在不断进行的勒索软件防卫战中,公司的弹性正在增强。Coveware by Veeam 和 Chainalysis 的报告显示,2024 年第四季度勒索软件付款的支出已大幅下降。这一成功归功于几个关键因素,包括联邦法规的完善、主要网络犯罪集团的成功取缔,最重要的是,组织在应对基于加密的恶意软件攻击以及从中恢复方面准备得更加充分并且更有韧性。
近年来,数据保护发生了长足变化。行业讨论的焦点已从“实时去重”与“后处理去重”的技术之争,转向以安全为核心的新议题 – 包括工作负载不可变性、事件响应机制及恶意软件检测等。恶意软件备份扫描过去用于但现在绝不用于取代传统终端或扩展检测和响应工具。它旨在为检测恶意软件的纵深防御方法提供额外的检测层。Veeam 提供数据保护行业中最实用、最全面的备份之前、期间和之后扫描恶意软件的功能。我们来探索一下每个用例。
备份前:主动威胁评估
根据 MITRE ATT&CK 框架和 Coveware by Veeam 的数据,我们知道攻击者在获得初始访问权限后就会以备份为攻击目标。Veeam 是唯一可在备份之前主动查找可疑行为的厂商。
- Recon Scanner:提供有关备份服务器面临潜在威胁的主动警报,检测可疑事件,例如尝试远程访问的陌生 IP 或尝试暴力攻击的受感染帐户。它有助于识别漏洞并构建事件时间表,以查明干净的还原点。
- 可观测性、分析和人工智能驱动的洞察:在备份前检测生产环境中的异常情况,识别异常的虚拟机模式、对 ESXi 和 vCenter 的暴力攻击以及可疑的 SSH 活动。
- Veeam 事件 API:允许第三方安全工具与 Veeam 集成,标记潜在的恶意还原点,并触发主动加密工作负载的带外备份。
备份期间:多层内联检测
Veeam 能够在备份期间实时认真检测并减轻威胁,超越了那些需要进行后处理扫描并要求将元数据发送到云端才能识别基本批量更改的替代方案。
- IoC 扫描仪:验证计算机上是否正在运行已知被网络犯罪分子使用的有害工具,并检测可能会泄露、加密或损坏数据的新安装的工具(即使这些工具是利用现有资源的工具)。
- 熵分析:扫描数据块的随机性,寻找加密数据、暗网链接和勒索信。
- 文件索引:使用基于签名的分析扫描 Veeam 数据库以查找已知的恶意软件扩展,确保快速标记潜在威胁。
- 不可变的备份存档:借助 Veeam Hardened Repository、Veeam Vault 存储和第三方不可变性等选项,确保可以从加密的网络攻击中恢复备份。
备份后:确保快速进行干净的恢复
遗憾的是,如果防御和检测工具能够捕获一切,勒索软件就不会存在。组织必须为最坏的情况做好准备,但要抱有最好的希望。后处理扫描对于确保进行干净的数据还原以及在威胁行为者逃避检测时避免再次感染至关重要。
- Recon Blast Radius:确定勒索软件攻击的实际范围,检测损坏或未加密的文件并建立事件时间表。
- 威胁猎人:使用基于签名的防病毒引擎扫描还原点中的恶意软件,确保仅使用干净的数据进行恢复。
- YARA 基于规则的扫描:寻找入侵指标,检测其他工具可能已经遗漏或者是零日恶意软件的恶意软件
- 编排恢复& 洁净室功能:创建详细的恢复计划,测试和验证关键应用程序的恢复。
整合所有元素
当安全团队参与时,这些扫描功能最有效。将事件转发到安全团队已使用的工具和仪表板可实现自动化流程。让我们通过一个示例将所有这些元素整合在一起,以便更好地直观展示所有这些组件如何协同工作:
- Veeam 或 EDR/XDR 工具可在备份前或备份期间检测机器上的可疑行为。
- 事件会转发到组织的 SIEM 工具。
- 该响应手册会自动启动,导致疑似受感染的计算机即时还原到洁净室环境,以便获取 Veeam Threat Hunter 的其他意见。
- 如果扫描返回干净,则会将事件标记为误报。
- 如果扫描确认存在恶意软件,则 Recon Blast Radius 会扫描机器,以更好地了解受影响数据的时间线和范围。
- 最后,不要仅局限于从旋转磁盘备份中恢复。一旦了解攻击范围并根除威胁行为者,即可从备份以外的环境中进行恢复。
Conclusion
Veeam’s commitment to cybersecurity extends throughout the entire data lifecycle. From before backup, during backup, and after backup. Veeam ensures that your data is protected at every stage. This comprehensive approach not only minimizes the risk and impact of cyberattacks but also ensures that organizations can recover quickly and efficiently. In conclusion, Veeam’s sophisticated scanning technologies and proactive strategies make it the most reliable solution for malware detection and recovery. By integrating advanced tools and maintaining a vigilant approach to cybersecurity, Veeam helps organizations stay one step ahead of cyber threats, ensuring that their data remains resilient and their operations uninterrupted.