我以前听说过“勒索软件即服务”的概念,这一概念让我对即将面临的真实威胁的恐怖程度惊诧不已。上周,我看到了一篇详细介绍 RaaS 和新威胁的博文。考虑到大家都认为 RaaS 将重塑 IT 行业,我拜读了这篇文章。
鉴于现在创建勒索软件非常容易,内部威胁无疑将会加剧。过去,只有技能娴熟的黑客才能创建恶意软件,但现在任何人的老奶奶都可创建自定义勒索软件,因为这只需要在网站上点击几下,简直可以用“不费吹灰之力”来形容。然后,头脑不太灵便的老奶奶只需在任何电脑上运行勒索软件,便可等待受害者支付赎金。您意识到这一问题了吗?
有些人可能认为这不是什么新威胁,还大谈特谈最小权限原则和物理服务器访问限制比以往更为重要。如果是这样,您就错了。实际上,这显然是一个新威胁,因为该威胁现在会造成资金损失,甚至是大笔资金损失。
在一定程度上,这一概念类似于在大学电脑课上部署信件炸弹病毒 (letter bomb virus)。在学生时代,我经常遇到这种恶作剧。长大之后,我们在快速增长的 IT 市场开始了职业生涯,有些人逐渐对老板感到不满,并可能从内部威胁到企业的业务发展。就因为对老板不满,许多员工便搞一些破坏。就算不会带来资金损失,这也足以给老板们造成各种麻烦和风险。实际上,我的前雇主就遇到了这个问题,不可挽回地丢失了大量客户数据。这家公司因此损失了数百万美元,涉事员工被逮捕入狱,一切只因为他对遭遇解雇愤愤不平。
由于会造成资金损失,这种威胁将彻底改变 IT 行业。现在,我们都面临勒索软件带来的切实风险。更糟的是,由于熟知公司的业务流程,内部人员可以针对性破坏包含最重要业务数据的系统,迫使公司只得支付甚至高达 7 位数的赎金。因为对公司而言,支付赎金仍然是将损失降到最低的办法。
这意味着什么?首先,首席信息官不再相信任何人。很不幸,谚语“凡事皆有代价”言之有理。在巨大利益的诱惑下或由于急需金钱(比如子女奄奄一息,需要高昂的治疗费用),即使奉行最高道德标准的人有时也会禁不住犯罪。现在,企业应将冒险“信任”从 IT 战略中排除,对于员工可能出于简单原因实施的严重破坏行为,企业必须时刻做好充分准备。
自问一下,如果休假的同事从某个中东国家或地区远程登录您的网络,删除所有在线备份(主备份及其副本)并在生产服务器上安装勒索软件,您有何应对之策?您难道不同意侵入您的办公环境比抢劫银行要容易一千倍?想想吧。可悲的是,由于无法阻止 IT 人员履行工作职责,您无法真正防范此类事件。
那么,企业该如何防范内部威胁?很简单,实施空气间隙备份,这种“离线”备份无法被远程操作或删除。即使加强许可控制也无济于事,因为正确的证书可通过键盘记录器或社交工程获取。不过,在高管的保险箱中配备外部硬盘或磁带等简单组件就可完全解决这一问题!如果您有大量数据但又不想使用磁带怎么办?您可在固件中采用“只读”存储系统,但您需要确保其物理安全性。或者,您可以寻求服务提供商的帮助,以确保备份副本无法被远程管理(例如,在未连接互联网的专用网络或磁带上),或被公司的任何人员删除!
在 VeeamON 2017 的分组会议上,我将详细说明空气间隙备份的重要性。但您应立即实施这种解决方案,以免悔之晚矣!
附言:本博文由 Veeam Community Forums Digest 倾情提供。立即注册加入 Veeam 论坛,获取 Gostev 未来提供的每周更新和技术洞察!