距離2021年結(jié)束還有不到兩個(gè)月的時(shí)間了，勒索軟件攻擊已成為2021年讓全世界陷入恐懼的最大安全威脅之一。對(duì)此，韓國(guó)近期發(fā)布《應(yīng)對(duì)勒索軟件的安全信息系統(tǒng)備份指南（修訂本）》，旨在幫助韓國(guó)企業(yè)制定信息系統(tǒng)備份的措施來(lái)應(yīng)對(duì)勒索軟件攻擊。本《指南》中分析了勒索軟件攻擊者最常用的4種破壞數(shù)據(jù)備份的技術(shù)，值得安全行業(yè)人士的關(guān)注。

　　勒索軟件攻擊成為2021年全球最大的安全威脅

　　根據(jù)韓國(guó)互聯(lián)網(wǎng)振興院發(fā)布的資料顯示，勒索軟件攻擊在全世界范圍內(nèi)呈上升趨勢(shì)。2021年發(fā)生的勒索軟件攻擊損失額與2020年相比增加了102%，其金額高達(dá)約22萬(wàn)億韓元。以韓國(guó)國(guó)內(nèi)為例，2019年向KISA申報(bào)的勒索軟件案件有39起，但2020年激增了2倍多，達(dá)到127起。截至今年上半年，已經(jīng)申報(bào)的勒索軟件案件78起，造成的損失也呈上升趨勢(shì)。受影響的行業(yè)正向能源、食品、IT、制造、服務(wù)和運(yùn)輸?shù)阮I(lǐng)域多元化發(fā)展。

　　現(xiàn)如今，勒索軟件是最具代表性的網(wǎng)絡(luò)攻擊類型之一。一旦受到勒索軟件破壞就很難恢復(fù)。最重要的是，最近網(wǎng)絡(luò)攻擊者通過(guò)勒索軟件攻擊，不僅加密數(shù)據(jù)，還以泄露企業(yè)內(nèi)部信息為由進(jìn)行威脅，對(duì)提供網(wǎng)絡(luò)服務(wù)的企業(yè)更是追加進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊。過(guò)去，勒索軟件是以對(duì)特定電腦的一次性感染和解密為代價(jià)來(lái)?yè)Q取贖金的“臨時(shí)攻擊”，但最近勒索軟件攻擊正在向高級(jí)可持續(xù)威脅攻擊（APT）形態(tài)進(jìn)化，即經(jīng)過(guò)長(zhǎng)時(shí)間的前期工作（信息泄露、散布惡性代碼等）后，同時(shí)實(shí)施多發(fā)性攻擊致使整個(gè)系統(tǒng)癱瘓。

　　勒索軟件攻擊已超越攻擊個(gè)人電腦的范圍，擴(kuò)大到企業(yè)系統(tǒng)、社會(huì)基礎(chǔ)設(shè)施、生活必需產(chǎn)業(yè)等各個(gè)領(lǐng)域，并逐漸接近普通民眾也能夠感受到的領(lǐng)域。特別是，隨著越來(lái)越多的企業(yè)為應(yīng)對(duì)攻擊而進(jìn)行數(shù)據(jù)備份，出現(xiàn)了通過(guò)信息泄露、DDoS攻擊等手段進(jìn)行“三重威脅”的現(xiàn)象。

　　以美國(guó)為例，今年因科洛尼爾管道運(yùn)輸公司遭勒索軟件攻擊導(dǎo)致美國(guó)東部部分地區(qū)一度出現(xiàn)燃料供應(yīng)中斷及油價(jià)上漲；全球最大的肉類供應(yīng)商JBS為了修復(fù)勒索軟件造成的損失向勒索軟件攻擊者支付了1100萬(wàn)美元贖金；在IT領(lǐng)域，發(fā)生了針對(duì)美國(guó)IT解決方案企業(yè)Kaseya的勒索軟件攻擊等。這些攻擊給社會(huì)和民眾造成了巨大損失，因此被歸類為嚴(yán)重的安全案件。

　　當(dāng)然，韓國(guó)在勒索軟件攻擊面前也未能幸免。針對(duì)韓國(guó)國(guó)內(nèi)車輛零部件制造企業(yè)、配送平臺(tái)、海運(yùn)公司船舶的主機(jī)電腦等各領(lǐng)域的勒索軟件攻擊不斷發(fā)生。未來(lái)，如果發(fā)生對(duì)智慧城市或智能電網(wǎng)等社會(huì)基礎(chǔ)設(shè)施的勒索軟件攻擊，人們的日常生活可能會(huì)陷入癱瘓。

