摘要
病毒已经成为重要的网络安全威胁,病毒的防护应从基础网络安全和存储安全两方面入手,基础网络安全主要负责病毒的预防、发现、清除,安全存储技术则可以防范数据被病毒加密、避免数据泄露以及支持数据安全恢复。以研究病毒的攻击特征和流程为基础,介绍与之对应的网络安全防护架构,并针对存储安全技术和架构进行论述。 关键词: 数据安全; 数据保护; 病毒; 存储技术; 备份恢复策略
Abstract
Ransomware is a type of malware that has become a significant threat to network security. To protect against ransomware attacks, organizations should focus on network security and implementing the data storage policies to defend themselves. Network security consists of
malware prevention, detection and removal. At the same time,the storage security should involves the policies creating and technical support. This paper tries to demonstrate the ransomware attact and introduce the network security protection architecture, to discuss the secure storage technologies and architecture.
Keywords: data security; ransomware; data storage technology; backup and recovery strategies
0 引言
病毒持续威胁数字经济发展,网络安全问题中病毒排名第三[1]。2021年,病毒占网络攻击比例为10%,全球大约37%组织表示遭受过病毒攻击,全网总攻击次数高达2 234 万次[2-3]。在攻击目标方面,病毒也从早期的随机选择升级为针对政府、金融、医疗等关键信息基础设施的定点,严重威胁国家安全、经济发展乃至社会稳定。
病毒难以根除的主要原因:一方面病毒传播方式多样,传统网络安全防护技术无法完全覆盖;另一方面安全存储技术体系要求不够完善,数据存储层防护措施应用不足。随着
整体数据规模持续增长,制定防标准,建立覆盖网络、存储的全方位的技术防范标准体系是解决病毒威胁的必要途径。本文将以病毒的攻击特征和流程为基础,介绍与之对应的网络安全防护架构,并针对存储安全技术和架构进行论述。
1 病毒攻防介绍
1.1 病毒攻击手段
病毒攻击手段多样,常见的病毒传播方式包括邮件传播、木马传播、系统漏洞、介质传播(如违规U盘使用)、远程桌面协议(Remote Desktop Protocol,RDP)暴力破解攻击等,近两年出现的病毒通过供应链攻击方式进一步提升防护难度。2021年7月,攻击者利用美国软件公司Kaseya的产品进行病毒传播,造成该公司800 ~ 1 500 个企业用户被,赎金要求高达7 000 万美元[4]。与此同时,病毒的攻击可以由网络技术、供应链乃至个人用户实施,传统防火墙、沙箱等网络层安全防护技术无法完全覆盖。
1.2 病毒攻击流程
目前,已知的病毒种类有上百种,攻击流程分为几个阶段:侦查探测→攻击植入→分析感
染→扫描备份→文件加密→用户通知→赎金支付(见图1)。
图1
图1 软件入侵过程
病毒在前三个阶段,主要通过漏洞利用、RDP爆破等方式对目标进行探测直至感染文件,网络安全人员在此期间需要通过静态文件分析、黑名单、文件引诱、监事异常活动等方式进行处置。从第四个阶段开始,病毒会对包括备份系统在内的所有系统进行横向扫描,待确定目标后,从第四个阶段开始进行加密、修改后缀名、删除原始文件以及生成信息等操作。对于攻击者而言,要实现成功拿到赎金,每个阶段操作都必不可少。而对于从事安全的专业人员而言,则需要在前三个阶段发现病毒,一旦病毒跨越了前三个阶段,则需要利用安全备份策略和安全存储相关技术对病毒进行处置。
1.3 病毒加密机理
病毒加密基本步骤为用一个或者多个对称算法加密被攻击者的文件,然后再用非对称算法对密钥进行加密。对称密钥通常在被攻击者的系统上随机生成,非对称密钥可以是本地编码,或者从攻击者控制服务器获取。不同的病毒使用的算法也有所差异,有的病毒使用非对称加密(如WannaCry病毒),有的使用椭圆曲线加密(如CTB Locker),无论哪种加密方式,均难以被破解。与此同时,病毒加密速度也对数据安全造成威胁,如LockBit 变体每分钟可加密25 000 个文件[5],对安全人员的响应和处置速度造成巨大威胁。
2 安全存储技术应对策略
病毒风险主要集中在四个方面:一是文件加密,目前病毒密钥普遍是2 048 bit,一旦文件被加密破解的可能性几乎为零;二是数据泄露,当用户拒绝支付赎金,攻击者会将数据公开;三是横向传播,当病毒进入生产系统之后,会进行横向扫描,造成近端以及远程备份中心的文件感染;四是副本污染,当病毒感染源文件之后,备份文件也会携带病毒。
要解决上述问题,需要安全存储技术实现三个功能,分别为“文件不能篡改”“病毒不能传播”“内
容不能破解”。对于存储环境应具备四种技术:首先,通过AIR GAP技术降低病毒攻击面,使其无法扫描、传输到远端系统;其次,通过一写多读(Write Once Read Many,WORM)/安全快照技术实现文件在设定时间内无法被加密;再次,通过存储加密技术保证数据在被盗取之后也无法读出内容;最后,通过存储侧检测提高病毒检出率和检测范围。图2为安全存储技术架构示意图。
