被勒索软件攻击后的五个应对步骤

■ 河南 崔贤

编者按：当前针对企业的勒索软件攻击的数量不断增加，当我们在遇到勒索软件攻击后，应采取哪些步骤有效地恢复数据？本文将讨论一些较为有效的方法。

勒索软件已被许多组织认定为面临的最具威胁性的网络安全风险，其原因是显而易见的：在2019年，超过50%的企业受到勒索软件攻击，估计损失达115亿美元。仅在去年的最后一个月，包括佳能、Garmin等在内的公司就成为了主要勒索软件攻击的受害者，并为此支付了数百万美元的费用。

当前关于勒索软件对企业业务的影响还有很多讨论，并采取了诸多措施来预防，但要确保如何在被攻击之后对数据进行恢复，尚存在很多困难。

尽管对于企业而言，有些勒索攻击的赎金可能较少，但重要的是企业的重要数据是否被损坏。当我们在遇到勒索软件攻击后，应采取哪些步骤有效地恢复数据？以下讨论一些较为有效的方法。

检测

可以说，从勒索软件攻击中恢复数据，最具挑战性的步骤是从最开始就意识到出了问题——它也是最关键的步骤之一。用户越早检测到勒索软件攻击，受到影响的目标数据就越少。这也直接影响到恢复数据所需的时间。

勒索软件通常会进行特殊的精心设计，这使其很难被发现。当用户在看到显示勒索赎金时，说明防护为时已晚，勒索软件已经对整个IT环境造成了损害。因此，拥有可以识别异常行为（例如异常文件共享）的网络安全解决方案，可以帮助用户快速隔离勒索软件感染，并在其进一步蔓延之前进行阻断。

与基于签名或基于网络流量的检测相比，异常文件行为检测技术是检测勒索软件攻击最有效的方法之一，并且误报最少。

检测勒索软件攻击的另一种方法是使用“基于签名”的方法。如果检测到相关的恶意代码，则可以通过该方法来进行查找。但这种方法的局限性在于，它只能检测已知的勒索软件。一般并不建议使用该方法，因为复杂的攻击经常变换新的代码，往往以另一种新的未知的勒索软件的形式出现。因此，建议使用基于AI/ML的方法，该方法通过查找恶意行为，例如文件的快速连续加密，来确定攻击的发生。

其他有效的网络安全手段还包括，对电子邮件等关键业务系统的防护。勒索软件通常是通过网络钓鱼电子邮件攻击或带有危险文件附件，或者是超链接的电子邮件来达到感染系统的目的。

如果企业不具备处理危险电子邮件的能力，那么勒索软件侵入企业内部IT环境或SaaS云环境就会非常容易。因此，特别是在云SaaS环境中，控制云环境中第三方应用程序的访问权限非常重要。

遏制

在检测到勒索软件攻击之后，用户可以通过隔离勒索软件进程，来阻止其进一步传播。如果是在云环境中，则这些攻击通常源自远程文件同步，或是运行勒索软件加密过程的第三方应用程序，或是浏览器插件驱动的其他进程。挖掘并隔离勒索软件攻击的来源可以有效遏制感染，从而减轻对数据的破坏。为了达到有效的结果，该过程必须是自动化的。

很多攻击是趁管理员未监控IT环境间隙的数小时内发生的。因此，一旦发生勒索攻击，必须迅速做出反应以阻止病毒传播。安全策略规则和脚本必须作为主动保护的一部分放在适当的位置。因此，在识别出感染后，自动化程序会通过删除可执行文件或扩展名来阻止攻击，并将受感染的文件与IT环境的其他部分隔离开来。

在遭遇勒索软件攻击时，还有一种方法可以让企业能够挽回或弥补损失，那就是购买网络保险。网络保险是一种网络安全领域里的保险，旨在保护企业（以及为企业提供服务的个人）免受基于互联网的风险（如勒索软件攻击），以及与IT基础架构、隐私、数据治理相关的其他风险。在这种情况下，网络保险可以帮助企业减轻恢复数据的部分财务负担。当然，目前网络保险制度在国内市场尚未成熟，但其发展前景非常广阔。

备份

在大多数情况下，即使快速检测到并遏制了勒索软件攻击，仍然会有一部分数据受到影响并需要还原。这就需要对数据进行备份，才能实现对被破坏数据的恢复。在进行备份时，可以遵循如下“3-2-1”原则，将备份数据与实际运行环境隔离开。

·保留任何重要文件的3个副本，包括一个主要文件和两个备份文件。

·将文件保留在2种不同的介质类型上。

·异地维护1份副本。

如果您的备份是在SaaS环境中的，则需要通过云备份供应商来存储重要数据，以符合“异地”的原则。这将极大地减少备份数据与生产数据一同受到影响的几率。

因此，从勒索软件攻击中恢复数据的可靠方法，是对关键业务数据进行备份。但目前在面对勒索软件攻击时，备份的重要性尚未能得到足够的重视。相对于绞尽脑汁地防范随时可能出现的勒索软件，采取备份操作并从备份中恢复数据，对业务数据的保护更能占据主动权。

当前企业在采用云服务时可能存在一个误区，很多企业可能会错误地认为云服务提供商已采取了完备的方案来保护客户的数据，而不需要自己做什么。当然，在保护客户数据安全方面，云服务提供商确实采取了一些机制。但实际上，保护云环境中的数据安全往往采取的是责任共担的方式，确保云上数据安全不仅仅是云服务提供商的责任，还包括客户自己。

报告相关部门

当前世界各国和地区针对数据保护都颁布了相关的法律法规及行业标准，因此企业需要遵循当地的许多合规性法规，例如PCI-DSS（第三方支付行业数据安全标准）、GDPR（通用数据保护条例）等，许多法规都要求企业应将违规行为通知相关监管机构。因此，一旦出现了相关的违规行为，就应立即报告相关部门。特别是如果您的企业属于某些受监管的行业（例如金融行业），那么同样有针对该行业的数据保护标准，这些都是需要企业熟知的。

测试

在对数据进行恢复后，还需要测试对数据和任何其它受影响的关键业务系统的访问，以确保成功恢复了数据和服务。这样，才算是彻底解决了所有的问题，然后再考虑将整个系统重新投入运行。

而如果是在IT环境中遇到的响应时间比平常慢，或者文件大小比正常情况大时，那么这可能表明数据库或存储系统中仍潜藏着某些风险。

结语

俗话说“最好的防守就是进攻”，这句话带给我们的启示是，在网络安全领域中，不要总是被动防范，要掌握主动权。面对勒索软件攻击，只有两种选择，要么您具有足够的前瞻性思维，做好备份，则可以从备份中还原数据，要么支付赎金。但选择支付赎金是有风险的，因为谁都无法保证，在支付完赎金后，网络犯罪分子是否会真的给你解密来恢复数据。

与网络犯罪分子进行这种交易可没有签署合同或行为准则。相关报告显示，为勒索病毒支付赎金的企业中约有42%的文件并未被解密。

鉴于当前针对企业的勒索软件攻击的数量不断增加，如果没有适当的安全备份和检测机制，后果将是灾难性的。现在采用相关的安全解决方案可以确保您以后不会为受破坏的数据而懊恼。而且从其他企业受勒索攻击的案例中吸取教训，也可以帮助您避免遭受同样的悲剧。