Nutanix路坦力---WORM 让勒索软件再难得逞

network

WORM 让勒索软件再难得逞

原创 Nutanix  Nutanix路坦力  今天

本文作者是 Priyadarshi Prasad，他是 Nutanix 非结构化数据服务的总经理。他负责的产品和解决方案包括：Mine, Objects 及 AOS 业务连续性/容灾解决方案。


“ Keep It Simple, Stupid ”（简称 KISS，简单明了）是一个永不过时的理念。它强调简洁的重要性。在一次关于谈判策略的研讨会上，来自哈佛大学的 Deepak Malhotra 教授向我介绍了“知识偏差”理论。从那以后，我在工作中（我的工作大部分都围绕沟通这个话题）不断尝试退一步从他人的角度看待问题。

“他人”指的是掌握的信息不像我那么全面的人。由此产生的同理心让我可以更轻松地与他人进行沟通，使我更容易了解他人的固定思维、与他人取得共识。实现设计/产品/服务中的简洁性实际上就是要有换位思考的能力，要站在首席信息官、IT 负责人、IT 从业人员的角度看待问题。


在当前新冠肺炎疫情蔓延全球的背景下，所有这些人都在思考如何才能最有效地为自己的企业提供支持。除了管理内部项目和运营活动之外，他们还必须应对勒索软件攻击等外部因素。以下一段文字引自一篇名为《勒索软件攻击》的文章：

“

4月，国际刑警组织（ INTERPOL ）警告称其‘发现参与抗击疫情的重要机构和基础架构所受到的勒索软件攻击事件大幅增多。’网络罪犯利用勒索软件和信息手段‘电子挟持’医院和医疗服务机构，使它们无法访问重要文件和系统，除非它们交纳‘赎金’。


”
实事求是地说，防范勒索软件并没有什么良方。防范勒索软件是一个范围很广的课题，可能涵盖企业 IT 基础架构的许多方面，包括网络、计算、内存、存储、灾难恢复等等。在这里，我们谈一谈其中一个重点方面——如何保护数据，从而让勒索软件针对数据发起的攻击失效。

勒索软件攻击如何影响企业的数据？通常有两种途径：

盗取数据
攻击者盗取敏感信息，声称将曝光敏感信息，以迫使企业支付“赎金”。记住，尝试盗取数据的人不仅需要入侵企业的网络，而且还必须在企业的基础架构上转移数据。这类数据转移过程要在一段时间之后才能被检测到。
对数据进行加密
攻击者的意图是向企业的基础架构内引入恶意软件，悄悄地对企业数据进行加密。所有数据被加密将直接导致企业的系统/应用无法访问数据，进而导致企业的运营活动完全中断。需要强调的是，加密型攻击不同于盗取数据（因为在数据被盗的情况下，企业仍可访问原始数据）。它是对整个数据集进行加密，使企业应用完全无法访问数据集。实施加密的勒索软件可以让企业陷入濒临崩溃的境地。加密型攻击是悄悄进行的，所以任何企业都无法预测自己什么时候会受到攻击。
为便于理解针对第二种途径的防护策略，我们来看一下加密过程是由哪些步骤组成的。


一个原地加密过程包含三个步骤:

✦ 读取—— 恶意软件从存储介质（磁盘或固态硬盘）读取数据。

✦ 加密—— 读取之后，恶意软件对内存中的数据进行加密。

✦ 写入—— 加密后的数据被写回原地（即原来的位置）。

问题在于，上述过程是完全在企业外部发生的，企业在正常开展业务期间是无法察觉的。也就是说，直到勒索软件完成操作、对整个数据集进行加密之后，企业才会察觉到。

那么，企业如何才能防范这类攻击？

常见的解决方案是保存快照，或者提取备份，使备份与主基础架构相隔离。这类解决方案某些情况下可以发挥作用：如果快照数据未被加密，企业可以通过快照恢复数据；如果攻击者尚未入侵次级备份环境，企业可以通过备份恢复数据。但是，这些“如果”难免让人感到不放心。


下面我们来了解一下“ WORM ”（一次写入、多次读取）。适当设计的 WORM 系统可确保所有数据（无论是什么类型的数据）在设定的时间段内不接受任何写入/更新和/或删除请求，无论这类请求是谁发起的。为便于理解，我们对它也进行了分解。

WORM
⊙禁止覆写：记住，勒索软件会尝试在原地利用加密内容取代正常内容。WORM系统会拒绝此类操作。
⊙禁止删除：某些勒索软件攻击活动尝试在异地制作数据的副本，然后删除原始数据。WORM系统会拒绝删除请求。
⊙禁止缩短（ WORM 期限）：可访问控制/管理 API 的恶意攻击者可能希望缩短WORM期限，即数据被锁定的时间。WORM 系统会拒绝此类操作。注意，为了满足不断变化的监管要求，企业当然可以延长 WORM 期限。
⊙任何人都一视同仁：超级用户/管理员是否可以凌驾于这些 WORM 策略之上？不可以。那来自供应商的支持人员呢？不可以。那来自供应商的工程师/开发人员呢？不可以。一旦内容被 WORM 锁定，任何人在 WORM 期限内都不能取消这一设置。

上面提到的 WORM 自 Nutanix Objects 诞生时就是产品的原生功能。我们将安全性作为三项主要的设计原则之一，在 Nutanix Objects 开发工作的初期就将 WORM 作为设计重点。


使用 Nutanix Objects WORM 有以下三种路径：

1. 让 Nutanix 支持的某个备份合作伙伴（例如 Commvault 、HYCU ）为企业的工作基础架构提供安全保障，将应用所使用的目标存储空间（bucket）直接定义为“ WORM ”。这样，备份数据可以获得安全保障。大多数情况下，这一目标的实现过程对企业的备份软件完全透明。举例来说，如果企业所需的数据保留时间是180天，须在存储空间上将“ WORM ”设置为180天。备份软件侧设置的保留时间应略长于 WORM 期限（例如181天）。这样，当备份软件在其保留期（181天）后尝试清理数据时，Nutanix Objects 将允许这一操作（因为相关数据的 WORM 期限（180天）已经结束）。

重要提示：即使企业的虚拟化应用不和 S3 API 进行通信，企业仍可利用 Objects WORM 保护应用的内容。企业只需利用来自 Nutanix Objects 的某个存储空间启用应用的备份。在此基础上，WORM 可为该存储空间提供保护。

2. 让 WORM 持续保护 Splunk 档案。Nutanix Objects 已通过 Splunk 认证，支持 Splunk Smart Store。企业须根据自身所需的保留时间在某个存储空间上启用 WORM 。这与上文所述的原则类似。

3. 财务/法律/邮件档案：所有可在本地写入S3的应用（例如 IBM FileNet ）均可充分利用 Nutanix Objects WORM 的功能。

Nutanix Objects 支持存储空间上的 WORM，无论存储空间的版本控制状态如何（启用或禁用）。换句话说，无论应用的版本控制要求是什么（许多应用无法与启用版本控制的存储空间一起运行），应用的内容都可以得到保护。

最后一点，就像我之前强调的那样，只有部署大量策略才能防范勒索软件（或在遭遇勒索事件时恢复数据）。防止数据遭遇勒索软件是 Nutanix Objects WORM 最显著的功能之一。对企业有用或适用的最佳组网方法、微分段策略、访问控制策略、备份策略、灾难恢复策略还涉及其他考虑因素。这些话题，您可以参考 Nutanix 的相关文章。

我们每个人都渴望安全。让我们重新构建、不断拓展简单明了的 KISS 理念，持续为安全保驾护航。