七大网络安全威胁”中,第一个就是勒索软件。
新的一年,勒索软件将呈现出哪些新的技术方向和组织形式,又演变出哪些勒索手段?面对这些新挑战,企业反勒索手段该何去何从?
2024年勒索软件呈现三大趋势
l 勒索软件攻击保持强劲增长
根据Group-IB发布的《2023-2024年高科技犯罪趋势报告》显示,勒索软件保持强劲增长,2023年数据泄露网站上的公司数量同比增长74%。
安全公司Sophos发布的《2023勒索软件态势报告》也显示,66%的机构在过去一年中遭受过勒索软件攻击。其中,76%的攻击导致数据被加密,受害机构为此而付出的平均成本为182万美元。
事实上,大规模增加的勒索软件攻击正在瞄准所有行业,医疗保健、政府和关键基础设施尤其成为勒索软件的攻击目标。
新的一年,攻击者会不断尝试领先于安全厂商开发新的战术、技术和程序。随着攻防双方对抗升级,攻击者也会不断改变策略,选择更简单、更边缘的途径,来获取同样的关键数据,比如利用常用应用程序中的关键漏洞来发起攻击。
l AI增强勒索软件攻击的能力和效率
随着ChatGPT等众多AI服务的兴起,勒索软件攻击的难度与成本均有大幅度降低。就在2023年,我国杭州市网警破获的一起勒索软件攻击案件中,不法分子就是通过ChatGPT完成勒索软件优化。
目前,犯罪团队已经开始利用AI和机器学习来增强勒索软件攻击的能力和效率,包括:更令人信服的网络钓鱼尝试、自动恶意软件创建、逃避安全措施、个性化的社会工程攻击等,这使得传统防御机制更难检测和预防它们。
l 勒索手法从数据加密、泄露转向数据删除
如今,犯罪团伙已经采用了层出不穷的勒索手法,如:双重勒索、三重勒索,通过加密数据勒索赎金,或威胁泄露数据向受害者施压。
但既然是勒索,犯罪团伙也倾向于采用更有效的勒索方式,数据删除勒索正是其中之一。
数据删除比加密更快,而且代码编写也容易得多,不需要进行复杂的公私钥处理,也不需要在受害者支付赎金后提供复杂的解密代码来挽回损失。如果数据被破坏,而企业又没有备份,那就只能要么付钱,要么丢失数据。
什么样的数据备份才能有效反勒索?
事实上,战胜勒索软件,取决于各大企业自身的网络防御能力。但即便是安全防御能力最强的企业,也难以保证能够100%抵抗勒索软件团伙的渗透。
因此,在反勒索软件的策略中,数据备份就成为重要的组成部分。研究表明,使用备份的勒索软件受害者的恢复成本中位数,是支付赎金的受害者的一半。
但值得注意的事,并非所有的数据备份方法都是有效的,例如:
l 数据备份可能存在备份被感染或清除的情况
据Veeam勒索软件趋势报告显示,2022年,恶意行为者至少有93%的攻击以备份为目标。更令人震惊的是,75%的攻击中,对手成功渗透了备份存储库;受影响时,39%的存储库将变得无法使用;近三分之一 (29%) 的数据恢复尝试不可行。
l 恢复过程中出现数据丢失
恢复过程会出现各种类型的数据丢失,从简单的文件丢失到整个系统的完全崩溃。在数据恢复过程中,需要重新建立文件系统、重新安装操作系统、重新安装应用程序和恢复数据。
除此之外,很多企业在恢复时才发现很多关键数据没有被正确备份,又或者是因为备份周期太长、没有测试备份数据等原因,导致发生勒索软件攻击时无法全数据、全维度地恢复数据。
l 数据备份无法快速恢复数据
此外,数据备份能否在发生数据丢失时快速恢复数据,以保证业务的正常运行,也是一大考验。据Veeam勒索软件趋势报告中的受访者估计,他们平均需要3.3周的时间才能完成恢复工作。现实情况是,一些恢复工作可能会持续数月。
