在新冠肺炎疫情下,人们的生活发生了很大的变化。他们可以远程工作,在线咨询,在线听课,不用离开家。生产、服务、消费等场景都变得在线化。随着在线需求的激增,中国企业也加快了向数字化、智能化方向的转型,利用无服务器、容器、机器学习等新技术将工作负荷从数据中心转移到云端。然而,当中国企业享受云数据管理的高性价比、高可扩展性和灵活性时,云安全问题也随之而来。
总的来说,大多数中国企业上云的过程都是分布实施的,这意味着企业IT环境将成为混合云和多云的结构,复杂性将大大提高, *** 暴露将增加,企业面临的云安全威胁将日益增加。只有了解自己和敌人,我们才能赢得一百场战斗。为了更好地防止云勒索病毒的攻击,让我们首先了解什么是云勒索病毒。
什么是云勒索病毒?
勒索病毒(也被称为勒索软件)是一恶意的软件过程,可以感染系统和设备。部署勒索病毒通常是为了防止被攻击的企业访问其数据、应用程序和环境。一旦系统被勒索病毒感染,恶意过程就开始加密文件。然后,该公司将收到要求赎金的消息。否则,数据将保持加密,无法继续使用自己的信息。
此外,勒索病毒还可能试图访问更多的系统,扩大 *** 传播范围。由于云环境通常是为了方便访问和使用而建立的,一旦被勒索病毒感染,云环境可能会造成重大损失。
为什么勒索病毒瞄准云?
首先,企业数据正在迁移到云端。云可以说是一个“数据金矿”。企业试图将数据转化为可操作的洞察力或销售信息, *** 犯罪分子也注意到了这一点,他们也意识到大量涌入云的数据非常有价值。云计算供应商为全球企业和个人提供服务,他们不仅提供简单的软件,即服务(SaaS)产品(DBaaS)将整个数据库转移到云端。一些企业和机构使用基础设施,即服务(IaaS)将整个基础设施转移到云端。所有这些服务都承载着业务连续性所需的宝贵数据,吸引了勒索病毒攻击者的注意。
其次,云服务对业务连续性至关重要。为了成功,勒索病毒攻击者必须针对绝对关键和不可替代的工作负荷,否则受攻击的企业将没有支付赎金的动力。由于疫情的限制,企业的工作模式逐渐转变为远程办公。为了给员工提供虚拟工作空间,很多公司倾向于放弃传统的(速度慢)虚拟专用 *** (虚拟 *** )。IT团队倾向于使用虚拟桌面基础架构(VDI)虚拟机的独立管理(VM)部署,或使用云托管桌面即服务(DaaS)产品。所有这些关键业务都是攻击者的目标。
最后,云资源由多人共享。如果攻击者试图加密云存储供应商的服务器,而碰巧被攻击的服务器也为许多云用户提供资源,攻击者将提高单次攻击的赎金。然后,在业务压力下,共享同一服务器资源的云用户不得不屈服于支付赎金。当攻击者获得高利润时,间接 *** 了勒索病毒攻击的增长。
云勒索病毒的攻击类型及应对建议
与本地系统不同,由于云的共享资源和Internet可访问性,云更容易受到服务和环境的影响。为了更好地预防和防范云风险,企业需要充分了解勒索病毒的攻击 *** 。联想凌拓发现,在以下三种情况下,云很容易被勒索病毒攻击:勒索病毒同步到云文件共享服务,RansomCloud攻击(勒索病毒攻击云数据)和勒索病毒攻击云服务提供商。同时,我们还根据上述三种情况提供有针对性的建议,帮助企业建立云数据管理防线。
勒索病毒同步到云文件共享服务
勒索病毒通常先感染本地计算机,然后到达云。勒索病毒渗透到同步到云的本地机器上的文件共享服务。恶意过程加密入侵机器存储的文件,然后将损坏的文件传输到云中。这种攻击使企业 *** 面临巨大的风险,一旦感染传播到云中,企业的整个云共享系统就会受到威胁。然后,勒索病毒可以在 *** 上传播,并感染其他在线机器。如果勒索病毒传播到未备份的文件中,受攻击的企业可能需要被迫支付赎金。
为此,我们建议企业从三个维度防止云勒索攻击:在主动防御方面,企业应结合部署ONTAP的CryptoSpike防止勒索病毒解决方案保护关键共享文件的存储,拒绝勒索病毒攻击,使用新一代防止勒索病毒和保护本地文件的杀毒软件;在操作系统方面,企业应使用最新的安全补丁继续更新操作系统(OS);在 *** 服务方面,企业应使用 *** 过滤服务拦截被感染的网站。不幸受到攻击时,企业应采取三个步骤:之一,企业应立即切断被感染的设备和系统与互联网的连接企业应迅速联系IT与安全专家可以利用之一方或第三方解决方案采取备份和灾难恢复策略。
RansomCloud攻击
RansomCloud是一种以Office 365等云电子邮件服务的新型勒索病毒。攻击者将使用钓鱼邮件获取电子邮件账户。钓鱼邮件看起来像正常的电子邮件,诱导和欺骗受害者点击文件来破坏他们的系统,或者诱导受害者为攻击者提供他们的账户访问权。一旦攻击者获得了电子邮件账户的访问权,他们就可以使用勒索病毒来加密受害者的电子邮件信息,并勒索受害者的金钱。此外,攻击者还经常使用电子邮件账户发起新的攻击,假装是账户所有者,欺骗受害者的家人,并将恶意软件传播给受害者的联系人。
面对RansomCloud攻击,我们建议企业从两个方面开始:首先,在员工培训方面,企业应为员工提供相关攻击培训和最新教育资源,帮助各级员工了解如何识别、避免和报告在线钓鱼;其次,企业可以采取电子邮件备份和灾难恢复策略,确保数据仍然可用。
勒索病毒攻击云服务供应商
为了增加每次攻击的收入,攻击者通常直接针对云供应商,试图利用漏洞来更广泛地渗透系统。然后,攻击者可以要求更多受攻击的企业支付赎金。因此,当企业与云服务提供商合作时,也需要建立结构化的合作模式,共同防止勒索病毒攻击。
因此,我们建议企业在与云服务供应商合作时,应做到以下两点:首先,企业应有明确的需求。由于服务提供商通常有自己的勒索病毒恢复计划,企业要求供应商提供他们的计划,以评估供应商面临重大灾难(包括勒索病毒攻击)的响应能力。此外,企业还应制定应对服务中断的储备计划。为了确保业务的连续性,企业应制定一个关于如何在供应商服务中断期间继续运营的计划。例如,企业可以制定多云供应商的多云策略,以确保企业在故障期间恢复正常运行。企业也可以基于IaaS在当地的私有云环境中部署架构服务提供商环境CryptoSpike防止勒索病毒解决方案,确保存储关键共享文件,避免勒索病毒攻击,并制定混合云策略,利用当地资源或第三方恢复解决方案。
展望未来,随着中国企业数字化转型的加快,企业IT全面进入基础设施“云时代”。而在“云时代”,企业固定的防御边界不复存在。只有建立全面的云安全战略,中国企业才能平静地面对云勒索病毒等“云威胁”,创造安全稳定IT借助云优势,架构在数字时代脱颖而出。