数据存储防勒索最佳实践白皮书.pdf

1、最佳实践白皮书数据存储防勒索1数据存储防勒索最佳实践白皮书未经普华永道咨询（深圳）有限公司（以下简称“普华永道中国”）和/或香港华为国际有限公司（以下简称“华为”）的书面许可，任何机构和个人不得基于任何商业目的使用本白皮书中的信息(包含报告全部或部分内容)。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容，需要注明“转载自普华永道咨询（深圳）有限公司和香港华为国际有限公司联合发布的数据存储防勒索最佳实践白皮书2023。本白皮书仅提供一般性信息之目的，不应用于替代专业咨询者提供的咨询意见。由于每个客户的需求不尽相同，普华永道中国和/或华为鼓励每个受监管的机构/企业可根据相关法

2、律法规要求，以及其业务相关的其他适用法律法规，来获取适当的实施建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。本白皮书的信息来源于本次调研所收集的数据以及公开的资料，普华永道中国和/或华为对信息的完整性、准确性或及时性概不做出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本白皮书不一致的观点。本白皮书仅供一般参考使用，不构成具体事项和咨询意见，普华永道中国和/或华为不对本白皮书内容承担审慎责任，并且未就本白皮书内容做出任何明示或暗示保证。普华永道中国和/或华为不就本白皮书内

3、容向任何人士承担任何责任或义务，也不向任何人士承担因本白皮书所引起的或与本白皮书有关的任何责任或义务。读者不应依赖本白皮书内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。声明前言前言031.1.勒索软件最新趋势及案例分析勒索软件最新趋势及案例分析051.1 不断发展的网络安全格局061.2 勒索软件的态势071.3 勒索软件案例分析082.全球多国多地区加强网络安全立法全球多国多地区加强网络安全立法123.数据存储防勒索最佳实践数据存储防勒索最佳实践153.1 数据存储防勒索最佳实践163.2 数据存储防勒索防治策略与技术174.关于普华永道中国关于普华永道中国235.关于华为关于华

4、为25英文缩略语英文缩略语27附录附录28目录数据存储防勒索最佳实践白皮书23数据存储防勒索最佳实践白皮书前言全球数字化革命正在以迅猛的速度重塑经济发展与生产生活方式，5G、人工智能、区块链、云计算、物联网等新兴技术得到了快速普及和广泛应用，近年来勒索软件作为最流行和最持久的恶意软件之一，在国内外的攻击态势日益严峻，近期发生的勒索事件已经对国内外政府、高校、医院和各行业领域核心企业造成了严重的影响。加密数据勒索是勒索犯罪中最常采用的手段，勒索者往往通过加密企业核心系统内的重要数据，例如机密文文件数据等，胁迫企业支付赎金以恢复数据。目前攻击者已开始将攻击目标转向企业的内部备份和恢复系统，以提高勒

5、索攻击的成功率。因此，面对勒索软件的攻击，一方面，需要提高网络侧的防护能力，减少被攻破的可能性；另一方面，需要提升数据安全的韧性能力，当网络侧漏防时，应采取有效措施防止数据被加密，及时预警勒索软件的攻击行为，以及当生产数据遭到加密，甚至整个数据中心被“污染”后，保留一份完整、干凈的数据副本，以备及时有效地恢复业务系统。随着全球范围内针对政府机构和关键信息基础设施的网络攻击日益增多，多个国家及地区开始通过立法手段来促进提升企业及机构的网络安全预防能力。2020年11月，美国众议院金融服务委员会资深共和党人Patrick McHenry提出了Ransomware and Financial Sta

6、bilityAct(勒索软件和金融稳定法案)，旨在加强对勒索软件的打击和防范，保护金融机构和个人用户的数据安全。2021年8月，澳大利亚联邦的议会发布RansomwarePaymentsBill2021（勒索软件付款法案2021），该法案的目的是通过获取更准确地信息来了解勒索软件的威胁和产生的成本，以此加强澳大利亚的网络安全。2021年4月，香港银行协会（HKAB）制定 并 发 布 了 SecureTertiaryDataBackup Guideline（STDB）。该指南涵盖了8项高层次原则，分为治理、设计和数据恢复，被视为增强香港金融机构网络弹性和数据安全的有效措施。本白皮书概述了我们对当

