本文约4295字,建议阅读8分钟
本文介绍了在勒索病毒攻击盛行的情况下,企业或组织采用的应对技术方案,以及如何发挥保险的作用以降低勒索病毒攻击造成的损失。文末附二维码,欢迎扫码加入数据勒索应对方案交流群。
数字经济时代背景下,数字化智能化发展不断深入,数据成为基础生产要素,勒索病毒攻击(以下简称勒索攻击)俨然成为全球面临的重大威胁之一。勒索病毒攻击的范围不断扩大,手段更加多样,勒索赎金不断增加,被勒索企业或组织因此造成的损失也不断增加。在勒索病毒攻击盛行的情况下,企业或组织应采用怎样的技术方案应对,以及如何发挥保险的作用,帮助企业或组织把勒索病毒攻击造成的损失降到最低?
一、勒索攻击概况
勒索病毒是一种极具传播性和破坏性的恶意软件,利用多种加密算法及通过锁屏、加密文件等方式,劫持、窃取和加密用户数据,并以此恐吓、敲诈和勒索高额赎金。一旦遭遇勒索攻击,系统被破坏,数据被加密或窃取,即使缴纳巨额赎金,拿到解密的私钥,恢复部分或全部数据,但由此造成的损失仍然是很多组织难以承受的。
最近几年来,勒索攻击形势更加严峻,已经对全球的能源、金融、教育和制造业等领域众多企业造成严重影响。伴随非对称加密算法的应用,以及加密货币的兴起,出现了勒索病毒即服务(Raas,Ransomware as a service)概念,勒索病毒在技术和理论层面不断革新,当前仍具有强劲的发展势头和极大的破坏力。2021年5月因为美国最重要的燃油管道运营商Colonial被勒索攻击,关闭约8851公里的运输管道,美国因此宣布进入国家紧急状态。
勒索攻击态势持续增长。根据《2020年中国互联网网络安全报告》显示,勒索攻击持续活跃,2020年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。根据《2020年中国互联网网络安全报告》显示,2019年CNCERT/CC捕获勒索病毒73.1万余个,较2018年增长超过4倍,勒索病毒活跃程度持续居高不下。
360安全大脑发布的《2020年勒索病毒疫情分析报告》显示,2020年,服务业、制造业、餐饮与零售、教育、医疗、及金融与贸易是受勒索攻击的主要行业;广东、浙江、江苏、山东、上海等区域受勒索攻击比较严重。
二、勒索攻击造成的损失分类
遭受勒索攻击不仅造成包括赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失,而且可能因为停产或服务中断还会带来更大的社会损失。
赎金损失往往是遭受勒索攻击的企业或组织最直接的一项损失。遭受勒索攻击的企业或组织为了能尽快恢复数据和正常工作,在没有提前做好数据备份或者数据备份也被攻击的企业或组织,多数可能会选择支付赎金。但支付赎金之后是否就能一切正常呢?Censuswide的调研报告显示,企业在遭遇勒索攻击之后,由于无法正常展开工作,会有相当一部分企业会选择支付赎金,但大约80%选择支付赎金的组织会遭到第二次攻击,46%支付赎金的组织发现一些数据被破坏,51%支付赎金的组织重新获得了访问权,同时还有3%支付赎金的组织根本没有拿回数据。
停产损失是所有遭受勒索攻击的企业或组织都需要承担的一项损失。遭受勒索攻击之后,组织的业务系统(生产或服务系统)部分或全部受损,导致组织正常的业务活动部分或全部中断。一旦企业受到勒索攻击,停产一周之内算少的,更多的企业被勒索攻击之后,停产时间甚至可能是以月为单位。不同行业、不同规模的企业每天的产值不尽相同,预计从几十万到几千万元不等,甚至更多,另外对于生产制造企业,可能因此造成已经在产线上的原料和半成品都全部报废等。
赔偿和罚款损失也是遭受勒索攻击的企业或组织通常需要承担的一项损失。遭受勒索攻击的企业,因停产或业务中断,造成企业无法按时完成交付,或者造成客户数据的泄露等,根据实际协议约定等企业可能需要向客户支付一定赔偿。另一方面,“双重勒索”攻击的出现,组织除了数据被加密无法使用和访问,组织的核心数据也被窃取,不论是否支付赎金,被窃取数据都可能流向黑市,造成组织数据的泄露,某些敏感数据的泄露,组织可能因此受相应的监管部门的处罚,需要继续相应的罚款。
数据重新上线费用也是遭受勒索攻击的企业或组织必须承担的一项损失。遭受勒索攻击之后,组织原有的业务系统可能被破坏,不论是通过备份数据恢复,还是支付赎金后解密数据,整个过程中需要内外部IT和安全技术服务人员参与实施,相应的实施费用是被勒索攻击的组织需要支付的费用。
勒索攻击除了直接造成上述经济损失,也常带来更严重的社会损失,影响人们正常生活甚至导致人员死亡等。2021年5月全球最大的肉类供应商JBS遭到勒索攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨。2020年9月,德国杜塞尔多夫医院遭到勒索攻击,导致门诊治疗和紧急护理瘫痪,一名急诊的患者被迫转送至其他医院救治途中死亡。
三、勒索攻击的应对方案及保险
勒索攻击的应对方案主要包括预防性措施、响应性措施以及数据安全保险等方面组成,其中预防性措施属于应对勒索攻击的常规措施,对阻挡勒索攻击有一定作用,响应性措施是应对勒索攻击的核心措施,在遭到勒索攻击之后可以尽快恢复数据并恢复生产和服务,将勒索攻击的影响降到最低,数据安全保险是应对勒索攻击的补充措施,通过保险赔付可以把勒索攻击造成的直接损失降到最低。
