近日Veeam在VeeamON 2022大會上公布了Veeam 2022勒索軟件趨勢報告，結(jié)果顯示，網(wǎng)絡犯罪分子平均成功加密了47%的生產(chǎn)數(shù)據(jù)，而受害者只能恢復69%的受影響數(shù)據(jù)。

根據(jù)該報告，企業(yè)在防御勒索軟件攻擊方面是失敗的，有72%的組織對備份存儲庫進行了部分或完全的攻擊測試，這極大地影響了他們在不支付贖金的情況下恢復數(shù)據(jù)的能力。該報告還發(fā)現(xiàn)，已經(jīng)成功的攻擊中有80%是針對已知漏洞的，這凸顯了修補和升級軟件的重要性。幾乎所有攻擊者都試圖破壞備份存儲庫，讓受害者在不支付贖金的情況下無法恢復數(shù)據(jù)。

該報告公布了一家獨立研究公司對1000名IT領(lǐng)導者進行調(diào)查的結(jié)果，發(fā)現(xiàn)受訪者所在的組織在過去12個月中至少有一次被勒索軟件攻擊成功。該報告調(diào)查了受訪者從這些事件中獲得重要經(jīng)驗、事件對IT環(huán)境的影響、為實施現(xiàn)代數(shù)據(jù)保護策略以確保業(yè)務連續(xù)性而采取的措施等等，還專門調(diào)查了四中IT角色包括首席信息安全官、安全專家、備份管理員和IT運營，以了解組織內(nèi)部不同職能在網(wǎng)絡安全方面是否準備就緒。

Veeam公司首席技術(shù)官Danny Allan表示：“勒索軟件使數(shù)據(jù)盜竊變得大眾化，這就需要各個行業(yè)組織展開合作，加倍努力，以最大限度地提高他們在不支付贖金的情況下進行補救和恢復的能力。向網(wǎng)絡犯罪分子支付贖金去恢復數(shù)據(jù)，這并不是一種數(shù)據(jù)保護策略。無法保證數(shù)據(jù)成功恢復、聲譽受損、客戶信心喪失，這帶來的風險很高，最重要的是，這對于犯罪行為也是一種助長。”

支付贖金并不是一種數(shù)據(jù)恢復戰(zhàn)略

在接受調(diào)查的組織中，有76%的網(wǎng)絡安全受害者都有過支付贖金要求結(jié)束攻擊并恢復數(shù)據(jù)的經(jīng)歷。遺憾的是，雖然有52%的受訪者在支付贖金之后能夠恢復數(shù)據(jù)，但同時還有24%的受訪者支付了贖金卻依然無法恢復數(shù)據(jù)，也就是說，每支付贖金的三個人里，有一個人就無法恢復數(shù)據(jù)。值得注意的是，有19%的受訪組織并沒有支付贖金，因為他們自己可以恢復數(shù)據(jù)，但對于剩下81%的網(wǎng)絡安全受害者來說，他們的最終目標就是在不支付贖金的情況下也能恢復數(shù)據(jù)。

“強大的現(xiàn)代數(shù)據(jù)保護戰(zhàn)略有一個標志，那就是要明確一個原則，即該組織永遠不會支付贖金，而是盡其所能預防、補救和從攻擊中自行恢復。盡管勒索軟件帶來的威脅無處不在，而且是不可避免的，但要說企業(yè)在面對勒索軟件威脅時束手無策，這是不準確的。對員工進行教育并確保他們嚴格實行了數(shù)據(jù)保護措施，定期對數(shù)據(jù)保護解決方案和協(xié)議進行嚴格測試，并制定詳細的業(yè)務連續(xù)性計劃，讓關(guān)鍵利益相關(guān)者為最壞的情況做好準備?！?/p>

有效預防需要IT和用戶的共同努力

網(wǎng)絡犯罪分子的“攻擊面”是多種多樣的。他們通常首先通過用戶點擊惡意鏈接、訪問不安全的網(wǎng)站、或者打開了網(wǎng)絡釣魚電子郵件來訪問生產(chǎn)環(huán)境，這也暴露出一個問題，那就是很多網(wǎng)絡攻擊事件其實是可以避免的。網(wǎng)絡犯罪分子在成功侵入環(huán)境之后，數(shù)據(jù)中心服務器、遠程辦公平臺、云托管服務器之間的感染率幾乎沒有差別。

在大多數(shù)情況下，入侵者會利用已知漏洞，包括常見的操作系統(tǒng)和管理程序、NAS平臺和數(shù)據(jù)庫服務器，不遺余力地利用任何未修補或過時的軟件。值得注意的是，與IT運營或CISO相比，安全專業(yè)人員和備份管理員報告的感染率要高得多，這意味著“那些更接近問題的人會看到更多的問題”。

補救措施始于不變性

受訪者證實，有94%的攻擊者試圖破壞備份存儲庫，在72%的情況下，這種策略至少有一部分最終成功了。攻陷企業(yè)組織的數(shù)據(jù)恢復生命線，是一種很流行的攻擊策略，因為這增加了受害者除了支付贖金別無選擇的可能性。防止這種情況的唯一方法，就是在數(shù)據(jù)保護框架內(nèi)至少有一個不可變的層——調(diào)查中有95%的受訪者表示他們現(xiàn)在有這個不可變層或者離線層。有很多組織稱，他們在磁盤、云、磁帶策略中設(shè)置了不止一層的不可變層或者離線媒介。

Veeam 2022勒索軟件趨勢報告的其他主要發(fā)現(xiàn)包括：

編排很重要：為了主動確保系統(tǒng)的可恢復性，有16%的IT團隊會自動驗證和恢復其備份，以確保服務器的可恢復性。然后，有46%的受訪者在修復勒索軟件攻擊期間，會使用隔離的“沙箱”或者暫存/測試區(qū)域來確保他們恢復的數(shù)據(jù)在系統(tǒng)重新投入生產(chǎn)之前是干凈的。

組織上下必須一致統(tǒng)一：有81%的人受訪者認為，他們組織的網(wǎng)絡和業(yè)務連續(xù)性/災難恢復戰(zhàn)略是一致的，但是52%的受訪者認為，不同團隊之間的互動方式需要改進。

存儲庫多樣化是關(guān)鍵：幾乎所有(95%)的組織都至少有一個不可變的或者離線的數(shù)據(jù)保護層。有74%使用提供不變性的云存儲庫，67%使用具有不變性或鎖定的本地磁盤存儲庫，22%使用的是磁帶。無論是否不變，組織指出，除了磁盤存儲庫外，45%的生產(chǎn)數(shù)據(jù)仍存儲在磁帶上，62%的數(shù)據(jù)在數(shù)據(jù)生命周期的某個階段進入云端。