7、今网络安全形势的观察和理解，包括对近年来勒索软件攻击的趋势和国内外相关案例的分析，并分享基于数据存储及备份系统的防勒索最佳实践及应用实例。数据存储防勒索最佳实践白皮书4勒索软件最新趋势及案例分析5数据存储防勒索最佳实践白皮书1.1 不断发展的网络安全格局全球数字化革命正在以迅猛的速度重塑经济发展与生产生活方式，随着数字化转型成本的持续降低，企业数字化转型不再是一种奢侈品，而是企业保持竞争力和提升行业创新相关性的必要条件，与此同时，新技术的应用也伴随着新的网络安全风险。新型冠状肺炎的流行加速了数字化转型步伐，远程办公的兴起促使企业拥抱云技术，传统的网络边界和范围变得模糊，威胁边界从机构内部办公场

8、所扩充至与机构网络安全防护程度不同的普通公用、家用场所设备中，不断扩大的攻击面成为了网络罪犯攻击的新目标。近年来，随着勒索软件即服务（RaaS）模式的日渐成熟，勒索攻击的技术门坎越来越低，由此导致了全球勒索软件攻击势头急剧上 升，IBMX-Force威 胁 情 报 指 数（2022）1显示，目前勒索软件已成为大多数组织面临的首要网络威胁之一。21%14%8%8%7%5%5%5%27%23%10%9%13%6%6%5%5%23%20212020图表图表1：2021年与年与2020年的主要攻击类型对比年的主要攻击类型对比1数据存储防勒索最佳实践白皮书61 IBM,2002年度X-Force 威胁情

9、报指数,IBM Security,February 20221.2 勒索软件的态势据全球网络安全最佳实践公司Sophos发布的年度勒索软件态势报告，在针对来自各规模机构的5000多位IT专业人士的调查中显示，2021年期间遭受过勒索软件攻击的机构比例高达66%，是近几年来的高峰。图表图表2：受到勒索软件攻击的机构比例趋势：受到勒索软件攻击的机构比例趋势2，32Sophos,The State of Ransomware 2022,Sophos Ltd.,20 April 2022,https:/ Sophos,The State of Ransomware 2021,Sophos Ltd.,1

10、9 April 2021,https:/ 4%机构恢复所有数据机构恢复所有数据赎金交付情况占比赎金交付情况占比交付赎金交付赎金未未交付赎金交付赎金54%46%7数据存储防勒索最佳实践白皮书1.3 勒索软件案例分析在国内外网络攻击态势日益严峻，勒索软件攻击范围涉及各种不同规模、地点和行业的企业，其中金融、能源和制造行业是勒索攻击的重点行业，且在近几年里，针对政府、教育、医院等各行业的勒索软件攻击事件也越来越多，由此可见，勒索攻击的目标范围正呈现逐步扩大的趋势。1.3.1某国某国政府因勒索软件政府因勒索软件Conti攻击宣布进入攻击宣布进入“国家紧急状态国家紧急状态”2022年，某国政府遭受到了来

11、自勒索软件组织Conti的恶意攻击，涉及范围多达27个政府部门，其中包括财政部的税务系统瘫痪，以及财政部的850多GB的数据被盗，在针对海关的攻击中，导致海关进出口控制流程崩溃。Conti加密了政府机构的计算器网络，并勒索政府支付多达2000万美金的“解锁费”，致使该国进入“国家紧急状态”，这也是历史上首例因勒索软件宣布进入紧急状态的国家。勒索软件Conti于2019年首次被发现，主要因其能够快速加密目标系统而闻名，现已成为网络世界中最具威胁性的勒索软件之一。根据有关网络安全监控服务商的情报分析师表示，勒索软件组织Conti采取了双维度的勒索手段，对政府施加压力：第一，通过加密政府计算器系统对

