.png?1741682189)
应对勒索软件攻击,应该在数据安全团队中综合考虑网络安全和存储安全,建立全面的数据安全防护体系。在数据存储层,应采用“3-2-1-1”原则。
【3-2-1-1原则】
「3-2-1 原则」早已被用来指导商业公司的数据备份。为了构建数据安全防线,华为在此原则的基础上做了增强,提出了「3-2-1-1 原则」。
运用「3-2-1-1 原则」的目的是,一旦遭遇勒索攻击导致数据损坏,数据存储能够保留最后一份干净的数据副本用于数据的尽快恢复。所谓「3-2-1-1 原则」,指的是:
3:存储 3 份完整文件,一份原件加上两份拷贝。
2:将文件起码保持在两种不同的介质上。
1:将一份拷贝保存在异地。
1:将一份拷贝保存在Air-Gap隔离区。
为什么隔离区如此重要?
一是勒索病毒的攻击可能会删除所有有效数据副本。隔离区采用Air-Gap技术对数据进行保护,在不需要复制数据的时候,隔离区完全离线,勒索病毒无法发现隔离区的数据,自然就无法攻击。在需要复制数据的时候,隔离区存储仅开放复制端口,且仅允许单向复制数据,保障数据的安全性。
二是威胁不仅仅来自于外部,内鬼也是导致数据损失的原因之一。一些分析公司表示未来三年的大多数网络威胁可能来自企业内部员工。由于隔离区在网络中不可见,只能由专门的人员进行管理,无法被内鬼接触和攻击。
三是隔离区能够保障在遭受勒索攻击后,能够更快的进行数据恢复。传统的带库虽然可以实现数据的离线存储,但是恢复速度已无法满足当前业务快速恢复的诉求。当前不论是生产存储还是备份存储,都已发展到全闪存架构,其恢复速度带宽可达带库的百倍以上,将业务恢复的周期降到最低,减少由于遭受勒索攻击业务停机导致的损失。
【数据存储防勒索部署策略】
完整的数据存储防勒索防线包含生产存储防勒索、备份存储防勒索、生产存储隔离区防勒索、备份存储隔离区防勒索。在实际的建设中,企业通常根据自己的业务需求选择合适的策略来进行数据存储防勒索防线的建设。
所有数据都要做备份,重要系统做容灾,核心系统做防勒索保护。
· 用生产存储保护在线交易、生产制造系统
这类系统如果遭受勒索攻击,会导致服务中断、生产线停工等严重后果,且停机时间越长,损失就越大,容易产生对企业不利的舆论导致名誉受损。所以在规划时就需要把尽快恢复业务和提升安全级别作为防勒索设计的目标。根据此目标,应当保障RPO尽量小,恢复的数据应尽可能靠近生产存储,因此建议直接在生产存储上构建防勒索能力。另外,为了实现更高级别的安全防护,防止生产存储被黑客攻破导致数据丢失,建设生产存储隔离区是非常必要的,不仅能够提升安全等级,还能够留存更长时间的数据,以应对潜伏勒索病毒的攻击。
1. 在生产存储和生产隔离存储开启勒索检测功能,保障勒索攻击能够在第一时间被发现和阻止。通过内置的侦测算法引擎可以更早更快的对存储中实时变化的数据进行分析,做到数据写入的事前拦截、事中实时侦测以及事后的全面扫描。对于生产区的存储来说,内置的侦测分析组件可以使得采购成本更低,减少生产系统中加入外置侦测设备的风险。而对于需要搭建隔离恢复区的用户,内置的侦测系统可以大幅降低隔离区的组网难度,减少隔离区的空间占用,降低资产投入成本。
2. 在生产存储和隔离存储开启安全快照等防篡改功能。为了实现应用的SLA和最佳性价比,按照近密远疏的原则配置安全快照频率,近短远长的原则配置快照保留时间:离生产数据越近的存储,打快照的频率越密,保留的时间越短。例如:应用的设计恢复周期需要控制在2小时以内,则建议生产存储的安全快照周期设置为2小时以内,保留周期设置为1天-3天。生产存储和生产隔离存储需要定期复制数据,建议设置为12-24小时,生产隔离存储的安全快照周期和复制周期一致,保留周期7天-30天。
3. 数据加密。生产存储和生产隔离存储之间,如果使用IP链路传输数据,则建议做链路加密,防止数据在传输过程中发生泄漏。如果存储承载的数据需要按照行业法规要求开启数据加密,则需要规划存储加密功能;如无规定,则企业可根据自身的情况决定是否开启存储加密功能,防止存储介质被盗引发的数据泄漏。
· 用备份存储保护不同生产存储承载的多个重要业务系统
当使用多个存储厂商作为生产存储时,需要为多个生产存储承载的业务系统做统一的防勒索保护。每个厂商的能力不同,有的可能并不支持防勒索保护能力,即使都支持,为每个厂商都部署一套防勒索解决方案也过于复杂,且成本较为高昂。此时使用专用备份存储构建防勒索保护能力是一个较好的选择。同样,备份存储也需要建立隔离区对数据进行离线保护,防止备份存储被黑客攻破导致数据损失。由于备份存储是最后用于兜底的设备,所以建设备份隔离区至关重要。
1. 使用WORM/安全快照防篡改功能对数据进行保护。备份存储通常配合专用备份软件一起工作,可将业务系统的数据以文件形式备份到备份存储进行保存。对于支持和备份存储进行WORM联动的专用备份软件,优先选用WORM技术对数据进行防篡改保护。WORM技术可以单独对文件进行保护,粒度更小,更加灵活。某些专用备份软件不支持和备份存储的WORM文件系统的联动能力,则可以在备份存储上使用安全快照功能进行防篡改保护。
勒索检测。备份存储的利用率相比生产存储来说并不高,在备份存储开启勒索检测不会对业务性能产生影响。开启勒索检测后,可以防止潜伏病毒加密不常用的数据,发现时已无可用备份数据的情况出现。在备份存储和备份隔离存储开启勒索检测,可以保障用于恢复的数据的干净和安全,提升恢复效率。
【结语】
对于勒索病毒的防范需要从管理制度、安全策略和技术支持三个方面同时进行。首先需要有健全的基础网络安全防御,如防火墙、沙箱等;其次,树立员工的安全意识,培训员工养成良好的办公习惯,识别和防范典型的攻击手法。最后,加强数据存储防勒索防线的建设:通过侦测分析及时识别勒索攻击和安全副本;通过WORM/安全快照防止数据被篡改;通过加密技术防止数据泄漏;通过Air-Gap构建隔离区对数据进行离线保护,保留最后一份干净的数据用于恢复。
.jpg?1745909119)
.jpg?1745908014)
.png?1741078162)
_(2).png?1741060606)
