2021 年度勒索事件仍然频发,仅2021年第一季度,就发生了多起国际知名企业被勒索的案件,并且赎金持续刷新纪录。让企业饱受困扰的勒索病毒加密手段复杂,解密成本高,使用电子货币支付赎金,变现快、追踪难;目前勒索病毒已经呈现了大规模的产业链,这让攻击者不需要任何知识,只要支付少量的租金就可以开展勒索病毒攻击的非法勾当,大大降低了勒索病毒攻击的门槛,推动了勒索病毒大规模爆发,今天就让我们从认识勒索病毒开始,说明企业如何利用 Veeam 的解决方案提高企业的勒索病毒防御的能力。
今年来勒索病毒使所有企业都面临的巨大威胁,同时也是网络犯罪分子首选的勒索工具之一。它主要通过对数据的加密,使数据无法使用,之后以解密之名进行敲诈勒索。受影响者的挫败感是显而易见的,其结果包括关键数据丢失,停机停业和声誉受损。勒索事件之所以如此可怖,是因为它不像一般攻击事件,其发起者只想访问数据或者获取资源,勒索者有时既想要数据,更想要钱。这也是为什么在很多勒索事件中,受害者被骗取了钱财,但未能拿回自己数据的原因。
勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 2018 年 3 月,国家互联网应急中心通过自主监测和样本交换形式共发现 23 个锁屏勒索类恶意程序变种,该类病毒通过对用户数据加密,勒索用户付费解锁,对用户财产和安全均造成严重威胁。
一旦被勒索病毒感染,受害者电脑中的文档就会被加密,壁纸遭到篡改,且桌面会弹出窗口,其内容是指引数据被劫持的用户将价值不菲的比特币转到攻击者的账户上。据悉,已有部分受害者向黑客支付了赎金。勒索病毒感染危害极大,从攻击行为上分析,例如:“永恒之蓝” 可以远程攻击 Windows 操作系统的 445 端口,无需用户任何操作就可以锁死磁盘文件,向用户勒索比特币。实际上,勒索病毒本身也十分具有攻击性,它主要利用了操作系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。据有关部门统计显示,该病毒的夜间每小时攻击次数可以达到 4000 次之多。
通过各方面的信息收集与整理,也让我们更加意识到勒索病毒的重要性,这让每个拥有数据的都应提高警惕:
在此背景下,如何保证您的业务永远在线,并且不会受到勒索病毒的威胁。如何激活自己的数据安全能力,在物理,虚拟化和多云基础架构之间安全地移动和使用数据,是当今的企业希望转向新的数据智能管理的原因,让我们来看看来自于 Veeam 的建议:
针对日常运维工作的安全
1)对员工和 IT 管理团队进行安全操作规范培训。
2)定期检查并确保 IT 系统和IT人员符合只具备完成任务所必需的最小权限的原则,且在未经授权的情况下禁止访问相关系统或资源。
3)及时更新操作系统以及应用服务的补丁,消除漏洞。
4)合理制定并执行备份计划,备份服务器、工作站/PC等数据,确保未经授权用户不可访问备份数据。任何需要进行备份的数据都可以有效执行备份,在发生勒索病毒攻击时快速恢复数据。
针对备份系统自身安全
1)日常运维人员采用普通的view账号,只有查看、无修改的权限;同时定期修改密码,降低密码泄密带来的风险。
2)配置防火墙策略,减少开放不必要端口,特别是22、135、445、3389等端口。
3)Veeam软件自身备份数据存放在不同的备份介质,保障Veeam软件自身安全,也保障Veeam软件可快速恢复。
4)部署Veeam备用机,并关机作为主Veeam服务器的备机(可对主Veeam服务器离线存放)。
针对备份数据安全
1)确保数据保护遵循至少具有三份副本、存放在两种介质中、一份存放在异地、一份存放在不可变介质库中、对备份及容灾数据进行验证确保数据有效的3-2-1-1-0原则。
2)对业务系统和Veeam软件自身备份的数据进行加密。
3)使用不可变存储介质库和磁带库,进行一层逻辑隔离,防止勒索病毒对备份容灾数据进行任何篡改。
针对数据恢复安全
1)基于勒索病毒的行为设置监控阈值,利用监控软件探知异常行为。
2)利用备份数据,对已知中病毒的时间点进行测试,确认数据恢复策略。
3)经常性利用备份数据恢复业务系统,使用杀毒软件对恢复的数据进行病毒安全查杀,确保数据安全性。
Veeam 的数据保护结构符合 3-2-1-1-0 的数据保护黄金法则,3-2-1-1-0 法则具有极大的普遍性,适用于所有企业与个人以及所有环境类型,包括物理、虚拟和云。利用这个原则可以使企业远离勒索病毒的困扰。
