2023数据存储防勒索最佳实践白皮书

数据存储防勒索 最佳实践白皮书 声明 未经普华永道咨询（深圳）有限公司（以下简称“普华永道中国”）和/或香港华为国际有限公司（以下简称“华为”）的书面许可，任何机构和个人不得基于任何商业目的使用本白皮书中的信息(包含报告全部或部分内容)。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容，需要注明“转载自普华永道咨询（深圳）有限公司和香港华为国际有限公司联合发布的 《数据存储防勒索最佳实践白皮书2023》。 本白皮书仅提供一般性信息之目的，不应用于替代专业咨询者提供的咨询意见。由于每个客户的需求不尽相同，普华永道中国和/或华为鼓励每个受监管的机构/企业可根据相关法律法规要求，以及其业务相关的其他适用法律法规，来获取适当的实施建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。 本白皮书的信息来源于本次调研所收集的数据以及公开的资料，普华永道中国和/或华为对信息的完整性、准确性或及时性概不做出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本白皮书不一致的观点。 本白皮书仅供一般参考使用，不构成具体事项和咨询意见，普华永道中国和/或华为不对本白皮书内容承担审慎责任，并且未就本白皮书内容做出任何明示或暗示保证。普华永道中国和/或华为不就本白皮书内容向任何人士承担任何责任或义务，也不向任何人士承担因本白皮书所引起的或与本白皮书有关的任何责任或义务。读者不应依赖本白皮书内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。 目录 前言03 1.勒索软件最新趋势及案例分析05 1.1不断发展的网络安全格局06 1.2勒索软件的态势07 1.3勒索软件案例分析08 2.全球多国多地区加强网络安全立法12 3.数据存储防勒索最佳实践15 3.1数据存储防勒索最佳实践16 3.2数据存储防勒索防治策略与技术17 4.关于普华永道中国23 5.关于华为25 英文缩略语27 附录28 前言 全球数字化革命正在以迅猛的速度重塑经济发展与生产生活方式，5G、人工智能、区块链、云计算、物联网等新兴技术得到了快速普及和广泛应用，近年来勒索软件作为最流行和最持久的恶意软件之一，在国内外的攻击态势日益严峻，近期发生的勒索事件已经对国内外政府、高校、医院和各行业领域核心企业造成了严重的影响。 加密数据勒索是勒索犯罪中最常采用的手段，勒索者往往通过加密企业核心系统内的重要数据，例如机密文文件数据等，胁迫企业支付赎金以恢复数据。目前攻击者已开始将攻击目标转向企业的内部备份和恢复系统，以提高勒索攻击的成功率。 因此，面对勒索软件的攻击，一方面，需要提高网络侧的防护能力，减少被攻破的可能性；另一方面，需要提升数据安全的韧性能力，当网络侧漏防时，应采取有效措施防止数据被加密，及时预警勒索软件的攻击行为，以及当生产数据遭到加密，甚至整个数据中心被“污染”后，保留一份完整、干凈的数据副本，以备及时有效地恢复业务系统。 随着全球范围内针对政府机构和关键信息基础设施的网络攻击日益增多，多个国家及地区开始通过立法手段来促进提升企业及机构的网络安全预防能力。 •2020年11月，美国众议院金融服务委员会 资深共和党人PatrickMcHenry提出了 《RansomwareandFinancialStabilityAct》(勒索软件和金融稳定法案)，旨在加强对勒索软件的打击和防范，保护金融机构和个人用户的数据安全。 •2021年8月，澳大利亚联邦的议会发布 《RansomwarePaymentsBill2021》 （勒索软件付款法案2021），该法案的目的是通过获取更准确地信息来了解勒索软件的威胁和产生的成本，以此加强澳大利亚的网络安全。 •2021年4月，香港银行协会（HKAB）制定并发布了《SecureTertiaryDataBackupGuideline》（STDB）。该指南涵盖了8项高层次原则，分为治理、设计和数据恢复，被视为增强香港金融机构网络弹性和数据安全的有效措施。 本白皮书概述了我们对当今网络安全形势的观察和理解，包括对近年来勒索软件攻击的趋势和国内外相关案例的分析，并分享基于数据存储及备份系统的防勒索最佳实践及应用实例。 勒索软件最新趋势及案例分析 1.1不断发展的网络安全格局 全球数字化革命正在以迅猛的速度重塑经济发展与生产生活方式，随着数字化转型成本的持续降低，企业数字化转型不再是一种奢侈品，而是企业保持竞争力和提升行业创新相关性的必要条件，与此同时，新技术的应用也伴随着新的网络安全风险。 新型冠状肺炎的流行加速了数字化转型步伐，远程办公的兴起促使企业拥抱云技术，传统的网络边界和范围变得模糊，威胁边界从机构内部办公场所扩充至与机构网络安全 防护程度不同的普通公用、家用场所设备中，不断扩大的攻击面成为了网络罪犯攻击的新目标。 近年来，随着勒索软件即服务（RaaS）模式的日渐成熟，勒索攻击的技术门坎越来越低，由此导致了全球勒索软件攻击势头急剧上升，IBM《X-Force威胁情报指数 （2022）》1显示，目前勒索软件已成为大多数组织面临的首要网络威胁之一。 图表1：2021年与2020年的主要攻击类型对比1 27% 23% 23% 21% 14% 13% 10% 8% 9% 8% 7% 6%5%6% 5%5% 5%5% 20212020 1IBM,‘2002年度X-Force威胁情报指数’,IBMSecurity,February2022 1.2勒索软件的态势 据全球网络安全最佳实践公司Sophos发布的年度勒索软件态势报告，在针对来自各规模机构的5000多位IT专业人士的调查中显示，2021年期间遭受过勒索软件攻击的机构比例高达66%，是近几年来的高峰。 图表2：受到勒索软件攻击的机构比例趋势2，3 66% 54% 51% 70% 60% 50% 40% 37% 30% 2017 …201920202021 报告显示，2021年期间被勒索软件成功攻击的机构中，有73%的机构使用了备份数据来恢复数据，同时有46%的机构支付赎金来恢复数据，这反映了很多机构为了提高数据恢复的效率和效果，通常会采用多种数据恢复方式。但采用支付赎金的方式来恢复数据的机构，也并不能保证数据能恢复如初。调查 图表3：受到勒索软件攻击的机构的赎金交付与数据恢复情况2 赎金交付情况占比 在交付了赎金的机构中： 显示，在支付了赎金的机构中，平均能恢复的数据量仅为61%，且极少机构能恢复所有数据（仅占支付赎金机构的4%）。由此可见，依靠支付赎金的方式来恢复所有数据的可能性是很渺茫的。 54%46% 未交付赎金 61%平均恢复的数据量 4%机构恢复所有数据 交付赎金 2Sophos,‘TheStateofRansomware2022’,SophosLtd.,20April2022, https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf 3Sophos,‘TheStateofRansomware2021’,SophosLtd.,19April2021,https://secure2.sophos.com/en- us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf 1.3勒索软件案例分析 数据存储防勒索最佳实践白皮书8 在国内外网络攻击态势日益严峻，勒索软件攻击范围涉及各种不同规模、地点和行业的企业，其中金融、能源和制造行业是勒索攻击的重点行业，且在近几年里，针对政府、教育、医院等各行业的勒索软件攻击事件也越来越多，由此可见，勒索攻击的目标范围正呈现逐步扩大的趋势。 