Veeam 防勒索病毒的解決方案-數據中心篇
返回
時(shí)間:2022 / 03 / 31瀏覽次數:1397
2021 年度勒索事件仍然頻發(fā)�����,僅2021年第一季度�����,就發(fā)生了多起國際知名企業(yè)被勒索的案件�����,并且贖金持續刷新紀錄��。讓企業(yè)飽受困擾的勒索病毒加密手段復雜��,解密成本高��,使用電子貨幣支付贖金���,變現快��、追蹤難���;目前勒索病毒已經(jīng)呈現了大規模的產(chǎn)業(yè)鏈�����,這讓攻擊者不需要任何知識���,只要支付少量的租金就可以開(kāi)展勒索病毒攻擊的非法勾當��,大大降低了勒索病毒攻擊的門(mén)檻���,推動(dòng)了勒索病毒大規模爆發(fā)���,今天就讓我們從認識勒索病毒開(kāi)始�����,說(shuō)明企業(yè)如何利用 Veeam 的解決方案提高企業(yè)的勒索病毒防御的能力���。
今年來(lái)勒索病毒使所有企業(yè)都面臨的巨大威脅��,同時(shí)也是網(wǎng)絡(luò )犯罪分子首選的勒索工具之一���。它主要通過(guò)對數據的加密��,使數據無(wú)法使用�����,之后以解密之名進(jìn)行敲詐勒索�����。受影響者的挫敗感是顯而易見(jiàn)的�����,其結果包括關(guān)鍵數據丟失���,停機停業(yè)和聲譽(yù)受損�����。勒索事件之所以如此可怖��,是因為它不像一般攻擊事件���,其發(fā)起者只想訪(fǎng)問(wèn)數據或者獲取資源���,勒索者有時(shí)既想要數據�����,更想要錢(qián)��。這也是為什么在很多勒索事件中���,受害者被騙取了錢(qián)財��,但未能拿回自己數據的原因�����。
勒索病毒主要以郵件�����、程序木馬��、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播���。該病毒性質(zhì)惡劣��、危害極大���,一旦感染將給用戶(hù)帶來(lái)無(wú)法估量的損失�����。這種病毒利用各種加密算法對文件進(jìn)行加密�����,被感染者一般無(wú)法解密���,必須拿到解密的私鑰才有可能破解�����。2018 年 3 月���,國家互聯(lián)網(wǎng)應急中心通過(guò)自主監測和樣本交換形式共發(fā)現 23 個(gè)鎖屏勒索類(lèi)惡意程序變種��,該類(lèi)病毒通過(guò)對用戶(hù)數據加密���,勒索用戶(hù)付費解鎖���,對用戶(hù)財產(chǎn)和安全均造成嚴重威脅�����。
一旦被勒索病毒感染�����,受害者電腦中的文檔就會(huì )被加密�����,壁紙遭到篡改�����,且桌面會(huì )彈出窗口��,其內容是指引數據被劫持的用戶(hù)將價(jià)值不菲的比特幣轉到攻擊者的賬戶(hù)上�����。據悉��,已有部分受害者向黑客支付了贖金���。勒索病毒感染危害極大��,從攻擊行為上分析��,例如:“永恒之藍” 可以遠程攻擊 Windows 操作系統的 445 端口���,無(wú)需用戶(hù)任何操作就可以鎖死磁盤(pán)文件��,向用戶(hù)勒索比特幣���。實(shí)際上��,勒索病毒本身也十分具有攻擊性�����,它主要利用了操作系統的漏洞�����,以獲得自動(dòng)傳播的能力�����,能夠在數小時(shí)內感染一個(gè)系統內的全部電腦�����。據有關(guān)部門(mén)統計顯示��,該病毒的夜間每小時(shí)攻擊次數可以達到 4000 次之多��。
通過(guò)各方面的信息收集與整理���,也讓我們更加意識到勒索病毒的重要性��,這讓每個(gè)擁有數據的都應提高警惕:
1不要等數據丟了���,才意識到備份的重要性
2相關(guān)企業(yè)和組織不應忽視網(wǎng)絡(luò )安全防護的投入
在此背景下��,如何保證您的業(yè)務(wù)永遠在線(xiàn)��,并且不會(huì )受到勒索病毒的威脅��。如何激活自己的數據安全能力��,在物理���,虛擬化和多云基礎架構之間安全地移動(dòng)和使用數據���,是當今的企業(yè)希望轉向新的數據智能管理的原因��,讓我們來(lái)看看來(lái)自于 Veeam 的建議:
?對員工和 IT 管理團隊進(jìn)行安全操作規范培訓��。
?定期檢查并確保 IT 系統和IT人員符合只具備完成任務(wù)所必需的最小權限的原則���,且在未經(jīng)授權的情況下禁止訪(fǎng)問(wèn)相關(guān)系統或資源��。
?及時(shí)更新操作系統以及應用服務(wù)的補丁�����,消除漏洞��。
