连美剧The Good Wife里高大上的无所不能的州长老婆的顶级律师事务所都被ransomware搞得焦头烂额,CISO们,您所服务的企业距离勒索威胁还远吗?
Ransomware并不新鲜
第一个被广泛传播的恶意勒索软件是1989年的AIDS病毒,通过软盘传播,替换autoexec.bat并在90次计算机启动后使用对称算法加密文件,要求付款到一个PO Box。2005年开始类似malware变多,Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive等开始利用更复杂的RSA加密方法,密钥长度不断增加。2011 年模仿Windows激活通知的勒索蠕虫浮出水面。震撼了整个行业和社会的CryptoLocker在2013年最后四个月迅速斩获了约5000万美金!
快速高额盈利模式!
这些勒索软件遵循标准黑帮运营规则:你付钱给他们,他们履行诺言提供方便。这个商业模式可比信用卡欺诈的效率高太多,不需要skiddies、cloners、mules一整票人,无需团队,无需日常管理协调。在某些极端情况下你只需要一个人单干,写一份恶意软件即可。极高利润率!维护成本除了收钱几乎为零!
看看CryptoLocker的敛财速度!2700万美元,头两个月。每天1百万美元。
下图浅显地解释了ransomware的典型工作流程:
针对关键数据的威胁将会快速增长
绝大多数的地下恶意软件组织就是为了挣钱,既然关键数据对个人、企业、和社会的重要性日增,每天工作生活都离不开,被勒索者又有动力和意愿付钱,那不远的未来此类威胁泛滥是显而易见的。
再看看CryptoLocker会加密的文件类型,全是企业内使用广泛的包含重要数据的。
在现今这样的信息社会,缺少了这些数据,工作和生活真的无法继续。
杀毒和威胁情报有用,但总有漏报
来看看做情报智能感知的厂商怎么说吧:
传统杀毒与恶意软件防护产品效果不好!老生常谈的教育用户、隔离感染、和邮件防护做了二十年了,要是有用,也就不会让黑客轻松赚到数千万美元。上面这份列表里,也就备份数据是唯一可靠方法了。
备份终端全部数据,成本高企,运维费时,难以承受
既然勒索软件加密终端内的关键数据,那企业备份所有终端硬盘不就解决了?只要从服务器上找到原始数据备份,再恢复不就成了?听起来很简单,但实际非常复杂。目前企业内备份的成本大约为5美元/G.年,一个拥有1000台终端,每台需备份300G数据的企业,每个月完全备份一次,每年至少需支出600万美元!试想需要多少人员去维护?!
云备份有数据泄漏的潜在安全问题。并且,即使云备份便宜,每G/年约1美元,上述企业也需要至少支出120万美元。如此大的空间容量,运维人工支出也是个天文数字。此外,网络传输成本也是可观的。
只备份拥有商业价值的关键数据
企业需要自动智能收集分散在企业各处的敏感数据,覆盖台式机、笔记本、文件服务器、邮件、数据库、和网络传输等,使组织能够将关键数据备份策略应用到公司各角落。用户可以按照分类分级规范,发现客户信息、知识产权、运营报告、公司记录、或法律事项等关键数据,并收集至中央存储库供未来使用。允许用户按照数据分类浏览和检索,并支持间歇性网络传输以及增量归档和数据消重等先进功能。
凭借超凡的内容识别与关键数据发现能力,智能归档可以忽略低价值或毫不重要的数据,减少存储设备的购买投入,消除不必要的网络流量,简化运维工作并降低人员数量,最大程度削减了数据保管与合规成本。
传统归档或备份方式存在严重不足:有价值的数据被海量无用垃圾数据淹没,难以查阅。智能归档在采集数据时已经按照企业预定义规范进行分类,用户可按分类浏览和查找,轻松定位欲获取的关键数据并快速提取。这样才可以真正应对ransomware加密关键数据的威胁。
恶意软件防护 + 关键数据分类归档 = 应对ransomware必备手段
尤其是在针对关键数据的威胁持续快速增长的今天,只依靠杀毒和威胁情报,并不治本。切实有效保护好关键数据资产,是CISO们必须实施的手段。
延伸:未来会出现更多针对敏感数据的攻击形式
下次再聊。