Veeam是一家備份和恢復公司,因此人們可能想知道它為什麼要發布網路安全研究。事實上,勒索軟體恢復已經成為備份和恢復的首要用例。
儘管企業將持續投資資金在安全工具上以抵擋攻擊,但當他們遭到破壞並且數據被鎖定的時候,他們快速恢復數據的能力可能卻是有差異的,有些企業把給業務造成的中斷影響降至了最低,有些則是將比特幣傾囊而出希望能夠得到最好的結果。Veeam 2023勒索軟體趨勢報告對日益增加的勒索軟體威脅,以及企業如何應對提供了很好的現實檢驗。
一家獨立研究公司對1200名IT領導者進行了調研,這些IT領導者所在的組織遍布14個國家/地區,2022年他們至少經歷了一次勒索軟體攻擊。重要的是,Veeam是在廣泛企業基礎上進行的普遍調查,而不是僅僅關注他們自己的客戶,這更真實地表明了勒索軟體的狀況。
受訪者細分如下:安全專業人員(37%)、首席資訊安全官或其他IT高管利益相關者(21%)、IT運營(21%)和備份管理員(21%)。他們解釋了勒索軟體如何影響他們的組織、IT戰略和未來數據保護計劃的。
其中最引人注目的報告發現之一是,有1/7的組織可能有超過80%的數據因勒索軟體攻擊而受損,這反映出許多企業目前實施的保護措施存在的重大缺陷。更糟糕的是,其中有93%的攻擊都是以備份為目標的,在3/4的案例中,攻擊者成功地削弱了組織的恢復能力。平均來看,每次攻擊在檢測到之後至少需要三周才能恢復。
2022年,大多數組織(80%)支付了贖金以恢復數據,比上一年增加了4%。考慮到有41%的組織制定了反對此類付款的政策,這一數據著實令人驚訝。然而,支付贖金並不總能保證數據恢復,因為有21%的組織未能重新獲得對其數據的訪問權限。
這個數據點可能會讓人震驚,但這屢見不鮮。一旦威脅行為者有了錢,他們就沒有動力幫助企業。只有16%的組織通過從備份中恢復數據來避免支付贖金。
該報告強調了數據備份作為抵禦勒索軟體攻擊策略的重要性,尤其是因為網路犯罪分子通常是以備份存儲庫為目標的。幾乎所有(93%)的攻擊都試圖破壞備份,導致75%的組織丟失部分數據,39%的組織丟失所有備份數據。
鑑於這一風險,企業必須確保其備份是「不可變的」或者無法更改或刪除的。好消息是,82%的組織已經在使用不可變雲,而64%的組織使用了不可變磁盤。只有2%的受訪者還沒有在他們的備份解決方案中使用任何形式的不變性。Veeam持樂觀態度,今年將會有越來越多的組織在整個數據保護生命周期中實現不可變數據備份。
另一個有希望的統計數據表明,87%的組織都有風險管理計劃,這種計劃旨在防止網路攻擊。但這些組織中,只有35%的受訪者認為他們的計劃運作良好,而超過一半(52%)的受訪者正在尋求改進。這就是為什麼組織需要有一個「劇本」或者一組步驟,在發生網路攻擊的時候可以按此採取措施。
組織至少應該在他們的「劇本」中包含這兩個步驟。首先,他們應該在安全的地方保存乾淨的額外數據副本。備份副本應該受到保護免受攻擊,並且不包含任何有害或惡意代碼。其次,備份副本中的數據應該用於在主要系統受到攻擊時使組織恢復正常運行。此外,由於備份團隊和網路團隊通常是分離的,因此整個組織應該採用一種統一的方法來應對勒索軟體。
報告中發現的另一個令人擔憂的趨勢是,網路保險的成本增加和覆蓋範圍的縮小。有1/5的IT領導者稱,勒索軟體現在已經被排除在他們的公司政策之外,而大多數人經歷了保費和免賠額的增加,以及保險福利的減少。絕大多數(96%)的網路攻擊受害者可以在2022年使用保險支付贖金,其中有一半的人使用專門針對網路事件設計的保險。
然而,有28%的受害者使用的保險並非專門針對網路事件,18%的人即使有保險也根本沒有使用,那是因為為網路攻擊投保變得越來越困難和昂貴,就像由於暴風雨越來越頻繁而獲得洪水保險越來越難一樣。事實上,有21%的組織表示,他們的保單不再涵蓋勒索軟體攻擊。
該怎麼辦?
該報告強烈建議企業對勒索軟體採取更積極主動的方法。鑑於網路攻擊的可能性很高,每次攻擊都可能導致重大的數據丟失,組織應該高度重視防止網路攻擊和準備有效的恢復策略。
Veeam建議企業維護乾淨的備份副本並定期驗證其可恢復性,作為他們風險管理策略的一部分。其他建議還包括,使用「分階段恢復」來逐漸恢復數據,並防止系統在恢復過程中再次感染。這一點很重要,因為如果恢復受感染的數據,可能會發生第二次勒索事件。最後,實施混合IT架構可以通過把伺服器恢復到不同平台來幫助組織制定整體災難恢復策略。
應該和安全團隊一起制定有關於備份和恢復的資金和政策。從歷史上看,備份和恢復是資金匱乏的領域之一,因為在出現重大問題之前沒人關心備份和恢復。另一方面,安全是組織關注的首要領域,因為包括業務領導者在內的每個人都擔心發生數據泄露。
投入網路保護的所有資金都是為了防止數據泄露。零信任、安全資訊和事件管理、安全編排、自動化和響應、擴展檢測和響應、下一代防火牆和其他工具以不同方式保護企業。
這沒有考慮到最壞的情況,即發生泄露、數據被加密並要求支付贖金。到時,備份和恢復將面臨考驗。如果資金充足,經過測試和重新測試,數據可以快速恢復,贖金可以忽略。
如果不是,好吧,Veeam報告中的數據突出了這些情況的發生,CISO和CIO們必須共同努力,以確保數據保護、備份和恢復的步調是一致的。
