?近兩年勒索病毒似乎已經(jīng)無孔不入。關(guān)注學(xué)習(xí)之余，從數(shù)據(jù)保護(hù)視角整理了部分應(yīng)對勒索病毒思路。

一、勒索攻擊常見入侵模式：

1. 直接入侵類，主要是社會工程學(xué)，欺騙以及密碼盜竊，或干脆暴力破解。然后直接進(jìn)入，并提權(quán)，然后植入代碼。如MGM的案例以此為主。

2. 釣魚潛入類，以釣魚郵件，網(wǎng)站掛碼下載，線下人工傳播（移動硬盤，網(wǎng)絡(luò)共享）等等，誘騙用戶點(diǎn)擊，并植入惡意代碼。通過惡意代碼再行入侵，提權(quán)。如工行美國分公司的案例，lockbit的入侵。

3. 漏洞利用。也比較常見。

二、黑客攻擊后的訴求，以及對甲方的傷害（技術(shù)層）

1. 加密數(shù)據(jù)，以解密為目標(biāo)，勒索贖金。

2. 竊取數(shù)據(jù)，以公開曝光數(shù)據(jù)為要挾條件，勒索贖金。

3. 竊取數(shù)據(jù)，直接在暗網(wǎng)賣掉客戶數(shù)據(jù)。

4. 執(zhí)行DDOS攻擊，干擾客戶業(yè)務(wù)。這中攻擊模式是在RaaS后附加進(jìn)的攻擊手段。

其中最為常見的是第1種，隨著很多勒索病毒制作者將勒索病毒對外出售后，形成了新型的所謂RaaS的服務(wù)，即勒索病毒即服務(wù)。這帶來很多非專業(yè)的惡意行為人，形成對外的大量攻擊動作。由于這些惡意行為者大多都是漫無目的的撒網(wǎng)，且實際上并無技術(shù)能力。因此他們根本無意愿，也無能力給受勒索的企業(yè)去解密，或者給予找回數(shù)據(jù)的便利性。他們完全就是沖著詐騙錢財和做“死當(dāng)”而來的，甚至?xí)卧p騙，而非所謂想象中的”盜亦有道“。這就導(dǎo)致了現(xiàn)在越來越多的企業(yè)在被惡意勒索后，基本沒有可能找回原來的數(shù)據(jù)。

至于第二第三種對用戶的傷害，這已經(jīng)不是技術(shù)問題了，而是法律問題，堅決不與犯罪分子做任何的妥協(xié)和談判，是作為有社會責(zé)任感的企業(yè)，應(yīng)有的選擇。技術(shù)角度，亡羊補(bǔ)牢的各種攻擊溯源和漏洞修改，安全方案的整改，相信應(yīng)猶未晚。

第四種模式，是純狹義網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)范疇。

三、勒索發(fā)生后，從安全從業(yè)者看到的受害者常見的應(yīng)急反應(yīng)（技術(shù)層）

在眼下這個越來越開放的時代，我們在享受越來越多便利性的同時，也在不斷的犧牲安全性。安全界已經(jīng)有越來越傾向達(dá)成這樣一個共識：被攻擊是不可避免，亦很難做到100%絕對安全的防護(hù)。我們需要考慮的更多是在發(fā)生攻擊后、發(fā)生惡意侵襲后如何快速的解決問題，應(yīng)對風(fēng)險，以及調(diào)整后續(xù)戰(zhàn)略。也就是說，我們的視線更多是停留在了應(yīng)急反應(yīng)這個環(huán)節(jié)。

那我們一起討論下，假設(shè)一個業(yè)務(wù)環(huán)境遇到了一次黑客入侵，常見的應(yīng)急在技術(shù)層，是怎么樣一個應(yīng)對過程，常見會如何操作？

1. 首先是隔離。一旦攻擊暴露，勒索事件發(fā)生。安全團(tuán)隊給予業(yè)務(wù)系統(tǒng)的首個建議，將會是隔離，即將已經(jīng)被攻擊，被勒索了的環(huán)境與仍能正常運(yùn)行的環(huán)境隔離開，確保當(dāng)前仍然在運(yùn)行的環(huán)境不被持續(xù)感染和攻擊。這個隔離的動作會在網(wǎng)絡(luò)側(cè)，主機(jī)側(cè)，數(shù)據(jù)獨(dú)立區(qū)域側(cè)按應(yīng)急預(yù)案尋找一個屏障，建立安全獨(dú)立的隔離區(qū)域，盡可能的保持業(yè)務(wù)對內(nèi)對外的服務(wù)。

2. 緊接著，是溯源和屏蔽。很多時候，這個動作是在隔離業(yè)務(wù)的同時需要同時進(jìn)行的，當(dāng)然，隨著現(xiàn)在黑客勒索行為的更加隱蔽性，溯源的難度越來越高，有時候可能根本無法溯源，無法確認(rèn)是什么渠道攻擊進(jìn)來的。因此，只能盡可能的在已知的攻擊和勒索行為特征下，在正常運(yùn)行的安全隔離環(huán)境里掃描病毒，升級補(bǔ)丁，調(diào)整網(wǎng)絡(luò)策略等等，降低現(xiàn)有正在運(yùn)行環(huán)境被二次攻擊的概率。

3. 接下來要做的恢復(fù)。從用戶及業(yè)務(wù)管理者的角度來看，他們更為關(guān)心的是業(yè)務(wù)的恢復(fù)。但現(xiàn)實中的恢復(fù)環(huán)節(jié)要包括兩個方面，一個是數(shù)據(jù)，一個是業(yè)務(wù)。業(yè)務(wù)的恢復(fù)是建立在數(shù)據(jù)已經(jīng)恢復(fù)的基礎(chǔ)上的，可能無需最新的，或者歷史的數(shù)據(jù)，但至少能夠讓業(yè)務(wù)系統(tǒng)順利運(yùn)行起來的整個業(yè)務(wù)和數(shù)據(jù)環(huán)境是必須要盡快恢復(fù)。在這個過程中，需要的是整個基礎(chǔ)架構(gòu)的團(tuán)隊給予支持，而不僅僅是安全團(tuán)隊。

4. 當(dāng)緊急業(yè)務(wù)系統(tǒng)恢復(fù)，準(zhǔn)備開始并對外提供業(yè)務(wù)時，進(jìn)一步的工作就是損失評估和修補(bǔ)。

????a. 首要要做的就是將溯源隔離后檢查出來的漏洞補(bǔ)丁，盡快打上，避免被二次攻擊。

? ? b. 再次的評估，將主要以數(shù)據(jù)被加密，被竊取后的風(fēng)險以及數(shù)據(jù)恢復(fù)價值為標(biāo)的做評判。面對內(nèi)部已經(jīng)被加密的數(shù)據(jù)，可依據(jù)是否有可用備份來做評判標(biāo)準(zhǔn)。

? ? ? ? ?i. 有備份，則盡快恢復(fù)最新最Clean的數(shù)據(jù)。

? ? ? ? ?ii. 無備份，則需從數(shù)據(jù)重新生成的便利性以及與勒索方談判的可行性，對比數(shù)據(jù)本身的價值加以評估。選擇最適合那時刻情況的方案來做判斷依據(jù)。當(dāng)然，如果選擇了與勒索方談判，需要做好被二次勒索的準(zhǔn)備。

在這個環(huán)節(jié)中。很多用戶會有一個誤區(qū)，即不通過正常的數(shù)據(jù)恢復(fù)手段（有時候認(rèn)為恢復(fù)太慢），也不愿意與勒索方去談判，而寄希望于尋找業(yè)界所謂的數(shù)據(jù)恢復(fù)（數(shù)據(jù)解密）公司幫助解密恢復(fù)。這確實可以作為一個實在迫不得已的可能性，但基本意義不大，風(fēng)險很大。因為從技術(shù)角度，基本不可能有算力給你實現(xiàn)解密，而市面上所謂的解密手段，無外乎就是某些已經(jīng)被公開了的勒索病毒的私鑰，或者處于半公開中有勒索病毒RaaS方通過渠道內(nèi)形成私鑰服務(wù)的一些灰色服務(wù)手段。無論是那種形式，選擇與這些服務(wù)商做交易，不但是助長了這種勒索的惡意行為，更是將企業(yè)自己內(nèi)部所有的數(shù)據(jù)與環(huán)境二次暴露給了不可控的第三方，風(fēng)險完全不可控。

5. 隨著損失評估結(jié)束，以及最后逐步的環(huán)境恢復(fù)。整個應(yīng)急響應(yīng)中最為重要的環(huán)節(jié)才到來，就是安全建設(shè)。就像經(jīng)歷過一次考試一般，沒有什么被內(nèi)外部真實的一次入侵而更正式的測試了。所有的問題，所有的不足，將會完完整整的暴露在用戶的管理者面前。因此，新建、重建、或者優(yōu)化整個IT的安全建設(shè)，是在一次安全時間的應(yīng)急響應(yīng)之后，必須要考慮的行為。而在安全建設(shè)中，從整個響應(yīng)過程來看，數(shù)據(jù)的保護(hù)則應(yīng)該是整個建設(shè)的基石。

四，從數(shù)據(jù)保護(hù)和業(yè)務(wù)可持續(xù)服務(wù)視角來看在安全保護(hù)建設(shè)中的關(guān)注點(diǎn)

如前文所提，開放時代的數(shù)據(jù)中心被攻擊，甚至于被攻破是不可避免的，已逐漸成為共識。攻與防，一直是個此消彼長，螺旋上升的發(fā)展規(guī)律。防止網(wǎng)絡(luò)威脅，要從安全事件的被動響應(yīng)衍生到安全事件發(fā)生前的預(yù)防，以及安全時間發(fā)生后的恢復(fù)過程，形成一整套體系化的防護(hù)，以此來構(gòu)建數(shù)據(jù)保護(hù)安全防御的主動性。而當(dāng)數(shù)據(jù)及業(yè)務(wù)可靠性管理的賦能目標(biāo)從應(yīng)對傳統(tǒng)風(fēng)險，應(yīng)對一定程度的合規(guī)要去，轉(zhuǎn)變?yōu)槟壳皯?yīng)對網(wǎng)絡(luò)安全風(fēng)險之后，也需要在原來的底線思維基礎(chǔ)上，引入應(yīng)對安全的極限思維。

也就是說，傳統(tǒng)概念上因為天災(zāi)人禍而產(chǎn)生的數(shù)據(jù)丟失、業(yè)務(wù)損失，或為應(yīng)對基本合規(guī)要求，基礎(chǔ)的數(shù)據(jù)和業(yè)務(wù)保護(hù)能力，數(shù)據(jù)的保護(hù)總是作為最后一根稻草，最后一道防線的底線的考量（但因為保護(hù)系統(tǒng)作為從業(yè)務(wù)側(cè)看不見的“隱形投入“，很多時候是投入---建設(shè)---合規(guī)---免責(zé)這類的建設(shè)思路），在面對以利益導(dǎo)向的持續(xù)網(wǎng)絡(luò)安全攻擊，要考慮到在面臨這種風(fēng)險情況下各種關(guān)于數(shù)據(jù)和業(yè)務(wù)風(fēng)險的極致思考，以極限思維方式來與企業(yè)安全管理配合。利用數(shù)據(jù)及業(yè)務(wù)管理保護(hù)的確定性去應(yīng)對紛繁復(fù)雜、層出不清的網(wǎng)絡(luò)攻擊而導(dǎo)致的不確定性風(fēng)險。

具體來看：

1. 在勒索安全事件發(fā)生前，未雨綢繆是第一要務(wù)：

? ? a. 對企業(yè)IT環(huán)境中的數(shù)據(jù)狀態(tài)的識別，分類，分級并以合理策略加以保護(hù)；

? ? b. 除從數(shù)據(jù)本身外，也需要從整個數(shù)據(jù)中心環(huán)境考慮更大范圍的風(fēng)險防范，即所謂業(yè)務(wù)的容災(zāi)，以及數(shù)據(jù)的第三方安全區(qū)；這是極致思維的應(yīng)用，我們需要將安全風(fēng)險的最大化假設(shè)擴(kuò)展到以數(shù)據(jù)中心的顆粒度，為此制定數(shù)據(jù)及業(yè)務(wù)保護(hù)的建設(shè)規(guī)劃；

? ? c. 制定完善的應(yīng)急演練計劃和恢復(fù)計劃；

? ? d. 數(shù)據(jù)及業(yè)務(wù)保護(hù)管理自身健壯性以及安全的考慮，零信任機(jī)制引入到數(shù)據(jù)及業(yè)務(wù)保護(hù)方案的自身建設(shè)中。常規(guī)模式下，我們認(rèn)為數(shù)據(jù)保護(hù)方案作為次要環(huán)境，或者第二級環(huán)境，其自身的安全建設(shè)總是稍放的比較后，但在極限思維下，面對網(wǎng)絡(luò)風(fēng)險，這部分的安全建設(shè)，應(yīng)該需要關(guān)注，并且是首要關(guān)注的點(diǎn)。

2. 在勒索安全事件發(fā)生時，數(shù)據(jù)保護(hù)工作需要從以往無人關(guān)注的“背景工作”中往外走一步，思考在發(fā)生網(wǎng)絡(luò)攻擊時刻，數(shù)據(jù)保護(hù)方案能做些什么。

? ? a. 利用新的AI/ML技術(shù)，分析數(shù)據(jù)保護(hù)流動環(huán)節(jié)中的異常行為，及時預(yù)警網(wǎng)絡(luò)攻擊對數(shù)據(jù)的破壞及修改；完整的數(shù)據(jù)保護(hù)方案，是能夠觸達(dá)企業(yè)內(nèi)部所有數(shù)據(jù)的，因此，在日常周期運(yùn)行的數(shù)據(jù)保護(hù)方案中加入AI/ML技術(shù)，可以有效的為網(wǎng)絡(luò)安全管理提供數(shù)據(jù)維度的監(jiān)控維度。

? ? b. 與SOC/SIEM的結(jié)合；通過標(biāo)準(zhǔn)API以及日志體系，為SOC/SIEM提供數(shù)據(jù)視角的安全風(fēng)險告警。

3. 勒索安全事故發(fā)生后，快速恢復(fù)是數(shù)據(jù)及業(yè)務(wù)保護(hù)的基本能力：

? ? a. 基于不同場景化的恢復(fù)技術(shù)提供；針對不同的數(shù)據(jù)、業(yè)務(wù)的SLA，提供不同的恢復(fù)方式。

? ? b. 安全隔離，且不受攻擊的恢復(fù)環(huán)境；

? ? c. 恢復(fù)前的安全檢測，保障恢復(fù)數(shù)據(jù)及業(yè)務(wù)環(huán)境是可靠、完整且無風(fēng)險的；

安全一直是發(fā)展的B面，勒索病毒過去不是，未來也不是唯一一個對企業(yè)IT發(fā)展有影響的安全因素，但現(xiàn)階段看起來卻是最重要的一個影響，應(yīng)對勒索病毒帶來的安全風(fēng)險不是某一個環(huán)節(jié)能夠包打一切，能完全實現(xiàn)的。它需要我們通過從企業(yè)文化、安全培訓(xùn)、安全技術(shù)以及以前認(rèn)為的"最后一根稻草"的數(shù)據(jù)保護(hù)技術(shù)等多個角度共同合作，構(gòu)建保護(hù)底線，追逐安全極限，確保企業(yè)業(yè)務(wù)以及IT建設(shè)能安全的發(fā)展。