勒索軟件 無孔不入

陸英

數(shù)據(jù)存儲提供商Spectra Logic公司日前對公司如何抵御勒索軟件攻擊并從中恢復(fù)的過程進(jìn)行了闡述和分析。

Spectra Logic公司是一家二級存儲提供商，以磁帶庫（例如TFinity）以及采用StorCycle和BlackPearl解決方案的數(shù)據(jù)管理方法而聞名。該公司由創(chuàng)始人Nathan Thompson于40多年前在科羅拉多州博爾德市創(chuàng)立，客戶范圍覆蓋80個國家和地區(qū)。該公司是存儲行業(yè)中一家成熟的公司，但它所經(jīng)歷的故事表明，任何行業(yè)、任何規(guī)模的公司都有可能受到勒索軟件的影響。

Spectra Logic公司員工在2020年5月7日發(fā)現(xiàn)其業(yè)務(wù)系統(tǒng)不能正常工作，并收到一些通知，指出其系統(tǒng)文件被Netwalker加密，服務(wù)器數(shù)據(jù)被鎖定。當(dāng)天晚些時候，該公司的管理者決定必須采取措施和行動，并向美國聯(lián)邦調(diào)查局尋求幫助和建議，在此之后也對外分享了其經(jīng)驗和教訓(xùn)。

該公司收到了支付360萬美元贖金的勒索要求，以阻止更多的損害并開始從網(wǎng)絡(luò)攻擊中恢復(fù)。在發(fā)現(xiàn)受到網(wǎng)絡(luò)攻擊4天之后，該公司的網(wǎng)絡(luò)保險提供商為Spectra公司提供專業(yè)的幫助，Spectra公司的管理層決定不向勒索者支付贖金，采取恢復(fù)措施，并將繼續(xù)深入調(diào)查。

大約1周之后（也就是5月18日），Spectra公司的IT團(tuán)隊實施了恢復(fù)措施，使該公司的基礎(chǔ)設(shè)施能夠再次全面運(yùn)作。然后又花費(fèi)3周的時間完成整體恢復(fù)過程，并宣布勒索軟件攻擊的影響已經(jīng)結(jié)束。

顯然，Spectra公司如何保護(hù)、恢復(fù)和重新啟動其業(yè)務(wù)的教訓(xùn)和行動將使其客戶群和其他人受益。由此，該公司意識到這與人員和技術(shù)有關(guān)，以及在適當(dāng)時機(jī)做出的關(guān)鍵決策。

這次勒索軟件攻擊為該公司帶來重大教訓(xùn)，從而促使其制定了一個名為Attack Hardened的計劃，該計劃涉及對所有產(chǎn)品的審查，并增加了在類似情況下可能有所幫助的功能。

Spectra公司在磁帶庫、BlackPearl和StorCycle產(chǎn)品線中，添加了以下新功能，以加強(qiáng)他們在面臨威脅時的安全防范措施。

磁帶庫：Spectra公司在磁帶庫內(nèi)添加一個介質(zhì)隔離區(qū)，以保持隔離，并防止攻擊“接觸”該區(qū)的磁帶，并在需要時提供更強(qiáng)的間隙。此外，所有磁帶都將進(jìn)行靜態(tài)加密，客戶無需支付任何額外費(fèi)用。

BlackPearl：Spectra公司為不可變存儲安排快照，以提高恢復(fù)點目標(biāo)（RPO）并限制潛在的數(shù)據(jù)差異。還添加了多因素身份驗證以實現(xiàn)復(fù)雜的滲透，并實施了快照機(jī)制，同時還應(yīng)要求提供了Veeam和Commvault等備份軟件。此外，還提供了各種復(fù)制/遠(yuǎn)程拷貝，以增加數(shù)據(jù)冗余并限制數(shù)據(jù)表面上的威脅擴(kuò)散。

StorCycle：Spectra公司添加了加密功能，現(xiàn)在可以將快照存儲在BlackPearl NAS上；支持磁盤、磁帶和云計算，使事情變得無縫、更全面和更簡單。還添加了一個數(shù)據(jù)移動引擎，用于移動數(shù)據(jù)以避免將其保留在同一介質(zhì)上、同一位置或存儲單元中，從而創(chuàng)建隔離區(qū)域。

這表明Spectra Logic公司對于此次事件的反應(yīng)非常積極。該公司為此分享了自己的故事和經(jīng)驗教訓(xùn)，然后添加特定功能以增強(qiáng)對勒索軟件威脅的保護(hù)。