無論你是在何處託管的數據(公有雲、私有數據中心還是本地),很多對抗勒索軟體的策略(例如定期備份)都是相同的。
然而,運營數據中心的企業可以部署一些特殊的措施,以降低成為勒索軟體攻擊受害者的風險。當你控制了基礎設施和託管設施的各個方面時,就可以採取一些措施來降低勒索軟體威脅,而這在其他方面是不可能的。
為此,本文介紹了降低數據中心勒索軟體風險的一些可行策略。
基本的勒索軟體緩解策略
在深入研究適用於數據中心的反勒索軟體策略之前,我們先討論一下在任何類型環境中防止勒索軟體的通用技巧。標準最佳實踐包括:
備份數據:如果你定期備份數據,就可以在勒索軟體攻擊後從備份中進行恢復,而無需支付贖金。
監控威脅:持續的監控可以幫助你檢測出是否存在勒索軟體攻擊者用來加密數據的惡意軟體,從而在某些情況下在資訊被勒索之前就能阻止攻擊。
教育用戶:對員工、客戶、承包商和其他利益相關者進行有關勒索軟體和相關風險的教育,可以降低有人陷入詐騙事件的幾率。
最大限度地減少暴露:關閉不必要的網路埠、遵循最小特權原則、關閉無關工作負載等做法,會讓威脅行為者更難實施勒索軟體攻擊。
同樣地,你可以在任何地方執行這些操作,而不僅僅是在私有數據中心託管環境中。
阻止數據中心的勒索軟體
但是,當你運營著自己的數據中心(或使用託管設施)以託管工作負載的時候,可以採取其他措施來防範勒索軟體,而這些措施在大多數其他環境中是具有挑戰性或者不可能採取的。
氣隙系統
首先,你可以隔離數據和工作負載。氣隙,意味著完全斷開資源與網際網路的連接,完全防止任何網路攻擊。這在勒索軟體保護的背景下尤其是有價值的,因為這意味著你幾乎可以保證數據備份不會被攻擊者訪問,攻擊者有時會試圖破壞備份,讓受害者在不支付贖金的情況下無法恢復數據。
在公有雲中通常不太可能運用氣隙方法,因為公有雲是不能斷開網路的。你能做的最好的事情,就是將其放置在不直接暴露於網際網路的專用網路上,但仍可能暴露給已經存在於環境中的攻擊者。如果使用私有數據中心的話,你就可以完全控制基礎設施,並且如果你願意,就可以從物理上斷開數據與網路的連接。
異地備份
私有數據中心還可以更輕鬆地維護異地備份,這意味著備份數據是保存在一個與託管生產工作負載的物理位置相互分開的物理位置上。異地備份提供了針對勒索軟體的另一道防線,確保你即使是在整個數據中心設施在攻擊中受到損害的情況下,也擁有一組可以恢復的安全資訊。
雖然可以通過將備份數據下載到你選擇的位置以便從公有雲中創建異地備份,但你必須依靠網路來移動數據,如果有大量數據要移動,這可能需要很長時間。而通過你自己的數據中心,就可以將數據直接複製到存儲介質,然後將介質移動到你選擇的位置上。
數字孿生
在數據中心環境中,數字孿生是IT環境的一種完整複製。數字孿生提供了一個環境,讓組織可以切換到這個環境中來防範勒索軟體風險,以便在主要環境中因為勒索軟體攻擊而受到損害時保持連續性。
如果你願意的話,可以在公有雲中維護數字孿生,但這樣做往往成本更高且更加複雜,因為它實際上會讓你支付的雲資源量增加一倍。你還必須實施一項計劃將雲環境切換到備份環境,由於涉及許多變量(例如網路規則和IAM策略),這個計劃可能是很複雜的。
在一個數據中心內,你可以更經濟高效地維護數字孿生,例如,使用舊硬體來託管數字孿生環境。你也無需擔心在勒索軟體攻擊後調整配置(例如IAM規則)以將請求重定向到備份環境。
物理安全
由惡意的內部人員(例如員工)發起的勒索軟體攻擊所帶來的風險越來越大。在這方面,私有數據中心的優勢在於讓組織能夠更好地控制物理安全,幫助他們以精細的方式管理誰可以訪問內部基礎設施和數據。
公有雲中的物理安全控制措施也非常出色,但不同的是,如果使用公有雲,你就必須把物理安全委託給第三方,而第三方無法保證設施中不存在惡意內部人員。在你自己的數據中心中,你完全有能力管理對設施的訪問權,以及監控各項活動,作為檢測勒索軟體風險和其他威脅的一種手段。
結論
如果你得出數據中心本質上不易遭受勒索軟體攻擊的結論,那麼這是錯誤的。與任何環境一樣,數據中心也可能而且經常受到勒索軟體的攻擊。然而,數據中心運營商可以採用那些在其他類型環境中可能並不實用的、針對勒索軟體的預防措施,從而讓使用數據中心託管工作負載的企業在打擊勒索軟體方面取得優勢。
