【MarketTrend】应付勒索软件预防胜于治疗

作者：Veeam亚洲及日本系统工程师总监吴孔煜

Tematica Research 将 2017 年命为“勒索软件之年”实在不为过。经过 WannaCry 和 Petya 全球大规模的袭击之后，企业已明白再不能忽视网络安全风险。即使企业正在努力避免受袭，恐怕未来勒索软件攻击只会有增无减。早前有报道指出，罪犯已开始将恶意软件发展成 Ransomware-as-a-Service（RaaS）相关的业务。这种模式大大降低了部署和使用勒索软件的要求，将来即使没有技术专长的罪犯，也可以使用这些恶意软件来发动袭击。

企业损失远超遗失数据

很多企业误以为勒索软件只会袭击个人电脑而忽略数据中心的保护，这是非常错误和危险的想法。数据中心是储存所有数据的关键基建，一旦受到勒索软件攻击，将为企业带来大规模的影响。

事实上，因勒索软件造成的损失远远超过勒索赎金。普遍来说，勒索软件要求的赎金一般不会超过一千美元，但勒索软件攻击引起的业务中断却会构成更严重的损失。2017 年《Veeam 可用性报告》发现，意外停机令本港企业全年平均损失接近 1.7 亿港元。此外，业务中断也会损害企业的声誉及员工对企业公司的信任。研究显示，近六成本港企业面临客户信心受损，更有一半企业的品牌诚信受损。在内部影响方面，多近四成企业表示员工会因为停机和数据遗失而信心下降，比全球数字为高。

预防胜于治疗

无奈，企业若受到勒索软件的袭击时并没有真正选择权。首先，支付赎金不能保证可取回数据。我们不鼓励企业支付赎金，因为这只会鼓励更多罪犯以同样方式攻击企业。既然支付赎金并不可行，企业又无法在科技及勒索软件日新月异的情况下可靠地阻止所有的攻击，在面对勒索软件时基本只有两个选择：从备份复元数据或完全放弃数据。

在理想的情况下，我们希望更多企业能够做出更好的选择，在袭击发生前投资于数据可用性及备份复元。投资的重点是要保持数据的可复元性，并且让企业在一旦受袭时以最短时间复元数据及恢复业务。建议企业可从两方面提升对勒索软件的免疫力。

第一，从用户和员工层面作培训，以有效检测和处理可​​疑电子邮件附件和网站。

第二，从 IT 基建及数据层面作好准备功夫。

对企业来说，最基本而有效的方法是采用“3-2-1-1”守则处理备份。“3-2-1-1”守则意思是：建立 3 份关键数据备份并储存于 2 个不同媒体上（磁盘和磁带），1 个在异地，1 个则在离线环境。在现今勒索软件肆虐的时代，企业绝对需要利用网络空隙以完全隔绝防勒索软件或恶意软件，保障备份数据免受恶意软件的影响。离线储存媒体的最佳例子是磁带媒体，企业亦可考虑可拆式或转盘式系统。

除了基建及数据备份上的准备，企业亦要确保有一个良好的可用性策略，清楚计划好其 IT 团队面临勒索软件攻击时的处理程序和任务，方才将企业损失减至最低。