总的来说,能够有效反勒索的数据备份需要具备几大特点:一是干净恢复;二是完整恢复;三是快速恢复。这就要求数据备份不仅自身是安全可靠的,还要能够实时对数据安全进行监测。
对此,瑞数信息专家认为,数据备份需要构建“事前数据健康体检、事中智能威胁检测、事后快速响应恢复”的数据安全闭环防护体系,才能有效对抗恶意软件攻击,进行数据健康体检,快速发现恶意威胁,并在数分钟内恢复系统的正常运行。
瑞数DDR有效对抗勒索软件
基于此,瑞数信息推出的数据安全检测与应急响应系统(River DDR),正是这样一款反勒索的数据备份利器——通过事前、事中和事后数据安全闭环防护体系,有效解决传统终端安全软件被绕过,备份系统恢复过程冗长等严峻的安全问题,让勒索软件等新兴数据安全威胁无法再四处为虐。
l 事前数据健康体检
创新的智能数据风险识别引擎,基于“深度文件内容检测”技术,能够高效识别企业数据中心内各类结构化与非结构化数据是否已被破坏或隐含风险。
l 事中智能威胁检测
创新的AI智能识别引擎,提供基于“数据访问行为模式”的智能分析与识别能力;通过AI熵值检测技术,改进目前数据安全检测的速度、检测的正确率,以使安全检测可以达到国内领先程度,解决当前业界无法通过安全检测来应对勒索攻击的问题,实现全链路威胁行为与内容变化追踪,即时发现可疑的攻击行为。
l 事后快速响应恢复
创新的智能检测沙箱与溯源引擎能够有效定位攻击事件根源,移除勒索软件加密后的文件并用最新的干净备份进行恢复,同时对系统进行加固,自动生成可直接挂载的干净数据。
总的来说,瑞数数据安全检测与应急响应系统(River DDR)具备以下技术优势:
掌控数据资产:生成企业数据完整性、敏感数据分布及权限审计等报告,帮助用户摆脱无法掌握数据资产分布以及数据安全威胁不可见的窘境。
防勒索软件攻击:建立数据安全预警能力,对批量数据窃取及高度隐蔽性异常访问等恶意行为进行智能安全分析,高效识别各类已知与未知的攻击。避免大量数据被加密、窃取后,才发现已经长时间被勒索软件攻击。
保护备份数据:隔离备份数据,防止勒索软件、黑客或内部人员删除或破坏备份数据。
持续验证备份数据:持续验证备份数据的可用性,避免在应急时,才发现备份数据不可用,无法进行恢复。
发现异常数据:通过特有的文件与数据库动态变化追踪技术,可以发现系统中损毁或异常的文件和数据,检测准确性达到95%以上。
分钟数据恢复:加密或毁损文件发现与快速恢复,实现分钟级的数据恢复,将业务中断的时间降到最低,全面保护业务的连续性。
相比其他同类型产品,瑞数数据安全检测与应急响应系统(River DDR)实现了多项技术创新和突破,包括:AI智能深度检测引擎、AI熵值检测、数据原始格式备份等。这些技术回归数据本身,通过对文件和数据库进行健康检测,可以更直接有效发现异常安全行为。此外,还实现了检测与恢复一体化,真正实现勒索防护生命周期防护。
目前,瑞数数据安全检测与应急响应系统(River DDR)已经在高精制造业、医疗机构、金融、运营商等行业广泛应用。对于那些拥有大量敏感数据的企业和组织而言,此系统也非常适用。
结语
随着勒索软件愈发猖狂,数据备份和恢复技术成为远见者的必备选择。但数据备份不仅要有效,更要走向综合性的数据安全解决方案,才能保护企业数据免受勒索软件等安全威胁的侵害,并及时发现和应对安全威胁。