Veeam Backup & Replication 可轻松帮助您满足所有 3-2-1-1-0 数据保护黄金法则的要求。
- 至少拥有数据的三个副本 , 设置备份任务和备份复制任务来为您的每一份需要保护的数据创建若干(至少两份)备份。
- 将副本存储在两个不同的介质上:您可将备份存储至下列任何介质:磁带、磁盘、云等等。
- 保存一份异地备份的副本:设置Backup Copy Job(备份复制工作)来利用内置广域网加速更快速地转移异地备份,或者使用横向扩展的备份存储库自动的实现备份数据的分层和多副本存放。
- 保存一份防篡改的备份副本:即一份物理隔离、离线或不可变的备份副本
- 受保护数据的0错误:结合Veeam的SureBackup全自动的备份验证,确保备份数据的可恢复和可运行。
Veeam数据保护整体架构,如下图:
Veeam 认为存在安全并可恢复的备份数据是抵御勒索病毒侵害的最后一道防线。由于勒索病毒威胁不断加剧,Veeam 强调其中 “一个” 数据副本必须具有超强的安全性(即物理隔离、离线或不可变)。Veeam 软件采用安全设计,可利用可靠的备份有助于防范停机和数据丢失并避免支付高昂赎金。Veeam 软件可以使用具有不可变特性的备份存储介质防止勒索病毒和恶意攻击者执行对备份数据的加密与删除,确保备份数据安全无忧。
Veeam认为,从弹性抵御勒索病毒攻击的角度来说,备份解决方案的实施与合规性审计非常一致。产品合规性可能并不在于产品本身,而是完全由产品的实施和审核方式来决定。当遭到勒索病毒攻击时,企业的弹性处理能力完全取决于备份解决方案的实施方式、威胁行为和修复过程。
Veeam为确保存储在备份存储介质中数据的安全,可以采用以下六种机制确保备份存储介质中数据的安全:
通过使用基于 Linux 的加固备份存储库来实现备份存储库内备份数据原生不可变,从而确保数据安全,防止恶意加密和删除。适用于使用服务器挂载各种块存储设备作为Veeam备份存储介质库的场景。
Veeam软件使用以普通用户身份运行的 VeeamTransport 服务管理备份数据的读取、写入以及删除,使用以 root 用户身份运行的 veeamimmureposvc 服务管理备份数据的不可变标记。如果备份数据存在不可变标记,以普通用户身份运行的 VeeamTransport 服务或使用 root 用户去操作删除、修改、加密备份数据则会提示失败。通过此方法确保备份数据是安全可恢复的。
如下图:
Veeam基于Linux的加固备份存储介质库具有以下特点:
•单次使用的凭据:加固的 Linux 存储库使用的单次使用凭据 (Single-use credentials for hardened repository) 只在初始部署时和安装产品更新时进行交互,不会存储在配置数据库中。避免黑客通过攻陷 Veeam Backup & Replication 获取用户名密码后攻击 Repository。
如下图:
•不依赖SSH协议:所有以前的 SSH 协议使用已经被封装到 Veeam Transport Service。因此只有在初始部署时才需要 SSH。这允许客户使用 SSH 多重身份验证(MFA),甚至完全禁用SSH服务器,以保护的存储库不受影响。如果需要对基于 Linux 的加固备份存储库进行管理,建议采用带外管理方式。这样可以减少加固备份存储库的暴露面,确保加固备份存储库的安全。
如下图:
不可变性的存储库
预防意外删除存储库上的备份数据。现在可以使 Veeam 的映像级备份在指定的一段时间内是不可变的,还可以按照并保护 GFS 备份他们的保留政策的整个期限。
物理或虚拟带库作为一种历史悠久的离线保存备份数据的存储技术,在面对勒索病毒防护上一点也没有过时。写入到磁带中的数据只能被覆写或擦除而不能被在线修改或加密,同时磁带可以从带库中取出离线异地保管,还可以设置物理的写保护功能,做到只能被读取不能被篡改。从而可以有效地抵御勒索病毒和其它恶意程序对于备份数据的攻击。
如下图:
Veeam软件可以将备份数据写入到物理或虚拟带库中,备份数据写入磁带后,可以将磁带从磁带库中取出进行离线异地保管,并可以设置写保护,如下图:
当需要恢复数据时,可以在Veeam软件中查询相关备份任务还原点所对应Barcode的磁带,将这些离线保管的磁带重新放入带库中,即可由Veeam软件控制带库将备份数据恢复出来。如下图:
离线保管备份数据是抵御勒索病毒和其它恶意程序对于备份数据的攻击的主要方式,我们还可以利用Veeam软件实现对移动存储设备的在线和离线控制。
在开始备份之前,我们可以将移动存储介质与Veeam备份服务器连接,但是不置为自动联机状态,只让移动存储设备处于脱机状态。如下图:
编写使移动存储设备进行联机与脱机的脚本。在Veeam软件的备份任务中设置脚本。在备份任务开始之前先执行联机脚本,使移动存储设备与Veeam备份主机联机,备份任务产生的数据会写入到移动存储设备中。当备份数据完全写入到移动存储介质后执行脱机脚本,使移动存储设备与Veeam备份主机脱机。以此来确保移动存储设备可以脱机保存备份数据,尽可能使脱机保存备份数据,防止勒索病毒和其它恶意程序对于备份数据的攻击。如下图:
硬件重删设备具有较高的全局去重压缩比,且具有很高的安全性,特别是在防止勒索病毒和其它恶意程序对于备份数据的攻击上有非常好的特性,是作为备份存储介质很好的选择。Veeam 可以支持 DELL|EMC DD、ExaGrid、HPE StoreOnce、Quantum DXi 等重删设备。如下图 :
以 HPE StoreOnce 作为虚拟化备份任务的存储介质为例,Veeam Backup Proxy 获取虚拟化平台中需要备份虚拟机的数据后通过 Veeam Data Move 服务将数据传输至 Veeam Gateway Server上,Veeam Gateway Server 上不仅安装 Veeam Data Move 服务,还会安装 Catalyst Agent,用于减少源端和目标端之间的网络负载。透过Veeam Gateway Server调用HPE StoreOnce的API接口,将备份数据写入到HPE StoreOnce中。如下图:
查看、写入、删除、读取备份数据时,都是由 Veeam Gateway Server 调用 HPE StoreOnce 的 API 接口进行操作的,如果勒索病毒和其它恶意程序对 Veeam Gateway Server,也很难通过有用户名密码验证的 API 接口去操作数据的增删改查,从而确保备份数据的安全。如以下HPE文档所示:
硬件去重设备也可以设置备份存储的不可变模式,从而避免Veeam服务器被勒索病毒和其它恶意程序攻破可能带来的风险。HPE StoreOnce 不可变模式设置,如下图:
云对象存储也具备和硬件去重设备类似的特性,通过带密钥验证的 API 接口调用,对备份数据进行增删改查。此外云对象存储也具备数据的不可变性,如下图:
云对象存储不仅可以保护备份数据的安全性,因为云对象存储可能处在异地数据中心,所以还天然具备备份数据容灾的特性。
通过 Veeam与全球知名存储提供商技术的组合,实现了VMware虚拟化平台下基于存储快照的虚拟机业务高可用保护方案。在虚拟化业务系统正常运行中,随时利用将虚拟化平台虚拟机快照与底层存储快照相结合,实现虚拟机高效的备份和复制。
传统VMware虚拟化平台下数据保护,如下图所示:
使用存储快照进行数据保护后,虚拟化平台下虚拟机快照的生命周期大幅减小,从而对于虚拟机在进行数据保护时性能影响最小化。这样就可以加大对虚拟机进行数据保护的频度,而无需担心对性能的影响。如果出现问题可以恢复至较近的时间点。如下图所示:
Veeam可以只对虚拟机所在的存储卷拍摄存储快照,因为存储快照的拍摄速度很快,所以可以提高虚拟机数据保护的RPO。随时或以任何频率启动拍摄存储快照,保护业务系统持续运行。此外,Veeam所拍摄的存储快照完全保存在存储上,勒索病毒很难对存储快照卷上的数据进行加密,从而也达到了防止勒索病毒攻击的作用。如下图所示,可以设置生产时间每隔一定时间拍摄一次存储快照:
Veeam可以透视存储快照中的虚拟机,可以直接利用存储快照对单个虚拟机进行即时恢复,也可以对存储快照中的虚拟机进行文件级恢复以及应用级恢复。可以提高虚拟机数据恢复的RTO,在虚拟机被勒索病毒攻破后,可以利用存储快照恢复到最近的时间点,极大的避免对业务的影响。 如下图所示:
Veeam还可以按需直接从存储快照启动虚拟机进行恢复测试,确保数据在紧急时刻可以进行有效的恢复。
Veeam软件可以自动验证每个备份、复制副本及快照的恢复,以增强数据管理者的信心,同时提升恢复方面的运营效率。通过自动扫描备份中的恶意软件,加强勒索病毒防护,增强对未来还原的信心。