12、其运行能力造成障碍或瘫痪；第二，若不能按时收到勒索费用，则会泄露政府部门可造成全球性影响的高机密性文件。尽管政府表示不会向Conti支付勒索款，但第三方的网络安全顾问表示此次事件已经对其造成了不可计量的影响。目前在各国都在加速推进数字化产业及产品的时代，各组织需加大对信息系统保护、数据恢复及勒索软件防范等的资源投入，并提升各层级人员的安全防范意识，以应对网络安全攻击可能造成的严重影响。数据存储防勒索最佳实践白皮书89数据存储防勒索最佳实践白皮书1.3.2 某某国家银行遭勒索软件国家银行遭勒索软件REvil攻击被迫攻击被迫关闭所有分行关闭所有分行2020年，南美洲某国国有银行，因内部网络感染RE

13、vil勒索软件，致使大部分的内部服务器和雇员工作站被加密而无法运行，其中受影响的计算器多达12,000台。勒索软件REvil于2019年首次被发现。REvil的其中一种攻击形式，则是通过钓鱼邮件对目标安装木马程序，然后通过横向渗透感染以获取企业的域和服务器权限，从而登录到多台电脑主机后安装病毒。REvil勒索团队以攻击大型机构而闻名，主要通过加密计算器系统或环境，以及威胁泄露个人信息及机密文件而进行双重勒索。据相关调查人员表示，银行内部网络感染病毒是由于内部员工收到并打开了一份被黑客设置了后门的恶意文档，导致黑客后续在公司内部网络安装了勒索软件。起初，银行尝试在不被发现的情况下恢复相关服务的运

14、行，但由于病毒涉及的范围较大导致银行被迫关闭分支，甚至对其国家的支付和交易产生了影响。为应对勒索软件，银行聘用了第三方网络安全专家，与警方的信息安全部门保持联系，并适当分割内部网络以限制病毒的再度扩张。据网上流传消息表示，该银行后续可能与勒索团伙进行了谈判。数据存储防勒索最佳实践白皮书 101.3.3 某墨西哥工厂两年内两次遭遇勒索软件某墨西哥工厂两年内两次遭遇勒索软件攻击攻击2020 年 11 月，DoppelPaymer勒索软件组织袭击了某电子制造巨头墨西哥奇瓦瓦州华雷斯城的工厂，在获取了未加密的机密文件后，攻击组织成功加密了超过1200台服务器，并要求支付3400万美元的赎金。随后，Do

15、ppelPaymer在其勒索软件数据泄漏站点上发布了窃取的部分文件。据相关报道称，攻击组织获取了100GB的未加密文件，并删除了超过20TB的备份文件。该企业后续回应称，其内部网络安全团队已完成软件以及操作系统的安全性更新，同时提高了安全防护层级。该企业两年内发生的第二次勒索软件袭击，是在墨西哥的另一个工厂，位于墨西哥西北边境城市蒂华纳市，该生产工厂在2022年5月下旬遭受了勒索软件的攻击，工厂的运营因勒索软件攻击而中断。该企业没有公布本次攻击期间数据是否被盗，但LockBit 勒索软件组织对外声称从该设施窃取了数据，并威胁如不支付赎金将泄露被盗取的数据。该企业后续回应声称，本次的网络安全攻击

16、对集团整体运营影响不大，其网络安全团队一直在执行相应的恢复计划。不难看出，经历了上一次勒索软件攻击后，该企业完善了恢复计划以支撑他们的业务维持在正常状态，也将本次攻击造成的影响降至更低。1.3.4 日本某汽车制造商全球网络遭勒索攻击日本某汽车制造商全球网络遭勒索攻击据媒体报道，日本某汽车制造商在2020年6月7日发现遭遇勒索软件攻击，当时其美国公司的计算器网络突然中断，并导致工厂被迫停产。该企业被迫关闭其位于美国、土耳其、印度和南美等地的部分工厂以控制干扰，导致生产停顿、产量下降。随后，该企业在对外声明中表示，目前没有证据表明存在个人身份信息泄露，并且已经恢复了大部分工厂的生产，此次的网络攻击