1.3.1某国政府因勒索软件Conti攻击宣布进入“国家紧急状态” 2022年，某国政府遭受到了来自勒索软件组织Conti的恶意攻击，涉及范围多达27个政府部门，其中包括财政部的税务系统瘫痪，以及财政部的850多GB的数据被盗，在针对海关的攻击中，导致海关进出口控制流程崩溃。Conti加密了政府机构的计算器网络，并勒索政府支付多达2000万美金的“解锁费”，致使该国进入“国家紧急状态”，这也是历史上首例因勒索软件宣布进入紧急状态的国家。 勒索软件Conti于2019年首次被发现，主要因其能够快速加密目标系统而闻名，现已成为网络世界中最具威胁性的勒索软件之一。根据有关网络安全监控服务商的情报分析师表示，勒索软件组织Conti采取了双维度的勒索手段，对政府施加压力：第一，通过加密政府计算器系统对其运行能力造成障碍或瘫痪；第二，若不能按时收到勒索费用，则会泄露政府部门可造成全球性影响的高机密性文件。尽管政府表示不会向Conti支付勒索款，但第三方的网络安全顾问表示此次事件已经对其造成了不可计量的影响。 目前在各国都在加速推进数字化产业及产品的时代，各组织需加大对信息系统保护、数据恢复及勒索软件防范等的资源投入，并提升各层级人员的安全防范意识，以应对网络安全攻击可能造成的严重影响。 1.3.2某国家银行遭勒索软件REvil攻击被迫 关闭所有分行 2020年，南美洲某国国有银行，因内部网络感染REvil勒索软件，致使大部分的内部服务器和雇员工作站被加密而无法运行，其中受影响的计算器多达12,000台。 勒索软件REvil于2019年首次被发现。REvil的其中一种攻击形式，则是通过钓鱼邮件对目标安装木马程序，然后通过横向渗透感染以获取企业的域和服务器权限，从而登录到多台电脑主机后安装病毒。REvil勒索团队以攻击大型机构而闻名，主要通过加密计算器系统或环境，以及威胁泄露个人信息及机密文件而进行双重勒索。 据相关调查人员表示，银行内部网络感染病毒是由于内部员工收到并打开了一份被黑客设置了后门的恶意文档，导致黑客后续在公司内部网络安装了勒索软件。起初，银行尝试在不被发现的情况下恢复相关服务的运行，但由于病毒涉及的范围较大导致银行被迫关闭分支，甚至对其国家的支付和交易产生了影响。 为应对勒索软件，银行聘用了第三方网络安全专家，与警方的信息安全部门保持联系，并适当分割内部网络以限制病毒的再度扩张。据网上流传消息表示，该银行后续可能与勒索团伙进行了谈判。 1.3.3某墨西哥工厂两年内两次遭遇勒索软件攻击 2020年11月，DoppelPaymer勒索软件组织袭击了某电子制造巨头墨西哥奇瓦瓦州华雷斯城的工厂，在获取了未加密的机密文件后，攻击组织成功加密了超过1200台服务器，并要求支付3400万美元的赎金。随后，DoppelPaymer在其勒索软件数据泄漏站点上发布了窃取的部分文件。 据相关报道称，攻击组织获取了100GB的未加密文件，并删除了超过20TB的备份文件。该企业后续回应称，其内部网络安全团队已完成软件以及操作系统的安全性更新，同时提高了安全防护层级。 该企业两年内发生的第二次勒索软件袭击，是在墨西哥的另一个工厂，位于墨西哥西北边境城市蒂华纳市，该生产工厂在2022年5月下旬遭受了勒索软件的攻击，工厂的运营因勒索软件攻击而中断。该企业没有公布本次攻击期间数据是否被盗，但LockBit勒索软件组织对外声称从该设施窃取了数据，并威胁如不支付赎金将泄露被盗取的数据。 该企业后续回应声称，本次的网络安全攻击对集团整体运营影响不大，其网络安全团队一直在执行相应的恢复计划。不难看出，经历了上一次勒索软件攻击后，该企业完善了恢复计划以支撑他们的业务维持在正常状态，也将本次攻击造成的影响降至更低。 1.3.4日本某汽车制造商全球网络遭勒索攻击 据媒体报道，日本某汽车制造商在2020年6月7日发现遭遇勒索软件攻击，当时其美国公司