3.1 预防性措施
预防性措施以网络安全解决方案为主,包含防火墙,防病毒,IPS,态势分析等等一系列网络安全措施,以及及时更新、及时打补丁等最佳实践。预防性措施可以有效降低企业或组织被勒索攻击的概率。但随着勒索攻击由被动式攻击转向主动式攻击,预防性措施的脆弱性也将更多的显现,只靠预防性措施并不见得能够防住勒索攻击。预防性措施的技术供应商相对较多,如启明星辰、绿盟、奇安信等。
3.2 响应性措施
响应性措施以数据的全生命周期管理方案为主,建立独立于生产与业务系统的数据资产统一管理平台,落实数据的规范管理、合理权限分配、精细化备份管理、及高效恢复等一整套的措施。响应性措施各个部分可能都有相应的厂商能提供部分方案,但建立了一整套完整的技术方案的技术厂商目前看起来比较少,清华校友的创业企业云城数据可能是为数不多的厂商之一。
建立数据资产统一管理平台,是快速高效应对勒索攻击的核心。企业或组织遭到勒索攻击之后,往往很难在短时间内弄清楚具体哪些数据被勒索,更加难以快速重建数据,恢复生产。即使企业使用了传统的数据备份,从目前的案例和实施效果来看,也并不能有效地恢复数据,恢复生产。因此,建立数据资产统一管理平台,落实数据规范管理体系,完善严格的权限管理体系以及精细化的数据备份管理机制等,就显得尤为重要,这也是快速响应和高效应对勒索攻击的最有效的方法。
落实数据规范管理体系,是应对勒索攻击的基础。在企业或组织中同时存在生产与业务系统数据、IT服务与管理数据、以及个人电脑数据等多种类型的数据,针对不同类型的数据进行分类管理,建立规范的数据管理体系,各类数据产生的时候即同步到数据资产统一管理平台,形成连续性的数据管理能力,以及形成独立于生产与业务流程的数据关联机制,保障不同系统和类型数据间的一致性和可用性,可以在此基础上构建企业或组织的清晰的数据资产地图。一旦企业或组织遭到勒索攻击,就可以快速定位和圈定被攻击的数据范围,对于评估数据价值和数据恢复可以做到有的放矢。
完善严格的权限管理体系,是延缓和限制勒索攻击的有效手段。根据实际情况和正常工作业务需要,合理设置和分配内部工作人员的数据访问权限,实行用户最小权限管理,只有数据的所有者和被授权的工作人员才能获得数据的获取、查看、修改、删除等权限,未被授权的用户无法碰触数据本身。在严格的权限管理体系下,即使遭到勒索攻击,也可以比较有效的限定勒索攻击的范围,延缓或避免勒索攻击的大范围扩散,为应对勒索攻击争取更多的时间。
精细化的数据备份管理机制,是应对勒索攻击的关键。以往企业或组织内部不同系统以及不同类型的数据可能都按不同逻辑或不同的周期进行数据备份,个人电脑数据甚至可能没有备份,因此精细化备份管理的第一步就是要对不同系统和不同类型数据建立一致的数据备份逻辑,一旦遭到勒索攻击可以快速定位数据恢复的时间节点和数据版本等。由于以往简单备份管理的精度不足,不同系统或类型之间数据的关联性和一致性等考虑欠缺,导致数据恢复之后不同系统或不同环节之间的数据冲突,可能进一步给企业或组织的生产经营等造成二次损失,因此精细化备份管理的第二步就更是要加强备份数据的版本、关联性和一致性的管理,确保遭到勒索攻击之后恢复的数据仍能保证各系统和环节之间的一致性,使得数据恢复之后即可恢复生产运营。最后,由于备份数据已经成为勒索攻击的重要目标,以往只在企业或组织的内网和本地的数据备份方案已经不足以应对勒索攻击,因此精细化备份管理的第三步就是要进行备份数据加密后的异地管理,可以通过公有云或组织的异地私有云等进行远程备份管理。
快速高效的数据恢复,是应对勒索攻击的直接手段。企业或组织遭到勒索攻击之后,基于数据资产统一管理平台,可以快速定位被加密或窃取的数据范围,评估勒索攻击造成的影响,依靠精细化的数据备份管理,可以快速锁定需要恢复的数据范围、版本等,一键高效数据恢复,尽快恢复正常的生产与运营,可以把勒索攻击的影响和直接损失降到最低。
3.3 数据安全保险
企业或组织具备了响应性措施之后,即使遭到勒索攻击,基本可以忽略勒索赎金的要求,通过备份数据直接进行数据恢复,进而恢复生产与运营,消除勒索攻击造成的影响。但停产损失、数据解密恢复实施费用,以及潜在的赔偿和罚款损失等,都是被攻击的企业或组织需要实实在在承担的损失,针对这部分损失数据安全保险则可以根据保险责任进行赔付,为企业或组织弥补部分或全部的损失。数据安全保险目前在国内并未普及,只有少数几个保险公司提供相应的产品。云城数据联合太平保险,推出数据资产统一管理平台结合数据安全保险的整体方案,可以帮助各类型的企业或组织把勒索攻击造成的影响和损失降到最低。
四、总结
勒索攻击是数字经济时代的重大威胁,特别是制造、教育和医疗等信息技术能力相对较弱的产业,更容易遭受到勒索攻击,由勒索攻击造成的损失和影响也比较大。为应对勒索攻击,企业或组织需采取预防性措施、响应性措施以及数据安全保险等方面的措施。预防性措施可以在一定程上起到对勒索攻击的防护作用,响应性措施可以尽快消除勒索攻击造成的影响和最大限度的减少因勒索攻击造成的业务中断等直接损失,数据安全保险则在保险责任范围内可以弥补因勒索攻击造成的损失。