Veeam的备份数据有效性验证技术名称为 SureBackup。SureBackup 可以构建一个没有上行端口的虚拟交换机作为隔离的沙箱环境,快速从备份数据中恢复测试虚拟机,自动对测试虚拟机进行检查,并判断是否可以从备份数据中恢复虚拟机,可以验证已备份虚拟机的任何还原点。在 SureBackup 作业期间,Veeam 软件执行“实时”验证:扫描备份数据中是否存在恶意软件,从隔离环境中的备份启动虚拟机,运行虚拟机测试,关闭虚拟机并创建报告恢复验证结果。如下图:
内置应用服务自动化验证机制有助于提高定期测试的实际执行率,确保在所有场景中提供恢复保障,如下图:
隔离测试流程提供了无中断、无变更和无损坏的环境,可确保生产数据安全无忧,如下图:
通过集成可信的防病毒和恶意软件验证机制,可确保备份数据安全无忧,如下图:
备份是个周而复始的日常任务,而病毒的出现则是突发性的事件,这就造成了 0 Day 攻击的现象,以下图为例,备份每天都在运行,而随着备份的进行,新的病毒也一并随着备份数据存储到了备份介质中,随着时间的推移,反病毒厂商会制作新的病毒库,用来抵抗病毒。而在数据还原时,通常我们都不能将数据直接还原到生产环境中,原因很简单,我们担心二次感染的的出现, Veeam Secure Restore 可以彻底解决这个问题,在发现勒索病毒后,我们可以自动化的周期性的,将之前受感染的数据用安全还原方式恢复。
Veeam Backup & Replication 允许您执行安全还原 - 使用防病毒软件扫描计算机数据,然后将计算机还原到生产环境。首先,我们在已有的备份集中找到需要的还原点,在隔离的沙箱环境中中将需要还原的磁盘挂载,同时启动杀毒软件进行扫描,如果发现病毒,则启动杀毒,并把主机还原至无网络的状态,等待处理。如果没有发现病毒,则直接还原到生产环境。Veeam的Datalabs数据实验室创造了一个隔离的数据还原环境,与此同时,在隔离的环境中进行杀毒,这样就可以确保数据还原的安全性。
在安全还原期间,Veeam Backup & Replication 会将按照您计划将要还原的虚拟机的磁盘加载到挂载服务器上,然后触发该服务器上的第三方防病毒软件以扫描已挂载磁盘中的文件。如果在扫描期间防病毒检测到恶意软件,Veeam Backup & Replication 将中止恢复过程,或者根据安全恢复设置恢复计算机的限制。
通过以上的备份文件的多副本保留 + 备份副本的防篡改保护 + 安全的数据恢复 + 可视化的监控管理,Veeam 能够借助自身的产品功能和解决方案架构的优势帮助用户利用备份数据在最小投入的情况下实现受保护数据应对勒索病毒和内部恶意操作的应急快速安全恢复。
通常病毒形成威胁的时候,做什么补救的措施都显得很苍白,所以对源头的治理才是最重要的。如何尽早的发现勒索病毒的活动,避免企业承受风险呢?Veeam ONE 中包含了一个值得注意功能,那就是对可能的发生的勒索病毒活动进行报警,它会检测虚拟机上是否发生了可疑活动,如下图。这些警报可以提供对数据中心的可视性,以确保业务安全性与可用性。
关于警报的参数,是基于 CPU 总运行时间和磁盘写入状态等条件的,这些参数可以根据生产环境实际情况进行修改:警报可用于提高对可能发生攻击的安全意识,并使系统管理员能够调查,分析和进行和进行判断。我认为你会同意被告知比无视你组织内的持续攻击要好得多。居安思危,未雨绸缪!
Veeam不仅可以监控虚拟化环境的异常,还可以对 Veeam 自身进行监控,可以设置相关的告警探知保管备份数据是否存在异常。如下图:
人员、工具、流程是系统运维的三大要素,运维流程很大程度上决定了IT服务质量的水平。对于运维流程管理,特别是应对勒索病毒和其它恶意程序攻击的应急修复流程,应当格外重视并应反复演练,这样才能保证在关键时刻快速解决问题,实现高效运维,提升IT服务满意度,实现 7 X 24 X 365 业务持续运行。
我们根据既往的经验定制的灾难恢复流程,如下图:
根据上述流程,可以根据生产环境数据恢复需求进行演练,根据实际情况进行优化和调整。持续改进,进而不断提高业务连续性水平。
管理、保护并保留海量数据是一项艰巨的任务。满足合规要求、最大限度地降低审计风险和防御网络攻击进一步增加了复杂性。勒索病毒和其它恶意程序无孔不入,数据安全对保护客户隐私和取得业务成功而言至关重要。Veeam 透过数据架构安全、备份存储介质安全、备份数据安全、主动探知威胁这几个维度,帮助我们的用户在整个生命周期轻松存储、保护和恢复备份数据,让我们的用户高枕无忧。
