针对勒索软件的数据灾备体系研究

admin 2021年5月13日01:39:20评论103 views字数 5136阅读17分7秒阅读模式
摘 要:近年来,勒索软件已经快速发展为网络空间最严重的安全威胁之一。从政府网络到关键信息基础设施,从个人到企业,从电脑设备到移动设备和服务器,勒索软件攻击无差别地影响着各个行业和领域、各类网络用户以及各种设备类型,给社会带来了严重的不利影响。因此,主要从文件数据容灾备份技术的角度出发,探讨分析当前勒索软件的发展及威胁以及企业应对勒索软件威胁的容灾备份技术,并设计了一套针对勒索软件攻击的数据容灾备份体系。


引 言

随着互联网前所未有的大规模应用,越来越多的企业、政府和个人,将重要数据暴露在互联网之中,使得个人信息乃至政府和企业重要数据面临着越来越多的威胁。从2020年4月的第45次《中国互联网络发展状况统计报告》中可以得到,截至2020年3月,我国网民规模达9.04亿人,较2018年底增长7 508万人,互联网普及率达64.5%。互联网互联互通带来极大便利的同时,也吸引了各种各样的网络攻击。众多网络攻击中,勒索软件是持续危害用户数据安全的重大威胁之一。根据2020年CNCERT发布的《2019年我国互联网网络安全态势综述》可知,勒索软件发展迅猛。CNCERT在2019年内捕获勒索软件超73.1万个,较2018年增长超过4倍,给企业和个人用户带来了极其严重的损失。


勒索软件概述

勒索软件(Ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。勒索软件可以破坏所有使用计算基础架构的企业,无论其基础架构位于本地、虚拟环境和云,甚至是由第三方托管,给当今世界各地的企业造成了灾难性的经济和声誉损失。
1.1 勒索软件类型
勒索软件分为对设备加密和对数据加密两种类型。
1.1.1 对设备加密
该方式通过对设备进行锁定,如锁定用户账号、锁定使用参数等方式,对设备可用性造成影响,迫使用户支付赎金进行解锁。常见于针对制造业生产线设备、数控机床以及带网络的数码设备(高端数码相机、平板电脑以及电子手表等)。
1.1.2 对数据加密
该方式通过加密用户系统内的重要资料文档、数据,再结合虚拟货币实施完整的犯罪流程,是当前受害群体最多、社会影响最广以及勒索犯罪中最为活跃的表现形式。近年来,以MAZE以及其他类似变种勒索软件为代表,数据泄露型勒索软件发展迅速,特点是先通过入侵拿到企业内相关机密数据,再对企业数据进行加密。此类勒索的赎金包含两部分,一是数据恢复数据的赎金,二是要挟公开数据的赎金。
1.2 勒索软件攻击方式
勒索软件攻击大致可以分为5个阶段,如图1所示。
针对勒索软件的数据灾备体系研究
图1 勒索软件攻击的5个阶段
阶段1:感染。通过垃圾邮件、网络钓鱼或漏洞利用工具包等手段初步进入系统。
阶段2:投放。勒索软件执行建立持久性机制,篡改注册表项,为其提供掩护,在系统关闭后自行重启,并连网至特定网站收发信息。
阶段3:备份攻击。删除镜像文件和备份。
阶段4:加密。建立加密密钥,搜索特定类型的文件并进行加密。
阶段5:通知勒索。通知用户系统遭到感染,向用户勒索赎金并提供付款说明。
1.3 勒索软件现状
随着勒索软件即服务(RaaS)产业的发展,勒索软件技术门槛大大降低。密码学算法的发展,运用高强度的对称和非对称加密算法对文件进行加密,使暴力破解解密几乎没有可能。公开密钥加密的使用,使文件加密更加安全,可以确保加密密钥不会在系统中被找到。此外,比特币等虚拟货币具有高匿名、变现易以及难追踪等特点,绝大多数勒索软件都采用比特币作为赎金的支付手段,推动了勒索软件的爆发式增长。这些因素促进了勒索软件在全球成泛滥态势。


数据容灾备份对防范勒索攻击的重要性

2.1 备份系统易成为勒索软件攻击目标
事实上,现在很多黑客已经把目标从服务器转移到备份系统。由于备份系统有对企业网络中所有计算机数据的读写权限,因此黑客只要拿下备份服务器就可以实现对所有数据的加密和窃取。然而,备份往往是系统中最脆弱的环节。一方面,服务器上的探针和终端保护越来越多;另一方面,对备份服务器定制专门的防护相对较少,导致备份服务器的防御往往比较弱。简单的备份代理或定制化应用,对于防范勒索软件攻击作用很小。
2.2 案例分析
从2020年第二季度中国华东区勒索软件攻击的案例中随机抽取10个案例进行分析,如表1所示。其中,2家企业没有数据备份,3家企业仅做了原机数据备份,1家企业通过网络共享文件夹进行备份,2家企业使用基于Windows操作系统的备份系统,2家企业使用基于非Windows操作系统的备份一体机。
表1 2020年第二季度中国华东区勒索软件攻击10起案例分析表

针对勒索软件的数据灾备体系研究

3家做了原机数据备份的企业,由于备份数据同时被加密,只能支付赎金恢复数据,同样存在部分数据无法恢复。2家没有数据备份的企业,最终都只能选择支付赎金的方式恢复数据,都存在支付赎金后仍有数据无法恢复的情况。
1家通过网络共享文件夹进行数据异机备份的企业,由于共享文件夹具备写权限,备份数据被加密,只能支付赎金恢复数据,同样存在部分数据无法恢复。
2家使用基于Windows操作系统的备份系统的企业,A公司由于基于Windows的备份系统在域内,攻击者使用了域管理员权限进行系统控制,其数据同样被加密,只能支付赎金恢复数据,且存在部分数据无法恢复的情况。B公司由于基于Windows的备份系统未安装补丁程序存在漏洞,导致被攻击者攻破,数据被加密,只能支付赎金恢复数据,同样存在部分数据无法恢复。
2家使用了基于非Windows操作系统的备份一体机的企业,备份系统均未受到影响。A公司由于备份周期较长,导致部分数据未能按业务部门要求恢复到指定的时间点状态;B公司数据由于定期进行灾备演练测试,数据全部恢复。
从以上案例可以看出:一是没有对数据进行备份或者备份方式不当的企业,其原始数据一旦受到攻击将无法使用,业务系统必然会瘫痪,对企业来说恢复成本远高于投入备份设备并定期维护;二是备份系统基于Windows操作系统且设备加入域管理,与无备份状态基本无差异;三是使用基于非Windows操作系统的一体化备份设备,备份策略与业务需求一致并定期进行备份检查、演练的企业,在勒索病毒的冲击下数据可以做到零损失。
备份系统的重要性在于,很多数据文件在勒索病毒的加密过程中会被破坏且不可逆,即便使用攻击者提供的工具也无法恢复这些数据。显然,备份关键数据并使其易于恢复是企业抵御勒索软件攻击的最佳防线之一。



容灾备份体系分析

由于当前包括勒索软件在内的网络威胁已转变为“何时”而非“如果”的情况,而受到勒索软件攻击后,企业遭受的损失取决于以下两个方面。一是恢复数据的可能性,若不能自我恢复,则交纳赎金成为恢复数据的唯一可能,且交纳赎金后未必能恢复全部数据,因为数据很有可能会在加密过程中被损坏;二是恢复数据和恢复业务的时间,即恢复时间目标(Recovery Time Objective,RTO)和恢复点目标(Recovery Point Objective,RPO)。如图2所示,RTO指从灾难发生造成业务中断到恢复业务所需的时间,RPO指当灾难或紧急事件发生时数据可以恢复到的时间点。一般来说,RTO越短、RPO越新,代表容灾能力越强。因此,企业需要重新审视并建立数据容灾备份体系。
针对勒索软件的数据灾备体系研究
图2 RTO(恢复时间目标)和RPO(恢复点目标)示意
3.1 热 备(结合CDP技术)
热备份是指备份服务器时刻处于联机状态,通过高速通信线路将数据从业务数据实时或定时传送到备份系统。使用持续数据保护(Continuous Data Protection,CDP)技术备份的数据间隔在分钟级甚至可以达到秒级,一旦发生服务器突然宕机或者出现客户端无法访问应用的情况,可以通过备份使系统恢复到出现故障前的某时间点,不用追补或只需追补很少的数据,备份系统即可快速接替生产系统运行,恢复业务。
备份服务器需提供足够的空间作为缓冲冗余空间,对数据写入进行监控,并通过一定规则构建日常业务数据模型。当检测到业务数据异常时,采取人工介入审核。若审核通过,则继续写入;不通过,则进行数据回弹,并采取应急响应措施。此时,CDP技术自动捕捉数据全部变化和任意时间点回朔的功能,能有效帮助安全团队分析黑客行为并恢复系统安全。
针对勒索软件的数据灾备体系研究
图3 结合CDP技术的热备份拓扑
3.2 冷 备
冷备份也被称为离线备份,是指在关闭数据库且数据库不能更新的状况下进行的数据库完整备份。一般来说,冷备份会定期进行业务数据备份,并利用光盘、磁带等介质进行长时间保存。如图4所示,在针对勒索攻击方面,冷备份的最大优势是利用数据离线和物理隔离,在一定程度防止勒索软件攻击备份系统,确保备份数据安全。

针对勒索软件的数据灾备体系研究

图4 冷备份拓扑
3.3 容 灾
容灾系统是指在异地建立两套或多套功能相同的IT系统,互相之间可以进行监控和功能切换。当一处系统因意外(如火灾、地震等)停止工作时,应用系统可切换到另一处,使业务继续运行。如图5所示,对单个系统而言,因为一般的容灾系统是两套系统同步数据,所以其中一套系统遭受勒索软件威胁后,另一套系统也不能幸免。
针对勒索软件的数据灾备体系研究
图5 容灾系统拓扑
“双十一”和“黑色星期五”发生过几起勒索事件,攻击者加密企业数据,以无法在短时间内恢复业务而错失业务收入进行威胁。可见,单个系统的备份可能只能满足数据不丢失,却不能满足业务系统在短时间内恢复的需要。


针对勒索软件的容灾备份体系设计

针对勒索软件攻击特点和上述案例分析,构建企业通用容灾备份体系,拓扑如图6所示。
针对勒索软件的数据灾备体系研究
图6 针对勒索攻击的容灾备份体系拓扑
该体系可以实现:
( 1 ) 使用LAN网络将重要文件、数据库、虚拟机以及物理服务器的数据备份至备份服务器,支持应用数据的热备份,备份期间不影响业务的正常运行。当发现遭受勒索软件攻击且备份服务器安全的情况下,及时通过应急预案进行原机或者异机恢复。
( 2 ) 任何容易被访问感染的服务器和存储都是勒索软件攻击的潜在目标,因此保持备份存储与普通用户文件存储的分离和区别,是受到勒索后正确恢复的关键。离线存储设备只与备份服务器进行定期数据交换,定期与备份服务器相连,通过数据复制功能将数据复制到离线存储设备中。
( 3 ) 离线存储设备包括存储服务器、云端对象存储以及光盘塔/磁带库等。由于大部分黑客在利用勒索软件攻击前都会潜伏,通过后台运行等方式逐渐了解备份业务的行为并逐步采取行动,因此作为恢复准备策略和灾难恢复过程的一部分,在其他位置维护数据的永久副本非常重要。数据在多个地方存有多个副本,能最大程度上保证备份数据安全。当备份服务器发生故障或受到勒索软件等攻击后,这样也方便企业自行恢复。
( 4 ) 当操作系统感染包括勒索软件在内的恶意软件导致重要数据被破坏、加密时,可使用操作系统恢复功能恢复前未被破坏时的操作系统,再恢复重要数据。当虚拟机发生故障或文件损坏无法使用时,恢复虚拟机整机。恢复的虚拟机可保留网络标签。
( 5 ) 当数据库发生误操作、错误语句等逻辑错误,甚至整个数据库文件损坏造成数据库宕机时,利用备份数据将数据库恢复到最近时间点,或将数据库异机恢复到另一个版本相同的环境中,继续向应用层提供服务。
( 6 ) 当有文件丢失或损坏,或文件服务器的存储发生物理故障需要恢复数据时,可以通过单文件恢复的功能进行文件级恢复,也可以通过完全恢复的方式将所有备份文件恢复到修复的原机或异机,继续向用户提供文件服务。


操作系统保护

如果操作终端发生故障,会导致整个系统无法工作。所以,不仅要对服务器进行备份,也需要对操作终端进行备份。如图7所示,通过将物理主机和虚拟主机的操作系统备份至备份服务器。把Windows操作系统的备份数据直接转换为VMWare、KVM等虚拟平台支持数据,通过挂载方式实现虚拟化平台的即时恢复。对于物理主机和虚拟主机,可以通过引导恢复还原操作系统,减少重新部署配置应用环境的时间。它支持P2P、P2V以及V2V等模式操作系统恢复,实现服务器的平滑迁移。
针对勒索软件的数据灾备体系研究
图7 操作系统保护示意


结 语

为抵御勒索软件的最后一道防线,科学可靠的备份和恢复技术可以帮助企业将系统和业务面临的风险降至最低,使其在遭到勒索软件攻击后迅速恢复,确保数据可用性和业务连续性。同时,数据备份与业务系统容灾不仅仅是技术问题,管理也占了很大比重。定期的数据备份检查和恢复测试,对于抵御勒索软件以及在真实发生数据灭失场景下的应急处置有着至关重要的帮助。
引用本文:周滔,戴沁芸,薛质.针对勒索软件的数据灾备体系研究[J].通信技术,2021,54(02):.


原文来源:信息安全与通信保密杂志社

针对勒索软件的数据灾备体系研究

本文始发于微信公众号(网络安全应急技术国家工程实验室):针对勒索软件的数据灾备体系研究

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月13日01:39:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对勒索软件的数据灾备体系研究https://cn-sec.com/archives/266322.html

发表评论

匿名网友 填写信息