• WAP手机版 RSS订阅 加入收藏  设为首页
科技

你是勒索病毒的“无症状感染者吗”?!

时间:2020/8/6 14:30:29  作者:未知  来源:网络转载  查看:30  评论:0

       很遗憾,勒索病毒正在变得越来越聪明。

       设想这样一个场景:系统的某个文件或部分可能已经遭受感染,然而并无任何「症状」,属于标准的无症状感染者!管理员完全不知!

       这并非危言耸听。现在大部分的勒索病毒都被设计成潜伏数月,而不是立即加密组织的文件并勒索赎金。这种设计思路背后的核心理念是,大多数公司只保留有限时间内的备份,比如说当月,或者当季度。如果一个勒索病毒感染在被激活之前可以保持休眠状态多个月,那么公司将在整个休眠期间不知不觉地备份受感染的文件。当勒索病毒激活,全面攻击时,该组织的所有备份都已被感染,因此不可能恢复出正确的备份,最终全面封锁住被攻击者拯救数据的所有出路。

       当勒索病毒玩起了「潜伏」和「暗战」,IT两眼一抹黑,我可太难了!?

       “早发现、早隔离”才是正道。

       IT不仅要担心业务面临的外部威胁,还必须了解组织内部的潜在风险。

      一:严格检查共享目录

      从公司文件夹的目录共享开始,查看那里的用户允许哪些权限。当文件夹是开放的,所有不同组的员工都可访问,这极大增加了未经授权用户访问的风险。

      应对:依据权限最小化原则严格设定文件夹内用户组的权限。

      二:明确数据的敏感性

      一旦确定了这些拥有开放权限的“脆弱文件夹”,就可通过集成的分类引擎对数据进行分类,以确定数据的敏感性。由于引擎中的深度学习系统会优先处理敏感数据最有可能被发现的位置,因此分类工作非常高效。

      应对:集成的分类引擎。检测敏感数据的模式(如「休眠」的勒索病毒),并实施与业务相关的特定保护策略。

      三:调查暴露源

      如果分类引擎报告了包含敏感数据的文件,请查看该信息是否已公开。一旦知道谁访问了这些文件,系统将帮助管理员对用户进行配置,以查看访问这些文件的用户是否具有适当的凭证,或者是否有人「越界」。

      应对:为每个用户标识关于文件活动的关键指标。

      四:明确风险水平

      现在,管理员可以看到关于谁访问了文件,以及每个人的活动的详细信息,为评估不同行为是否引发警告提供依据。

      应对:设定风险档案。确定某用户是否对组织构成威胁。

      以上功能可以通过Data Insight类的基于大数据的数据风险分析类工具实现。

      即使做到了以上几点,仍然不能完全消除风险,因为勒索软件还可能瞄准你的备份副本。越来越多的组织选择将云作为备份存储的类型之一,勒索软件甚至会破坏备份软件的凭证,并将备份恢复到他们控制的服务器上。

      备份系统同样要沿用「保持距离」(Distancing)+「锁定」(LockDown)的策略,双管齐下。以最常见的备份软件BE(Backup Exec)为例,除了磁盘,用户可以安全地将数据备份至云和磁带。二者都能在源系统和备份副本之间「保持距离」或实现air gap(气隙)功能,这意味着当系统不幸遭受勒索攻击时,备份数据仍能因距离而免受污染。

      如果备份是在磁盘上,而磁盘仍然连接到源系统,该怎么办?如果发生了勒索软件攻击,它不仅会破坏主数据,还会进一步传播,污染备份副本。BE可监控对其基于磁盘的存储设备位置的访问,对基于磁盘的存储设备位置的任何更改只能由BE完成,没有其他进程可以写入磁盘存储。该功能禁止未经授权的访问,保护备份数据免受尝试将其修改的外部攻击。简单说,就是“你根本就碰不到它”。

      从BE21版本开始持续增强磁盘存储锁定功能。通过添加额外的安全层,不允许其他任何非BE进程(未经授权的代码)修改备份数据,即便是通过外部代码执行。

       如果部署的是BE备份系统,请及时检查软件版本,如果低于21.0版本,请尽快升级更新,消除潜在的安全风险。

       如果仍然对备份系统面对的潜在安全风险不清楚,请联系蓝盟IT外包紧急救援电话:4006358089


标签:你是 勒索 病毒 无症状 症状 
特别声明 本网站所刊载信息,不代表“第一资讯网”网站观点。 刊用本网站稿件,务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任。
  
“第一资讯网”版权所有