合理制定并執行備份計劃���,備份服務(wù)器��、工作站/PC等數據���,確保未經(jīng)授權用戶(hù)不可訪(fǎng)問(wèn)備份數據��。任何需要進(jìn)行備份的數據都可以有效執行備份��,在發(fā)生勒索病毒攻擊時(shí)快速恢復數據���。
?日常運維人員采用普通的view賬號�����,只有查看��、無(wú)修改的權限���;同時(shí)定期修改密碼���,降低密碼泄密帶來(lái)的風(fēng)險�����。
?配置防火墻策略��,減少開(kāi)放不必要端口�����,特別是22�����、135�����、445���、3389等端口
?Veeam軟件自身備份數據存放在不同的備份介質(zhì)��,保障Veeam軟件自身安全�����,也保障Veeam軟件可快速恢復��。
?部署Veeam備用機�����,并關(guān)機作為主Veeam服務(wù)器的備機(可對主Veeam服務(wù)器離線(xiàn)存放)���。
?確保數據保護遵循至少具有三份副本���、存放在兩種介質(zhì)中���、一份存放在異地�����、一份存放在不可變介質(zhì)庫中���、對備份及容災數據進(jìn)行驗證確保數據有效的3-2-1-1-0原則��。
?對業(yè)務(wù)系統和Veeam軟件自身備份的數據進(jìn)行加密�����。
?對業(yè)務(wù)系統和Veeam軟件自身備份的數據進(jìn)行加密���。
?基于勒索病毒的行為設置監控閾值��,利用監控軟件探知異常行為�����。
?利用備份數據�����,對已知中病毒的時(shí)間點(diǎn)進(jìn)行測試��,確認數據恢復策略��。
?經(jīng)常性利用備份數據恢復業(yè)務(wù)系統�����,使用殺毒軟件對恢復的數據進(jìn)行病毒安全查殺��,確保數據安全性���。
Veeam 的數據保護結構符合 3-2-1-1-0 的數據保護黃金法則��,3-2-1-1-0 法則具有極大的普遍性��,適用于所有企業(yè)與個(gè)人以及所有環(huán)境類(lèi)型,包括物理��、虛擬和云��。利用這個(gè)原則可以使企業(yè)遠離勒索病毒的困擾���。
Veeam Backup & Replication 可輕松幫助您滿(mǎn)足所有 3-2-1-1-0 數據保護黃金法則的要求���。
右滑動(dòng)查看3-2-1-1-0 數據保護黃金法則 >>>
至少擁有數據的3個(gè)副本 �����, 設置備份任務(wù)和備份復制任務(wù)來(lái)為您的每一份需要保護的數據創(chuàng )建若干(至少兩份)備份���。
將副本存儲在2個(gè)不同的介質(zhì)上:您可將備份存儲至下列任何介質(zhì):磁帶���、磁盤(pán)�����、云等等��。
保存1份異地備份的副本:設置Backup Copy Job(備份復制工作)來(lái)利用內置廣域網(wǎng)加速更快速地轉移異地備份���,或者使用橫向擴展的備份存儲庫自動(dòng)的實(shí)現備份數據的分層和多副本存放���。
保存1份防篡改的備份副本:即一份物理隔離��、離線(xiàn)或不可變的備份副本�����。
受保護數據的0錯誤:結合Veeam的SureBackup全自動(dòng)的備份驗證��,確保備份數據的可恢復和可運行���。
Veeam 認為存在安全并可恢復的備份數據是抵御勒索病毒侵害的最后一道防線(xiàn)���。由于勒索病毒威脅不斷加劇���,Veeam 強調其中 “一個(gè)” 數據副本必須具有超強的安全性(即物理隔離�����、離線(xiàn)或不可變)��。Veeam 軟件采用安全設計���,可利用可靠的備份有助于防范停機和數據丟失并避免支付高昂贖金���。Veeam 軟件可以使用具有不可變特性的備份存儲介質(zhì)防止勒索病毒和惡意攻擊者執行對備份數據的加密與刪除�����,確保備份數據安全無(wú)憂(yōu)��。
Veeam認為�����,從彈性抵御勒索病毒攻擊的角度來(lái)說(shuō)��,備份解決方案的實(shí)施與合規性審計非常一致�����。產(chǎn)品合規性可能并不在于產(chǎn)品本身�����,而是完全由產(chǎn)品的實(shí)施和審核方式來(lái)決定��。當遭到勒索病毒攻擊時(shí)�����,企業(yè)的彈性處理能力完全取決于備份解決方案的實(shí)施方式��、威脅行為和修復過(guò)程���。
Veeam為確保存儲在備份存儲介質(zhì)中數據的安全���,可以采用以下六種機制確保備份存儲介質(zhì)中數據的安全:
?移動(dòng)存儲介質(zhì)(脫機保存備份數據)
3.2.1. 基于Linux的加固備份存儲介質(zhì)庫
通過(guò)使用基于 Linux 的加固備份存儲庫來(lái)實(shí)現備份存儲庫內備份數據原生不可變�����,從而確保數據安全�����,防止惡意加密和刪除�����。適用于使用服務(wù)器掛載各種塊存儲設備作為Veeam備份存儲介質(zhì)庫的場(chǎng)景��。