　　近年來(lái)，針對(duì)韓國(guó)企業(yè)的勒索軟件攻擊呈上升趨勢(shì)。尤其是針對(duì)網(wǎng)絡(luò)技術(shù)和安全基礎(chǔ)設(shè)施與大型企業(yè)相比較弱的中小企業(yè)的攻擊更為明顯。根據(jù)韓國(guó)互聯(lián)網(wǎng)振興院（KISA）公布的各規(guī)模企業(yè)發(fā)生網(wǎng)絡(luò)侵害事件的統(tǒng)計(jì)數(shù)據(jù)來(lái)看，受害公司總數(shù)的 98% 是中小企業(yè)，與大型企業(yè)2%的占比相比，這是一個(gè)壓倒性的數(shù)字。因此，缺乏資源或?qū)I(yè)知識(shí)的中小型企業(yè)因無(wú)力保護(hù)企業(yè)數(shù)字資產(chǎn)免受網(wǎng)絡(luò)威脅，而更容易受到勒索軟件等網(wǎng)絡(luò)攻擊的影響。

　　在此背景下，近期韓國(guó)科學(xué)技術(shù)信息通信部（以下簡(jiǎn)稱韓國(guó)科技信通部）和韓國(guó)互聯(lián)網(wǎng)振興院聯(lián)合發(fā)布了《應(yīng)對(duì)勒索軟件的安全信息系統(tǒng)備份指南（修訂本）》（以下簡(jiǎn)稱《指南》），引起了韓國(guó)企業(yè)的極大關(guān)注。由于數(shù)據(jù)備份被公認(rèn)為是能夠最大程度減少勒索軟件損失的最有效手段，因此，此次發(fā)行的指南有望幫助許多企業(yè)，特別是中小企業(yè)制定信息系統(tǒng)備份措施來(lái)應(yīng)對(duì)勒索軟件攻擊。

　　本指南介紹了中小企業(yè)或服務(wù)規(guī)模較小的公司所需的信息系統(tǒng)備份系統(tǒng)的建立方法和操作流程。此外，《指南》還為保護(hù)備份數(shù)據(jù)免受惡性代碼和勒索軟件等外部環(huán)境的網(wǎng)絡(luò)攻擊威脅提供了保護(hù)措施，并為構(gòu)建適合中小規(guī)模企業(yè)環(huán)境的信息系統(tǒng)備份提供了指南。

　　《指南》主要內(nèi)容包括十大章節(jié)：

　　第一章 概要

　　第二章 指針的構(gòu)成和范圍

　　第三章 備份術(shù)語(yǔ)定義

　　第四章 備份組織和作用

　　第五章 備份程序和安全管理程序

　　第六章 構(gòu)建備份系統(tǒng)

　　第七章 備份策略

　　第八章 備份系統(tǒng)安全策略

　　第九章 備份系統(tǒng)結(jié)構(gòu)圖

　　第十章 備份管理樣式

　　在內(nèi)容方面，《指南》首先定義了備份組織和作用，解釋了備份的程序和安全管？的程序，以便備份組織能夠系統(tǒng)地進(jìn)？備份和安全管？。此外，《指南》還介紹了必要的應(yīng)對(duì)程序，以便在感染惡意代碼和勒索軟件攻擊時(shí)企業(yè)能夠迅速做出響應(yīng)。

　　在構(gòu)建備份系統(tǒng)章節(jié)，介紹了企業(yè)普遍使用的備份系統(tǒng)配置方法以及預(yù)防感染勒索軟件攻擊的配置方法。在備份策？章節(jié)，介紹了各種備份方法以及適用于中小企業(yè)的備份策？。最后，在備份系統(tǒng)安全策略章節(jié)，還對(duì)防止勒索軟件等網(wǎng)絡(luò)攻擊所需的備份系統(tǒng)的安全注意事項(xiàng)進(jìn)行了說(shuō)明。

　　（韓國(guó)科技信通部和韓國(guó)互聯(lián)網(wǎng)振興院聯(lián)合發(fā)布的《應(yīng)對(duì)勒索軟件的安全信息系統(tǒng)備份指南（修訂本）》PDF原文及機(jī)翻全文，已上傳三正知識(shí)星球，可按照文末提示方式獲取。）

　　勒索軟件黑客用來(lái)破壞數(shù)據(jù)備份的 4 種技術(shù)

