TR-4802 : FlexPod ,《勒索软件解决方案》
NetApp 公司 Arvind Ramakrishnan
与以下合作伙伴:
要了解勒索软件,必须首先了解有关加密的几个要点。加密方法可以使用共享密钥(对称密钥加密)或一对密钥(非对称密钥加密)对数据进行加密。其中一个密钥是广泛可用的公有密钥,另一个密钥是未公开的私钥。
勒索软件是一种基于密码学的恶意软件,即使用加密技术构建恶意软件。此恶意软件可以使用对称密钥加密和非对称密钥加密来锁定受影响的数据,并要求勒索以提供密钥来对受影响的数据进行解密。
勒索软件的工作原理是什么?
以下步骤介绍勒索软件如何使用加密技术对受害者的数据进行加密,而不会为受害者提供任何解密或恢复范围:
-
与非对称密钥加密一样,攻击者会生成密钥对。生成的公有密钥将放置在该恶意软件中,然后释放该恶意软件。
-
恶意软件进入受影响用户的计算机或系统后,它会使用伪数字生成器( Pseudorandom Number Generator , PRG )或任何其他可行的随机数字生成算法生成一个随机对称密钥。
-
恶意软件使用此对称密钥对受影响的数据进行加密。它最终会使用恶意软件中嵌入的攻击者的公有密钥对对称密钥进行加密。此步骤的输出是加密对称密钥的非对称密文和受影响数据的对称密文。
-
恶意软件会将受害者的数据以及用于加密数据的对称密钥置零(擦除),从而无法进行恢复。
-
现在,系统会向受影响的用户显示对称密钥的非对称密钥文本以及为获取用于加密数据的对称密钥而必须支付的勒索金额。
-
受害者支付勒索费用,并与攻击者共享非对称密码短文。攻击者使用其私钥对密码短文进行解密,从而导致出现对称密钥。
-
攻击者与受影响的用户共享此对称密钥,此密钥可用于对所有数据进行解密,从而从攻击中恢复。
挑战
个人和组织在遭受勒索软件攻击时面临以下挑战:
-
最重要的挑战是, IT 会立即影响组织或个人的工作效率。恢复正常状态需要一些时间,因为所有重要文件都必须重新获取,并且系统必须安全。
-
它可能会导致数据泄露,其中包含属于客户或客户的敏感机密信息,并导致组织显然希望避免的危机情况。
-
数据很有可能落入不当之手或被彻底擦除,从而导致无法返回,可能对组织和个人造成灾难性后果。
-
支付完勒索后,无法保证攻击者将提供密钥来还原数据。
-
目前无法保证攻击者在支付了勒索之后仍不会广播敏感数据。
-
在大型企业中,识别导致勒索软件攻击的漏洞是一项繁琐的任务,确保所有系统的安全需要付出大量的努力。
谁面临风险?
任何人都可能受到勒索软件的攻击,包括个人和大型组织。如果组织未实施定义明确的安全措施和实践,则更容易受到此类攻击。攻击对大型组织的影响可能比个人承受的影响要大几倍。
勒索软件大约占所有恶意软件攻击的 28% 。换言之,每四个恶意软件事件中就有一个以上是勒索软件攻击。勒索软件可以自动和不分青红皂白地通过互联网传播,一旦发生安全问题,它就可以进入受影响的系统并继续传播到其他已连接的系统。攻击者往往会将目标锁定在执行大量文件共享,拥有大量敏感和关键数据或未充分防范攻击的人员或组织。
攻击者往往关注以下潜在目标:
-
大学和学生社区
-
政府部门和机构
-
医院
-
银行
这并不是详尽的目标列表。如果您不属于这些类别之一,则您将无法认为自己不会受到攻击。
勒索软件如何进入系统或传播?
勒索软件可以通过多种方式进入系统或传播到其他系统。在当今世界,几乎所有系统都通过互联网, LAN , WAN 等相互连接。在这些系统之间生成和交换的数据量只会增加。
勒索软件的一些最常见传播方式包括我们每天用于共享或访问数据的方法:
-
email
-
P2P 网络
-
文件下载
-
社交网络
-
移动设备
-
连接到不安全的公有网络
-
访问 Web URL
数据丢失的后果
数据丢失的后果或影响可能会比企业预期的范围更广。根据停机持续时间或组织无法访问其数据的时间段,这些影响可能会有所不同。攻击持续时间越长,对组织收入,品牌和声誉的影响就越大。企业还可能面临法律问题和生产率急剧下降。
随着这些问题持续存在,它们开始放大,并可能最终改变组织的文化,具体取决于组织如何应对攻击。在当今世界,信息迅速传播,有关组织的负面新闻可能会对其声誉造成发生原因永久损害。企业可能会因数据丢失而面临巨大的处罚,最终可能导致业务关闭。
财务影响
据最近的一份报告称 "McAfee 报告"网络犯罪造成的全球成本约为 6000 亿美元,约占全球 GDP 的 0.8% 。与全球互联网经济增长 4.2 万亿美元相比,这一金额相当于对增长征收 14% 的税。
勒索软件在这一财务成本中占很大比例。2018 年,勒索软件攻击所产生的成本约为 80 亿美元―预计 2019 年将达到 115 亿美元。
什么是解决方案?
只有通过实施主动式灾难恢复计划,才能在最短停机时间内从勒索软件攻击中恢复。拥有从攻击中恢复的能力是不错的,但完全防止攻击是理想之选。
尽管为了防止攻击,您必须查看和修复几个方面,但允许您防止或从攻击中恢复的核心组件是数据中心。
数据中心的设计及其为保护网络,计算和存储端点提供的功能对于构建安全的日常运营环境起着至关重要的作用。本文档介绍了 FlexPod 混合云基础架构的功能如何帮助在发生攻击时快速恢复数据,以及如何帮助全面防止攻击。