距離2021年結(jié)束還有不到兩個月的時間了，勒索軟件攻擊已成為2021年讓全世界陷入恐懼的最大安全威脅之一。對此，韓國近期發(fā)布《應(yīng)對勒索軟件的安全信息系統(tǒng)備份指南（修訂本）》，旨在幫助韓國企業(yè)制定信息系統(tǒng)備份的措施來應(yīng)對勒索軟件攻擊。本《指南》中分析了勒索軟件攻擊者最常用的4種破壞數(shù)據(jù)備份的技術(shù)，值得安全行業(yè)人士的關(guān)注。

　　勒索軟件攻擊成為2021年全球最大的安全威脅

　　根據(jù)韓國互聯(lián)網(wǎng)振興院發(fā)布的資料顯示，勒索軟件攻擊在全世界范圍內(nèi)呈上升趨勢。2021年發(fā)生的勒索軟件攻擊損失額與2020年相比增加了102%，其金額高達約22萬億韓元。以韓國國內(nèi)為例，2019年向KISA申報的勒索軟件案件有39起，但2020年激增了2倍多，達到127起。截至今年上半年，已經(jīng)申報的勒索軟件案件78起，造成的損失也呈上升趨勢。受影響的行業(yè)正向能源、食品、IT、制造、服務(wù)和運輸?shù)阮I(lǐng)域多元化發(fā)展。

　　現(xiàn)如今，勒索軟件是最具代表性的網(wǎng)絡(luò)攻擊類型之一。一旦受到勒索軟件破壞就很難恢復(fù)。最重要的是，最近網(wǎng)絡(luò)攻擊者通過勒索軟件攻擊，不僅加密數(shù)據(jù)，還以泄露企業(yè)內(nèi)部信息為由進行威脅，對提供網(wǎng)絡(luò)服務(wù)的企業(yè)更是追加進行分布式拒絕服務(wù)（DDoS）攻擊。過去，勒索軟件是以對特定電腦的一次性感染和解密為代價來換取贖金的“臨時攻擊”，但最近勒索軟件攻擊正在向高級可持續(xù)威脅攻擊（APT）形態(tài)進化，即經(jīng)過長時間的前期工作（信息泄露、散布惡性代碼等）后，同時實施多發(fā)性攻擊致使整個系統(tǒng)癱瘓。

　　勒索軟件攻擊已超越攻擊個人電腦的范圍，擴大到企業(yè)系統(tǒng)、社會基礎(chǔ)設(shè)施、生活必需產(chǎn)業(yè)等各個領(lǐng)域，并逐漸接近普通民眾也能夠感受到的領(lǐng)域。特別是，隨著越來越多的企業(yè)為應(yīng)對攻擊而進行數(shù)據(jù)備份，出現(xiàn)了通過信息泄露、DDoS攻擊等手段進行“三重威脅”的現(xiàn)象。

　　以美國為例，今年因科洛尼爾管道運輸公司遭勒索軟件攻擊導(dǎo)致美國東部部分地區(qū)一度出現(xiàn)燃料供應(yīng)中斷及油價上漲；全球最大的肉類供應(yīng)商JBS為了修復(fù)勒索軟件造成的損失向勒索軟件攻擊者支付了1100萬美元贖金；在IT領(lǐng)域，發(fā)生了針對美國IT解決方案企業(yè)Kaseya的勒索軟件攻擊等。這些攻擊給社會和民眾造成了巨大損失，因此被歸類為嚴(yán)重的安全案件。

　　當(dāng)然，韓國在勒索軟件攻擊面前也未能幸免。針對韓國國內(nèi)車輛零部件制造企業(yè)、配送平臺、海運公司船舶的主機電腦等各領(lǐng)域的勒索軟件攻擊不斷發(fā)生。未來，如果發(fā)生對智慧城市或智能電網(wǎng)等社會基礎(chǔ)設(shè)施的勒索軟件攻擊，人們的日常生活可能會陷入癱瘓。

　　近年來，針對韓國企業(yè)的勒索軟件攻擊呈上升趨勢。尤其是針對網(wǎng)絡(luò)技術(shù)和安全基礎(chǔ)設(shè)施與大型企業(yè)相比較弱的中小企業(yè)的攻擊更為明顯。根據(jù)韓國互聯(lián)網(wǎng)振興院（KISA）公布的各規(guī)模企業(yè)發(fā)生網(wǎng)絡(luò)侵害事件的統(tǒng)計數(shù)據(jù)來看，受害公司總數(shù)的 98% 是中小企業(yè)，與大型企業(yè)2%的占比相比，這是一個壓倒性的數(shù)字。因此，缺乏資源或?qū)I(yè)知識的中小型企業(yè)因無力保護企業(yè)數(shù)字資產(chǎn)免受網(wǎng)絡(luò)威脅，而更容易受到勒索軟件等網(wǎng)絡(luò)攻擊的影響。

　　在此背景下，近期韓國科學(xué)技術(shù)信息通信部（以下簡稱韓國科技信通部）和韓國互聯(lián)網(wǎng)振興院聯(lián)合發(fā)布了《應(yīng)對勒索軟件的安全信息系統(tǒng)備份指南（修訂本）》（以下簡稱《指南》），引起了韓國企業(yè)的極大關(guān)注。由于數(shù)據(jù)備份被公認為是能夠最大程度減少勒索軟件損失的最有效手段，因此，此次發(fā)行的指南有望幫助許多企業(yè)，特別是中小企業(yè)制定信息系統(tǒng)備份措施來應(yīng)對勒索軟件攻擊。

　　本指南介紹了中小企業(yè)或服務(wù)規(guī)模較小的公司所需的信息系統(tǒng)備份系統(tǒng)的建立方法和操作流程。此外，《指南》還為保護備份數(shù)據(jù)免受惡性代碼和勒索軟件等外部環(huán)境的網(wǎng)絡(luò)攻擊威脅提供了保護措施，并為構(gòu)建適合中小規(guī)模企業(yè)環(huán)境的信息系統(tǒng)備份提供了指南。

　　《指南》主要內(nèi)容包括十大章節(jié)：

　　第一章 概要

　　第二章 指針的構(gòu)成和范圍

　　第三章 備份術(shù)語定義

　　第四章 備份組織和作用

　　第五章 備份程序和安全管理程序

　　第六章 構(gòu)建備份系統(tǒng)

　　第七章 備份策略

　　第八章 備份系統(tǒng)安全策略

　　第九章 備份系統(tǒng)結(jié)構(gòu)圖

　　第十章 備份管理樣式

　　在內(nèi)容方面，《指南》首先定義了備份組織和作用，解釋了備份的程序和安全管？的程序，以便備份組織能夠系統(tǒng)地進？備份和安全管？。此外，《指南》還介紹了必要的應(yīng)對程序，以便在感染惡意代碼和勒索軟件攻擊時企業(yè)能夠迅速做出響應(yīng)。

　　在構(gòu)建備份系統(tǒng)章節(jié)，介紹了企業(yè)普遍使用的備份系統(tǒng)配置方法以及預(yù)防感染勒索軟件攻擊的配置方法。在備份策？章節(jié)，介紹了各種備份方法以及適用于中小企業(yè)的備份策？。最后，在備份系統(tǒng)安全策略章節(jié)，還對防止勒索軟件等網(wǎng)絡(luò)攻擊所需的備份系統(tǒng)的安全注意事項進行了說明。

　?。n國科技信通部和韓國互聯(lián)網(wǎng)振興院聯(lián)合發(fā)布的《應(yīng)對勒索軟件的安全信息系統(tǒng)備份指南（修訂本）》PDF原文及機翻全文，已上傳三正知識星球，可按照文末提示方式獲取。）

　　勒索軟件黑客用來破壞數(shù)據(jù)備份的 4 種技術(shù)

　　過去，勒索軟件攻擊大多是以不特定的個人電腦為對象，通過加密數(shù)據(jù)并要求支付贖金的方式完成的。但是，最近勒索軟件將能夠支付高額贖金的大型企業(yè)作為主要攻擊目標(biāo)，攻擊方式也不僅局限于加密數(shù)據(jù)，而是以數(shù)據(jù)泄露后將向互聯(lián)網(wǎng)公開為由進行威脅，迫使受害個人或企業(yè)交納贖金，其攻擊方式不斷發(fā)生演變。這種攻擊方式的變化，是因為個人或企業(yè)將數(shù)據(jù)備份作為勒索軟件的應(yīng)對策略進行了強化，很難再通過數(shù)據(jù)加密來獲得收益。

　　如果您不能100%防止感染勒索軟件攻擊，數(shù)據(jù)備份可能是最有效的應(yīng)對策略。據(jù)悉，由于這種應(yīng)對策略，勒索軟件攻擊者正在千方百計為破壞數(shù)據(jù)備份而進行不懈努力。據(jù)韓國互聯(lián)網(wǎng)振興院方面表示，最近勒索軟件攻擊者不僅對本地或共享驅(qū)動器上的備份數(shù)據(jù)進行加密，甚至通過定位和感染基于特定系統(tǒng)的備份數(shù)據(jù)（例如有針對性的攻擊）的方法，來癱瘓備份系統(tǒng)。

　　因此，研究分析勒索軟件攻擊者主要使用的數(shù)據(jù)備份破壞技術(shù)，并為各企業(yè)制定應(yīng)對這種攻擊技法的策略是非常重要的。《指南》的第一章概要部分介紹了勒索軟件攻擊者最常用的4種破壞數(shù)據(jù)備份的技術(shù)，現(xiàn)總結(jié)如下：

　　一是刪除卷影副本。勒索軟件通過刪除Windows 系統(tǒng)自帶的備份功能卷影復(fù)制（VSC，Volume Shadow Copy）來阻止恢復(fù)以前的數(shù)據(jù)文件。

　　二是加密網(wǎng)絡(luò)共享備份。部分備份解決方案使用解決方案的默認文件夾名稱來備份網(wǎng)絡(luò)共享路徑中的數(shù)據(jù)。勒索軟件攻擊者在企業(yè)網(wǎng)絡(luò)中尋找這些備份文件夾，并將它們一同加密。

　　三是惡意利用備份解決方案。備份解決方案一般使用自己的應(yīng)用程序編程接口（API）來管理企業(yè)內(nèi)部的數(shù)據(jù)備份。攻擊者使用竊取的憑證或漏洞訪問備份管理API，并利用它來刪除或加密備份。

　　四是誘導(dǎo)備份損壞數(shù)據(jù)。普通的勒索軟件在初次入侵后會立即對數(shù)據(jù)進行加密，但最近一些勒索軟件會秘密滲透到內(nèi)部網(wǎng)絡(luò)并破壞數(shù)據(jù)，等到不完整的數(shù)據(jù)被備份后，再對原始數(shù)據(jù)進行加密。這樣，由于備份數(shù)據(jù)已經(jīng)受損，因此數(shù)據(jù)無法恢復(fù)正常。

　　對于數(shù)據(jù)備份，韓國科技信通部和韓國互聯(lián)網(wǎng)振興院方面強調(diào)：“勒索軟件是以謀求金錢利益為目的而出現(xiàn)的，并且創(chuàng)收的可能性已經(jīng)被證明，預(yù)計未來還會持續(xù)發(fā)生勒索軟件攻擊，并且攻擊方式也會不斷改進。對此，作為最有效的應(yīng)對措施就是數(shù)據(jù)備份，特別是企業(yè)需要考慮一個不會失敗的數(shù)據(jù)備份策略至關(guān)重要。”

　　后記：備份向來被認為是預(yù)防勒索軟件的最后防線，如果備份受到威脅，則整個安全防線失去最后恢復(fù)的能力，就可能完全淪陷。