　　過(guò)去，勒索軟件攻擊大多是以不特定的個(gè)人電腦為對(duì)象，通過(guò)加密數(shù)據(jù)并要求支付贖金的方式完成的。但是，最近勒索軟件將能夠支付高額贖金的大型企業(yè)作為主要攻擊目標(biāo)，攻擊方式也不僅局限于加密數(shù)據(jù)，而是以數(shù)據(jù)泄露后將向互聯(lián)網(wǎng)公開為由進(jìn)行威脅，迫使受害個(gè)人或企業(yè)交納贖金，其攻擊方式不斷發(fā)生演變。這種攻擊方式的變化，是因?yàn)閭€(gè)人或企業(yè)將數(shù)據(jù)備份作為勒索軟件的應(yīng)對(duì)策略進(jìn)行了強(qiáng)化，很難再通過(guò)數(shù)據(jù)加密來(lái)獲得收益。

　　如果您不能100%防止感染勒索軟件攻擊，數(shù)據(jù)備份可能是最有效的應(yīng)對(duì)策略。據(jù)悉，由于這種應(yīng)對(duì)策略，勒索軟件攻擊者正在千方百計(jì)為破壞數(shù)據(jù)備份而進(jìn)行不懈努力。據(jù)韓國(guó)互聯(lián)網(wǎng)振興院方面表示，最近勒索軟件攻擊者不僅對(duì)本地或共享驅(qū)動(dòng)器上的備份數(shù)據(jù)進(jìn)行加密，甚至通過(guò)定位和感染基于特定系統(tǒng)的備份數(shù)據(jù)（例如有針對(duì)性的攻擊）的方法，來(lái)癱瘓備份系統(tǒng)。

　　因此，研究分析勒索軟件攻擊者主要使用的數(shù)據(jù)備份破壞技術(shù)，并為各企業(yè)制定應(yīng)對(duì)這種攻擊技法的策略是非常重要的?！吨改稀返牡谝徽赂乓糠纸榻B了勒索軟件攻擊者最常用的4種破壞數(shù)據(jù)備份的技術(shù)，現(xiàn)總結(jié)如下：

　　一是刪除卷影副本。勒索軟件通過(guò)刪除Windows 系統(tǒng)自帶的備份功能卷影復(fù)制（VSC，Volume Shadow Copy）來(lái)阻止恢復(fù)以前的數(shù)據(jù)文件。

　　二是加密網(wǎng)絡(luò)共享備份。部分備份解決方案使用解決方案的默認(rèn)文件夾名稱來(lái)備份網(wǎng)絡(luò)共享路徑中的數(shù)據(jù)。勒索軟件攻擊者在企業(yè)網(wǎng)絡(luò)中尋找這些備份文件夾，并將它們一同加密。

　　三是惡意利用備份解決方案。備份解決方案一般使用自己的應(yīng)用程序編程接口（API）來(lái)管理企業(yè)內(nèi)部的數(shù)據(jù)備份。攻擊者使用竊取的憑證或漏洞訪問(wèn)備份管理API，并利用它來(lái)刪除或加密備份。

　　四是誘導(dǎo)備份損壞數(shù)據(jù)。普通的勒索軟件在初次入侵后會(huì)立即對(duì)數(shù)據(jù)進(jìn)行加密，但最近一些勒索軟件會(huì)秘密滲透到內(nèi)部網(wǎng)絡(luò)并破壞數(shù)據(jù)，等到不完整的數(shù)據(jù)被備份后，再對(duì)原始數(shù)據(jù)進(jìn)行加密。這樣，由于備份數(shù)據(jù)已經(jīng)受損，因此數(shù)據(jù)無(wú)法恢復(fù)正常。

　　對(duì)于數(shù)據(jù)備份，韓國(guó)科技信通部和韓國(guó)互聯(lián)網(wǎng)振興院方面強(qiáng)調(diào)：“勒索軟件是以謀求金錢利益為目的而出現(xiàn)的，并且創(chuàng)收的可能性已經(jīng)被證明，預(yù)計(jì)未來(lái)還會(huì)持續(xù)發(fā)生勒索軟件攻擊，并且攻擊方式也會(huì)不斷改進(jìn)。對(duì)此，作為最有效的應(yīng)對(duì)措施就是數(shù)據(jù)備份，特別是企業(yè)需要考慮一個(gè)不會(huì)失敗的數(shù)據(jù)備份策略至關(guān)重要?！?/p>

　　后記：備份向來(lái)被認(rèn)為是預(yù)防勒索軟件的最后防線，如果備份受到威脅，則整個(gè)安全防線失去最后恢復(fù)的能力，就可能完全淪陷。