Veeam軟件使用以普通用戶(hù)身份運行的 VeeamTransport 服務(wù)管理備份數據的讀取�����、寫(xiě)入以及刪除�����,使用以 root 用戶(hù)身份運行的 veeamimmureposvc 服務(wù)管理備份數據的不可變標記�����。如果備份數據存在不可變標記���,以普通用戶(hù)身份運行的 VeeamTransport 服務(wù)或使用 root 用戶(hù)去操作刪除�����、修改���、加密備份數據則會(huì )提示失敗���。通過(guò)此方法確保備份數據是安全可恢復的���。如下圖:
Veeam基于Linux的加固備份存儲介質(zhì)庫具有以下特點(diǎn):
?單次使用的憑據:加固的 Linux 存儲庫使用的單次使用憑據 (Single-use credentials for hardened repository) 只在初始部署時(shí)和安裝產(chǎn)品更新時(shí)進(jìn)行交互��,不會(huì )存儲在配置數據庫中���。避免黑客通過(guò)攻陷 Veeam Backup & Replication 獲取用戶(hù)名密碼后攻擊 Repository�����。如下圖:
?不依賴(lài)SSH協(xié)議:所有以前的 SSH 協(xié)議使用已經(jīng)被封裝到 Veeam Transport Service���。因此只有在初始部署時(shí)才需要 SSH�����。這允許客戶(hù)使用 SSH 多重身份驗證(MFA)���,甚至完全禁用SSH服務(wù)器���,以保護的存儲庫不受影響���。如果需要對基于 Linux 的加固備份存儲庫進(jìn)行管理�����,建議采用帶外管理方式��。這樣可以減少加固備份存儲庫的暴露面�����,確保加固備份存儲庫的安全��。如下圖:
?不可變性的存儲庫:預防意外刪除存儲庫上的備份數據?�,F在可以使 Veeam 的映像級備份在指定的一段時(shí)間內是不可變的��,還可以按照并保護 GFS 備份他們的保留政策的整個(gè)期限�����。
3.2.2. 物理或虛擬帶庫(離線(xiàn)保存備份數據)
物理或虛擬帶庫作為一種歷史悠久的離線(xiàn)保存備份數據的存儲技術(shù)���,在面對勒索病毒防護上一點(diǎn)也沒(méi)有過(guò)時(shí)���。寫(xiě)入到磁帶中的數據只能被覆寫(xiě)或擦除而不能被在線(xiàn)修改或加密��,同時(shí)磁帶可以從帶庫中取出離線(xiàn)異地保管�����,還可以設置物理的寫(xiě)保護功能�����,做到只能被讀取不能被篡改��。從而可以有效地抵御勒索病毒和其它惡意程序對于備份數據的攻擊�����。如下圖:
Veeam軟件可以將備份數據寫(xiě)入到物理或虛擬帶庫中��,備份數據寫(xiě)入磁帶后��,可以將磁帶從磁帶庫中取出進(jìn)行離線(xiàn)異地保管���,并可以設置寫(xiě)保護���。
當需要恢復數據時(shí)���,可以在Veeam軟件中查詢(xún)相關(guān)備份任務(wù)還原點(diǎn)所對應Barcode的磁帶��,將這些離線(xiàn)保管的磁帶重新放入帶庫中���,即可由Veeam軟件控制帶庫將備份數據恢復出來(lái)��。如下圖:
3.2.3. 移動(dòng)存儲設備(脫機保存備份數據)
離線(xiàn)保管備份數據是抵御勒索病毒和其它惡意程序對于備份數據的攻擊的主要方式�����,我們還可以利用Veeam軟件實(shí)現對移動(dòng)存儲設備的在線(xiàn)和離線(xiàn)控制��。
在開(kāi)始備份之前��,我們可以將移動(dòng)存儲介質(zhì)與Veeam備份服務(wù)器連接�����,但是不置為自動(dòng)聯(lián)機狀態(tài)���,只讓移動(dòng)存儲設備處于脫機狀態(tài)�����。如下圖:
編寫(xiě)使移動(dòng)存儲設備進(jìn)行聯(lián)機與脫機的腳本�����。在Veeam軟件的備份任務(wù)中設置腳本�����。在備份任務(wù)開(kāi)始之前先執行聯(lián)機腳本��,使移動(dòng)存儲設備與Veeam備份主機聯(lián)機���,備份任務(wù)產(chǎn)生的數據會(huì )寫(xiě)入到移動(dòng)存儲設備中��。當備份數據完全寫(xiě)入到移動(dòng)存儲介質(zhì)后執行脫機腳本�����,使移動(dòng)存儲設備與Veeam備份主機脫機��。以此來(lái)確保移動(dòng)存儲設備可以脫機保存備份數據���,盡可能使脫機保存備份數據�����,防止勒索病毒和其它惡意程序對于備份數據的攻擊�����。如下圖:
