近日Veeam在VeeamON 2022大会上公布了Veeam 2022勒索软件趋势报告,结果显示,网络犯罪分子平均成功加密了47%的生产数据,而受害者只能恢复69%的受影响数据。
根据该报告,企业在防御勒索软件攻击方面是失败的,有72%的组织对备份存储库进行了部分或完全的攻击测试,这极大地影响了他们在不支付赎金的情况下恢复数据的能力。该报告还发现,已经成功的攻击中有80%是针对已知漏洞的,这凸显了修补和升级软件的重要性。几乎所有攻击者都试图破坏备份存储库,让受害者在不支付赎金的情况下无法恢复数据。
该报告公布了一家独立研究公司对1000名IT领导者进行调查的结果,发现受访者所在的组织在过去12个月中至少有一次被勒索软件攻击成功。该报告调查了受访者从这些事件中获得重要经验、事件对IT环境的影响、为实施现代数据保护策略以确保业务连续性而采取的措施等等,还专门调查了四中IT角色包括首席信息安全官、安全专家、备份管理员和IT运营,以了解组织内部不同职能在网络安全方面是否准备就绪。
Veeam公司首席技术官Danny Allan表示:“勒索软件使数据盗窃变得大众化,这就需要各个行业组织展开合作,加倍努力,以最大限度地提高他们在不支付赎金的情况下进行补救和恢复的能力。向网络犯罪分子支付赎金去恢复数据,这并不是一种数据保护策略。无法保证数据成功恢复、声誉受损、客户信心丧失,这带来的风险很高,最重要的是,这对于犯罪行为也是一种助长。”
支付赎金并不是一种数据恢复战略
在接受调查的组织中,有76%的网络安全受害者都有过支付赎金要求结束攻击并恢复数据的经历。遗憾的是,虽然有52%的受访者在支付赎金之后能够恢复数据,但同时还有24%的受访者支付了赎金却依然无法恢复数据,也就是说,每支付赎金的三个人里,有一个人就无法恢复数据。值得注意的是,有19%的受访组织并没有支付赎金,因为他们自己可以恢复数据,但对于剩下81%的网络安全受害者来说,他们的最终目标就是在不支付赎金的情况下也能恢复数据。
“强大的现代数据保护战略有一个标志,那就是要明确一个原则,即该组织永远不会支付赎金,而是尽其所能预防、补救和从攻击中自行恢复。尽管勒索软件带来的威胁无处不在,而且是不可避免的,但要说企业在面对勒索软件威胁时束手无策,这是不准确的。对员工进行教育并确保他们严格实行了数据保护措施,定期对数据保护解决方案和协议进行严格测试,并制定详细的业务连续性计划,让关键利益相关者为最坏的情况做好准备。”
有效预防需要IT和用户的共同努力
网络犯罪分子的“攻击面”是多种多样的。他们通常首先通过用户点击恶意链接、访问不安全的网站、或者打开了网络钓鱼电子邮件来访问生产环境,这也暴露出一个问题,那就是很多网络攻击事件其实是可以避免的。网络犯罪分子在成功侵入环境之后,数据中心服务器、远程办公平台、云托管服务器之间的感染率几乎没有差别。
在大多数情况下,入侵者会利用已知漏洞,包括常见的操作系统和管理程序、NAS平台和数据库服务器,不遗余力地利用任何未修补或过时的软件。值得注意的是,与IT运营或CISO相比,安全专业人员和备份管理员报告的感染率要高得多,这意味着“那些更接近问题的人会看到更多的问题”。
补救措施始于不变性
受访者证实,有94%的攻击者试图破坏备份存储库,在72%的情况下,这种策略至少有一部分最终成功了。攻陷企业组织的数据恢复生命线,是一种很流行的攻击策略,因为这增加了受害者除了支付赎金别无选择的可能性。防止这种情况的唯一方法,就是在数据保护框架内至少有一个不可变的层——调查中有95%的受访者表示他们现在有这个不可变层或者离线层。有很多组织称,他们在磁盘、云、磁带策略中设置了不止一层的不可变层或者离线媒介。
Veeam 2022勒索软件趋势报告的其他主要发现包括:
编排很重要:为了主动确保系统的可恢复性,有16%的IT团队会自动验证和恢复其备份,以确保服务器的可恢复性。然后,有46%的受访者在修复勒索软件攻击期间,会使用隔离的“沙箱”或者暂存/测试区域来确保他们恢复的数据在系统重新投入生产之前是干净的。
组织上下必须一致统一:有81%的人受访者认为,他们组织的网络和业务连续性/灾难恢复战略是一致的,但是52%的受访者认为,不同团队之间的互动方式需要改进。
存储库多样化是关键:几乎所有(95%)的组织都至少有一个不可变的或者离线的数据保护层。有74%使用提供不变性的云存储库,67%使用具有不变性或锁定的本地磁盘存储库,22%使用的是磁带。无论是否不变,组织指出,除了磁盘存储库外,45%的生产数据仍存储在磁带上,62%的数据在数据生命周期的某个阶段进入云端。
