面對云勒索病毒攻擊，企業(yè)應如何制定云端保護策略？

    新冠疫情下，人們的生活發(fā)生了極大的改變，足不出戶就可以遠程辦公、在線問診以及線上聽課，生產(chǎn)、服務、消費等場景都變得在線化。隨著線上需求的激增，中國企業(yè)也向數(shù)字化、智能化的方向加速轉型，利用無服務器、容器和機器學習等新技術，將工作負載從數(shù)據(jù)中心遷移到云端。然而，中國企業(yè)在享受云端數(shù)據(jù)管理的高性價比、高擴展性及靈活性的優(yōu)勢時，云安全問題也隨之而來。

    整體來看，大多數(shù)中國企業(yè)上云的過程是分布實施的，這意味著企業(yè)的IT環(huán)境會變成混合云、多云的架構，復雜性大幅提高，網(wǎng)絡暴露面加大，企業(yè)所面臨的云安全威脅也與日俱增。知己知彼，方能百戰(zhàn)不殆。為了更好的防范云勒索病毒攻擊，我們先來了解一下什么是云勒索病毒。

    什么是云勒索病毒？

    勒索病毒（又稱勒索軟件）是一種能夠感染系統(tǒng)和設備的惡意軟件進程。部署勒索病毒通常是為了阻止被攻擊的企業(yè)對其數(shù)據(jù)、應用和環(huán)境的訪問。一旦系統(tǒng)被勒索病毒感染，惡意進程就開始加密文件。然后，該企業(yè)會收到要求支付贖金的消息。否則數(shù)據(jù)就會保持加密狀態(tài)，無法繼續(xù)使用自己的信息。

    此外，勒索病毒也可能會試圖訪問更多系統(tǒng)，擴大網(wǎng)絡傳播范圍。由于云環(huán)境通常是為了方便訪問和使用而構建的，因此云環(huán)境一旦被勒索病毒感染，就可能造成重大損失。

    勒索病毒為什么瞄準云？

    首先，企業(yè)數(shù)據(jù)正在向云端遷移。云稱得上是一座“數(shù)據(jù)金礦”。試圖將數(shù)據(jù)轉化為可操作的洞見或出售信息的企業(yè)注意到了這一點，網(wǎng)絡犯罪分子也注意到了這一點，并且他們也意識到大量涌入云端的數(shù)據(jù)非常有價值。云計算供應商為全球企業(yè)和個人提供服務，而且他們所提供的也不僅僅是簡單的軟件即服務（SaaS）產(chǎn)品。有一些公司會使用數(shù)據(jù)庫即服務（DBaaS）將整個數(shù)據(jù)庫轉移到云端。也有一些企業(yè)機構使用基礎設施即服務（IaaS）將整個基礎設施轉移到云端。所有這些服務都承載了業(yè)務連續(xù)性所需的寶貴數(shù)據(jù)，因而吸引了勒索病毒攻擊者的注意。

    其次，云服務對業(yè)務連續(xù)性至關重要。為了取得成功，勒索病毒攻擊者必須針對絕對關鍵且不可替代的工作負載，否則被攻擊的企業(yè)就沒有支付贖金的動力。由于疫情限制，企業(yè)的工作模式逐漸轉為遠程辦公形式。為了給員工提供虛擬工作空間，許多公司傾向于放棄傳統(tǒng)（且速度較慢的）虛擬專用網(wǎng)絡（VPN）。許多IT團隊更傾向于使用虛擬桌面基礎架構（VDI）來自主管理虛擬機（VM）的部署，或運用云端托管桌面即服務（DaaS）產(chǎn)品。所有這些關鍵業(yè)務都是攻擊者的目標。

    最后，云資源由多人共享。如果攻擊者設法加密云存儲供應商的服務器，而恰巧被攻擊的服務器也在為許多云用戶提供資源時，攻擊者就會提高單次攻擊的贖金。然后，那些共享同一臺服務器資源的云端用戶迫于業(yè)務壓力，不得不屈服支付贖金。而當攻擊者獲得高額利潤后，又間接刺激了勒索病毒攻擊的增長。

    云勒索病毒的攻擊類型及應對建議

    與本地系統(tǒng)不同，由于云的共享資源和Internet可訪問性，云更容易受到服務和環(huán)境的影響。為了更好地預防和防范云風險，企業(yè)需要全面了解勒索病毒的攻擊方式。聯(lián)想凌拓發(fā)現(xiàn)，在以下三種情況中，云容易遭到勒索病毒攻擊：勒索病毒同步至云文件共享服務、RansomCloud攻擊（針對云數(shù)據(jù)的勒索病毒攻擊）和勒索病毒攻擊云服務供應商。同時，我們基于上述三種情況也提供了針對性的建議，幫助企業(yè)筑牢云端數(shù)據(jù)管理防線。

