解读《Veeam 2022勒索软件洞察报告》：在不断变化的威胁环境中保护数据资产

       自从2017年爆发的WannaCry勒索软件攻击开创了历史先河，过去5年时间网络敲诈勒索活动迅速蔓延，企业担忧也逐渐加剧，例如NotPetya、REvil、Conti、DarkSide 等团伙正在针对各个行业的机构实施精心策划、目的明确的攻击。根据《Veeam 2022年数据保护趋势报告》显示，在过去的12个月中，76%的组织受到了勒索软件攻击的影响，同比增长15%。

       虽然头条新闻报道的往往是政府和大公司，但勒索软件犯罪实施的是无差别攻击，各种规模的企业都可能成为他们的下一个目标。在日前Veeam举办的线上媒体沟通会上，Veeam产品战略高级总监Rick Vanover详细解读了勒索软件的肆虐之路以及企业如何在不断变化的威胁环境中保护宝贵的数据资产，为企业部署多层次的数据保护策略，保护自己免受网络安全威胁提供了方向。
       数据资产的重要性正在与日俱增，对数据访问和控制的审查，以及企业数字化进程的加速，都促使企业从主观能动性上加强了数据保护的理念。Rick介绍在Veeam针对来自全球各地的1000名IT领导者的调查结果显示，大部分受访者希望将数据保护纳入全面数据安全策略，13%的受访者认为这是构建现代化数据保护中至关重要的一环，这也说明抵御勒索软件的能力应该是所有企业的备份和恢复策略中的最重要部分。
       从勒索软件攻击频率可以看出，在过去的一年中经历了勒索软件事件的受访者中，其中有2/3的受访者都经历了不止一次的勒索软件攻击。此外，勒索软件以及大多数当代网络犯罪，其受害对象几乎是无差别的。他们的攻击不分青红皂白，事实上每个企业都是他们的目标。对于许多企业而言，勒索软件的复杂程度和频次正在不断增加，其中有近15%的企业在过去一年当中，经历了超过4次、甚至6次以上的勒索软件攻击，它标志着勒索软件已从随机电子邮件发展为涉案金额数百万美元的大规模攻击。
       当黑客通过勒索软件进行攻击时，加密用户数据成为了其索取赎金的重要手段。在Veeam的调查中，有近一半（47%）的企业生产数据被加密，进而成为了黑客勒索时的筹码。而通过钓鱼邮件、恶意链接和网站则成为了黑客实施勒索软件的重要“踏板”。一旦黑客获得了这些登录细节，他们就可以在系统内横向移动，以访问高度敏感和机密的数据，并攻击以前被破坏的端点。
       值得注意的是，针对数据备份和恢复而言，实际的调查结果显示并不是所有数据都能100%恢复。在经历严重勒索软件的“洗礼”后，只有69%的数据能够实现恢复。实际上，在之前Veeam发布的《2022年数据保护趋势报告》中，也提出了只有64%的数据能够实现恢复。这是因为实际企业运行中有非常多的原因使得数据备份不能恢复，且非常不幸的是现在企业很难制定一套机制，在正常生产环境中持续验证备份数据的恢复情况。
       Rick表示支付赎金从来不是企业针对勒索软件的应对之法。从Veeam的调查结果可以看到，虽然有76%的企业最终选择了支付赎金来达到恢复数据目的，但其中有1/3的企业（占总体24%）却在交付赎金后并没有获得数据恢复。此外，调查结果还显示黑客在进行勒索软件攻击时，绝大多数情况下都会试图影响备份存储库。
       对此，Rick表示只有当企业的备份基础结构非常强大、非常有韧性的情况下，才可以在不支付赎金的情况下从勒索事件当中恢复。而要成功的从勒索软件的事件当中恢复过来有三个关键因素，分别是：

       1、不变的/隔离的备份存储库；

       2、可验证的可恢复且确保“干净”的数据；

       3、用于重复测试和减少修复时间的精心编排的工作流程。

       在Rick看来，虽然备份是大多数网络恢复策略所固有的，但网络安全、BC/DR和IT备份团队之间仍有很大的改进空间。特别是在数据备份方面，必须能够实现持续备份和灾难恢复(DR)案，使企业在受到攻击时有备无患。例如采用Veeam的3-2-1-1-0备份规则，即应该始终有至少三份数据副本，至少在两种不同类型的媒介上，至少有一份是异地的以及一份是不可变的或离线的，以及没有未经验证的备份或错误。

       实际上，这也是为什么Veeam V12这个新版本意义重大：它不仅建立在其久经考验的平台上，而且通过大规模改进数据和系统安全可恢复性，扩展了其降低业务风险的能力。对于企业而言，Rick强调现代数据保护策略必须能够保护企业跨物理、虚拟、云、SaaS和Kubernetes环境的所有数据免受网络攻击、服务器中断、意外丢失和删除的损害。毕竟在数字化转型持续加速的今天，勒索软件威胁的数量只会增加，遭受攻击对于企业而言不是一种可能，而是迟早的必然。