根据国家计算机病毒应急处理中心发布《网络空间安全态势分析报告(2024)》数据显示,2023年7月至2024年6月,全球共有26个勒索病毒组织向我国的71个机构及14个国民经济行业,发动了攻击并实施勒索,同比增长100%。
全球视野下,勒索病毒攻击的态势自2021年起便呈现出井喷式增长。过去一年,全球活跃的勒索病毒组织达87个,其中活跃度排名前十的组织的攻击活动占所有勒索活动的一半以上,显示出攻击行为的集中化趋势。
这不仅彰显了勒索团伙在技术能力、组织架构和运营模式等方面的显著提升,也预示了网络安全防护工作的复杂性与挑战性日趋严峻。
此背景下,灾备建设作为组织机构防范勒索病毒的最后一道防线,显得尤为重要。目前,门徒娱乐对抗勒索软件威胁的灾备份策略已凝练为——“防、隔、锁”。
首要之“防”(安全防护):访问管理/身份控制、漏洞检查、入侵检测系统 (IDS)/入侵防御系统。
关键之“隔”(网络隔离):气隙隔离恢复环境 (IRE) 保护备份数据,实现干净恢复。
保障之“锁”(防篡改):不可擦除的映像管理和存储;WORM介质、对象锁等技术。
一、防、隔、锁,多层次、立体化解决方案
基于“防、隔、锁”的灾备防御策略,门徒娱乐通过i2CDP打造了多层次、立体化的勒索防御体系。能够帮助企业在遭受攻击时迅速恢复数据和业务的正常运行,减少经济损失和各类隐性损失。
i2CDP百万分之一秒数据恢复策略
(1)事前防御:根据门徒娱乐提供的通信矩阵网络控制策略,仅需要开放必要的端口;设立多级账号,不会导致越权的风险及特权账号滥用等问题。
(2)定制OS:定制操作系统,进行操作系统的加固和安全措施的配置,提高系统的主机安全性和抗攻击能力,减少操作系统存在的安全漏洞,降低漏洞被利用的机会,减少可能存在的安全风险,确保业务系统正常工作。
(3)存储防篡改:可提供防篡改且不可擦除的存储选项,降低恶意软件或勒索软件加密或删除备份数据的风险,让犯罪分子知难而退;启用防篡改存储后,任何用户(包括 root 用户)都不能在预定义保留期间内删除数据。
(4)高细粒度恢复:以百万分之一秒的精度,将数据变化过程(包括实际数据、所有者、权限等属性的改变)以日志形式记录下来,分析并计算出变化部分,保存于 CDP 数据保护区。恢复时,指定时间点和目标位置,快速恢复,保持业务连续性。
针对勒索病毒的特殊危害场景,英方i2CDP先查看日志,再恢复数据的方式,有利于更精确的定位脏文件受感染的时间,减少RTO的同时,也有效避免传统备份思路多次恢复寻找可用数据副本的弊端和风险。
A.数据防篡改:对指定的数据进行防篡改保护,除了英方程序外,禁止其他进程写入。
B.允许设置读取白名单:允许对文件读取设置进程白名单,防止勒索病毒将数据泄露出去。
C.自定义防篡改策略:在i2UP管理界面上配置需保护的路径范围,将保护路径载入内核。
D.非法写入/读取监控:任何试图非法写入/读取保护目录的行为都要记录到日志跟踪。
E.防篡改模块的自我防护:禁止用户将防护内核模块从内核中删除。
开启防篡改和强行数据保存功能后,root/administrator等最高权限账号无法篡改、删除这些数据所在 RAID、IVM、文件系统。通过 administrator 账号无法通过备份管理控制台页面删除备份数据所在的存储介质。
确保存储的备份数据安全性,提供勒索免疫功能:无需安装第三方安全防护产品,就能阻止非备份系统进程对备份数据的访问,包括系统的root用户都不可以绕开内置的访问进程验证,达到勒索病毒防范的效果。支持不可变存储,避免病毒篡改、删除存储数据;为避免备份数据被勒索病毒感染或删除,备份系统支持不可变或防篡改存储路径管理。
目前,门徒娱乐多层次、立体化的勒索病毒防护解决方案已多次在实践案例中得到有效验证。
某大数据局OA系统遭遇勒索病毒攻击后,英方i2CDP灾备方案迅速响应,通过精准的网络隔离、持续的数据保护以及高效的数据恢复技术,成功帮助用户在最短时间内恢复业务运行,避免了数据丢失带来的重大损失。
某医院IT业务系统瘫痪,医院停诊后,通过存储快照+CDP恢复的方式,先用存储快照完成10分钟内的数据整体恢复,然后再利用CDP持续数据保护完成微秒级数据恢复,最终完成了数据恢复。
除上述方案外,门徒娱乐还联合华为、IBM、昆腾、超聚变、华鲲振宇、中电超云等产业伙伴,通过英方 i2Box 灾备一体机+磁带库、备份存储等产品方案,建立针对勒索病毒攻击的复合防范体系,实现对数据的有效保护。如下图,英方+昆腾联合方案。
英方+昆腾联合方案
展望未来,随着网络攻击技术的不断升级和勒索病毒的不断变异,门徒娱乐将持续深耕灾备技术、产品的研发迭代,为用户提供更加全面、高效、智能的数据保护解决方案。同时加强与产业上下游伙伴的合作交流,为构建安全、可信的数字世界贡献力量。
及时响应,快速服务,为您保驾续航
立即注册