    一.  勒索病毒同步至云文件共享服務

    勒索病毒通常先感染本地計算機，然后再到達云端。勒索病毒在本地機器上滲透進同步到云端的文件共享服務。該惡意進程會對被侵入的機器所存儲的文件進行加密，然后將被破壞的文件傳播到云端。這種類型的攻擊使得企業(yè)網(wǎng)絡面臨巨大的風險，一旦感染擴散到云端，企業(yè)的整個云共享系統(tǒng)就會遭到威脅。然后，勒索病毒就可以進行網(wǎng)絡傳播，感染其他聯(lián)網(wǎng)機器。如果勒索病毒蔓延到?jīng)]有備份的文件，被攻擊的企業(yè)可能就需要被迫支付贖金。

    為此，我們建議企業(yè)從三個維度來防范云勒索攻擊：在主動防御方面，企業(yè)應部署結合ONTAP的CryptoSpike防勒索病毒解決方案以保護關鍵的共享文件存儲，拒絕勒索病毒攻擊，并使用能夠防御勒索病毒、保護本地文件的新一代殺毒軟件；在操作系統(tǒng)方面，企業(yè)應采用最新安全補丁持續(xù)更新操作系統(tǒng)（OS）；在網(wǎng)絡服務方面，企業(yè)應使用網(wǎng)絡過濾服務攔截受感染網(wǎng)站。如不幸遭受攻擊時，企業(yè)應分三個步驟做好響應對策：首先，企業(yè)應立即斷開被感染的設備和系統(tǒng)與互聯(lián)網(wǎng)的連接；然后，企業(yè)應迅速聯(lián)系IT和安全專家來獲取技術支持；最后，企業(yè)可使用第一方或第三方解決方案來采取備份和災難恢復策略。

    二.  RansomCloud攻擊

    RansomCloud是一種以Office 365等云端電子郵件服務為目標的新型勒索病毒。攻擊者會使用釣魚郵件來獲取電子郵件賬戶。釣魚郵件看起來跟正常的電子郵件一樣，來誘導和欺騙受害者點擊文件來破壞他們的系統(tǒng)，或誘導受害者為攻擊者提供自己的賬戶訪問權限。一旦攻擊者獲得電子郵件賬戶的訪問權限，他們就可以使用勒索病毒對受害者的電子郵件信息進行加密并對受害者進行金錢勒索。此外，攻擊者還經(jīng)常使用電子郵件賬戶發(fā)起新的攻擊、冒充賬戶所有者、詐騙受害者的家屬并向受害者的聯(lián)系人傳播惡意軟件。

    面對RansomCloud攻擊，我們建議企業(yè)從兩方面著手：首先，在員工培訓方面，企業(yè)應該為員工提供相關攻擊的培訓和最新教育資源，來幫助各級員工了解如何識別、避免和報告網(wǎng)絡釣魚；其次，在受到攻擊時，企業(yè)可采取電子郵件備份和災難恢復策略，確保數(shù)據(jù)在受到攻擊時仍然可用。

    三.  勒索病毒攻擊云服務供應商

    為了增加每次攻擊的收益，攻擊者往往直接針對云供應商，試圖利用漏洞來更大范圍滲透系統(tǒng)。然后，攻擊者就可以要求更多被攻擊的企業(yè)支付贖金。因此，企業(yè)與云服務供應商合作時，也需要建立一種結構化的合作方式共同防范勒索病毒攻擊。

    因此，我們建議企業(yè)在與云服務供應商合作時，要做到以下兩點：首先，企業(yè)要有明確的需求。由于服務供應商通常都有自己的勒索病毒恢復計劃，因此，企業(yè)要求自己的供應商提供他們的計劃，從而評估該供應商面對重大災難（包括勒索病毒攻擊）的響應能力。另外，企業(yè)要制定應對服務中斷的后備計劃。為了確保業(yè)務連續(xù)性，企業(yè)應該自行制定一份關于如何在供應商服務中斷期間繼續(xù)運營的計劃。例如企業(yè)可以制定使用多家云供應商的多云策略，以確保企業(yè)在故障期間也能夠恢復正常運行。企業(yè)還可以在基于IaaS架構的服務商環(huán)境以及本地的私有云環(huán)境中部署CryptoSpike防勒索病毒解決方案以確保關鍵共享文件存儲免受勒索病毒攻擊，并以此制定一項利用本地資源或第三方恢復解決方案的混合云策略。

    放眼未來，隨著中國企業(yè)數(shù)字化轉型的加速，企業(yè)的IT基礎架構將全面進入“云時代”。而在“云時代”，企業(yè)固定的防御邊界也不復存在。中國企業(yè)只有建立全面的云安全策略，才能從容面對諸如云勒索病毒等“云威脅”，打造安全穩(wěn)定的IT架構，借助云端優(yōu)勢，在數(shù)字化時代脫穎而出。