博客

呈现Ransomware一文不值

通过 Priyadarshi普拉萨德
| 最小值

吻:“保持简单,愚蠢”是一个永恒的短语,强调了简单性的重要性。在谈判战略的研讨会期间,Deepak Malhotra教授(哈佛大教授介绍了我的偏见“知识的诅咒从那以后,在我的工作中(主要是沟通),我试着退一步,从另一个角度看问题——“其他人”可能不知道我可能知道的所有信息。由此产生的同理心使沟通更容易,理解不可改变的事情,并朝着共同的方向前进。设计、产品和服务的简洁性都与共情有关——对cio、IT领导者和IT从业人员的共情——他们都在研究如何在新的COVID世界中最好地支持自己的业务。除了管理内部倡议和业务外,他们还必须不断地处理一系列外部问题,包括ransomware攻击

国际警察组织最近互化警告它“检测到针对参与病毒响应的关键组织和基础设施的勒索软件企图攻击数量显著增加。”网络罪犯正在使用勒索软件以数字方式劫持医院和医疗服务机构,阻止他们访问重要文件和系统,直到支付赎金。”

是时候声明一下了:当涉及到防止勒索软件时,没有什么灵丹妙药。这是一个广泛而广泛的主题,可以包含It基础设施的许多方面,包括网络、计算、内存、存储和灾难恢复等。让我们关注一个关键的方面——保护你的数据,使勒索软件攻击无效。

勒索软件攻击如何影响组织的数据?有两种典型的策略:

  1. 窃取数据- 攻击者希望,通过窃取和威胁来暴露敏感信息,他们可以将组织组织支付赎金。请记住,如果有人试图窃取数据,他们不仅必须违背您的网络,他们还必须从您的基础架构开始数据传输,并携带数据传输未检测到一段时间。
  2. 加密数据-攻击者的目标是将恶意软件引入环境,对数据进行静默加密。一旦所有数据都被加密,您的系统和应用程序将无法访问这些数据,从而完全打乱您正在进行的操作。重复一遍,这并不是说您的数据被盗了(在这种情况下,您仍然可以访问原始数据)。相反,您的整个数据集已经加密,使应用程序完全无法访问它。加密勒索软件可以让组织屈服。这种攻击的沉默性质意味着人们永远无法确定攻击何时可能正在进行。

为了理解针对上面(2)的保护策略,让我们看看加密过程由什么组成。就地加密过程包括三个步骤:

  • - 恶意软件从存储介质(磁盘或SSD)读取数据。
  • 加密-在读取时,恶意软件在内存中加密数据。
  • -该数据被写入原位(即,在原始位置)。

当然,所有这一切的挑战是,这个过程完全是在乐队之外发生的,不知道的应用程序正在愉快地进行他们的业务。也就是说,直到勒索软件完成它的工作并加密了整个数据集。

那么你如何保护这样的东西?嗯,通常的解决方案是保留快照或备份并备份并将此类备份远离主要基础架构。他们在选择案例中工作 - 如果Snapshot数据尚未加密,则可以从快照中恢复;如果攻击者尚未渗透辅助备份环境,则可以从备份中恢复。您可能不想将您的安心与那些“IFS”相结合。

进入WORM—写一次读多次。设计合理的WORM系统将确保无论如何,所有数据都将在一段时间内受到保护,不受所有写/更新和删除请求的影响,而不管请求操作的是谁。让我们再分析一遍。

  • 没有覆盖 - 请记住,赎金软件将尝试用加密内容替换定期内容。蠕虫系统会说:“不,谢谢。”
  • 没有删除 - 一些赎金软件攻击将尝试在其他地方进行数据副本,然后删除原始数据。蠕虫系统会说“不,谢谢”到删除请求。
  • 不缩短(WORM持续时间)——访问您的管理api的恶意攻击者可能希望减少数据被锁定的WORM时间。蠕虫系统会说:“不,谢谢。”注:WORM时间段当然可以延长,这对于满足不断变化的监管要求非常有用。
  • 无论谁-是否应该允许超级用户或管理员覆盖这些WORM策略?不。你们供应商的技术支持人员呢?不。你们供应商的工程师和开发人员呢?不。重点是,一旦内容被声明为WORM锁定,在WORM期间绝对没有人能够撤销该设置。"一生的蠕虫,无论疾病还是健康"

如上所述,蠕虫已经自然地建立在第1天以来的营养不良物体。具有安全性是三个指导原则之一的设计,我们决定专注于自由纳内西克对象发展的早期阶段以来的蠕虫。

对象安全层

如何以及在哪里可以使用Nutanix对象WORM?考虑以下三个机会:

  1. 使用我们支持的备份合作伙伴之一,如Commvault和HYCU等,保护您的生产基础设施。只需将这些应用程序使用的目标桶声明为WORM即可。您的备份数据将得到安全保护。顺便说一下,在大多数情况下,这可以完全透明地通过备份软件完成。例如,如果您的保留期要求是180天,那么您将在您的bucket上设置180天的WORM。在备份软件方面,您可以设置一个略高于您的WORM时间(例如,181天)的保留策略。这将确保当您的备份软件试图在其保留期(181天)之后清理数据时,Nutanix Objects将允许它(因为180天的WORM期限将过期的此类数据)。

重要的是要注意:即使您的虚拟化应用程序不使用S3 api,这也是您使用对象WORM保护其内容的一种方式。只需要使用Nutanix对象中的一个桶来启用应用程序的备份。然后,使用WORM保护该桶。

  1. 保持您的Splunk档案保护与WORM - Nutanix对象是Splunk认证支持Splunk SmartStore。与上面描述的原理类似,您可以在您需要的保留期内启用桶上的WORM。
  2. 金融、法律或邮件存档——像IBM FileNet这样可以本地写入S3的应用程序都可以利用Nutanix Objects WORM。

无论桶的版本控制状态(启用或禁用)如何,Nutanix Objects都支持桶的WORM。换句话说,无论您的应用程序的版本控制需求如何,您都可以保护它的内容。这很有用,因为许多应用程序还不能使用版本支持的桶。

最后,正如我在前面提到的,只有当您部署了大量的策略时,才可能对勒索软件进行保护(或从勒索软件中恢复)。保护您的数据免受勒索软件是Nutanix Objects WORM最突出的功能之一。关于网络最佳实践、微分割、访问控制以及备份和灾难恢复,还有其他一些需要考虑的事项,这些可能对您很有用。要了解更多关于Nutanix如何帮助您的勒索软件防御策略,请查看我们的勒索软件威胁技术简报

©2020 Nutanix,Inc。保留所有权利。Untanix,Nutanix徽标和本文提到的其他Nutanix产品和特征是Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅供识别目的,可能是其各自持有人的商标。此帖子可能包含不属于Nutanix.com的外部网站的链接。Nutanix不控制这些网站,并为任何外部网站的内容或准确性提供所有责任。我们决定链接到外部站点的决定不应被视为在此类网站上的任何内容的认可。

这篇文章可能包含明确和隐含的前瞻性陈述,这些陈述不是历史事实,而是基于我们当前的预期、估计和信念。这些声明的准确性涉及风险和不确定性,并取决于未来的事件,包括那些可能超出我们控制的事件,而实际结果可能与这些声明的预期或暗示有实质性和不利的不同。本帖子中包含的任何前瞻性陈述仅在本帖子发布之日起生效,除法律要求外,我们不承担更新或修改此类前瞻性陈述以反映后续事件或情况的义务。

Baidu