17、不会对其业务产生很大影响。据该企业工作人员透露，其遭受的网络攻击所使用的攻击软件可能是Snake勒索软件。该勒索软件于 2020年1月首次出现，目前仍处于活跃状态。其主要的攻击目标是工业控制系统（ICS）环境，并且攻击范围针对整个网络环境。它能够停止与工业控制系统（ICS）操作相关的很多流程应用程序。目前Snake勒索软件的攻击目标已经覆盖了能源、汽车制造、医疗设备经销等多个工业行业，打击工业控制系统已成为其重要目的。1.3.5 某电力巨头集团多次遭遇网络攻击某电力巨头集团多次遭遇网络攻击2022年10月，某能源供货商集团的安全专家报告称服务器出现了部分问题。与此同时，Everest勒索团伙发

18、布了有关的攻击声明，并声称可以访问该公司的所有服务器，并对其中部分服务器具有root访问权限，以此勒索20万美元。事实上，这并不是该公司首次遭遇网络攻击了，早在2019年2月也曾遭遇过双重安全漏洞，包括一个包含客户信息的数据库和一台感染了Azorult信息窃取木马病毒的公司计算器，其数据库中的客户信息、经修改后的客户信用卡信息、电表信息等敏感数据均被泄露。经后续跟踪调查披露，被感染的原因竟是员工安装了伪装成游戏安装包的病毒软件。11 数据存储防勒索最佳实践白皮书随着政府、公共服务机构、关键信息基础设施成为勒索软件等恶意程序的攻击目标，其涉及的范围不再局限于个别企业，而是提升至国家安全层面的重要

19、问题。在当前不断变化的国际趋势背景下，多个国家及地区开始通过立法手段来提升地区企业及机构的网络安全标准。全球多国多地区加强网络安全立法数据存储防勒索最佳实践白皮书 12随着新兴信息技术的应用和日益更新，网络安全风险不断升级，在当前不断变化的网络安全局势下，多个国家及地区相继出台了多项网络安全和防勒索软件攻击的相关立法，以促进企业及机构提升网络安全防御能力。13 数据存储防勒索最佳实践白皮书美国美国2021年美国相继发生SolarWinds事件、Microsoft Exchange事件和Colonial Pipeline事件等一连串的重大网络安全事件，其中SolarWinds事件更是直接威胁到美

20、国联邦机构和美国各大公司的信息安全，这也直接促使了拜登政府在2021年5月12日签署了Executive Order on Improving the Nations Cybersecurity（改善国家网络安全的行政命令），成为美国当前在网络安全方面最详细的行政命令之一。2020年11月，美国众议院金融服务委员会资深共和党人Patrick McHenry提出了Ransomware and Financial Stability Act(勒索软件和金融稳定法案)，该法案旨在为金融机构提供勒索软件防御和响应指南。法案内容主要包括，当金融机构遭受勒索软件攻击时，应及时通知财政部金融犯罪执法网络（F

21、inCEN），主动提供攻击事件及相关赎金的细节，并做好保密工作。同时，法案对高额赎金的支付规则作出了规定，即金融机构支付的赎金一旦超过10万美元，就需要获得财政部的特别授权。澳大利亚澳大利亚澳大利亚联邦的议会发布的Ransomware Payments Bill 2021（勒索软件付款法案2021）中要求受害实体必须在向黑客团伙支付赎金之前，通知澳大利亚网络安全中心（ACSC），且支付了勒索赎金的政府部门、企业等实体必须主动将勒索攻击及赎金等相关信息提供到指定执法部门，具体信息包括实体名称和联系方式、攻击者信息、勒索金额、支付类型以及已泄露的数据字段等。欧盟欧盟在全球数字化和互联程度不断提高的

22、背景下，网络犯罪活动的数量不断增加，欧盟委员会通过的关于在欧盟全境实现高度统一网络安全措施的指令（NIS2指令）在2023年1月13日正式生效，其取代了2016年生效的网络和信息系统安全规则（NIS指令）。NIS2指令覆盖了更多的关键实体的部门和类型，并加强了企业需要遵守的网络安全监管要求。随着全球各地区政府逐渐加强对网络安全领域的立法，对企业的运行安全能力也提出了更高的要求。企业应该根据相关指南建立一套适合的政策制度，并采取合理有效的技术手段，以确保遵守不断变化的网络安全标准和要求。数据存储防勒索最佳实践白皮书 14中国内地中国内地全球范围内针对关键信息基础设施的网络攻击破坏、窃密等日趋加剧

23、，涉及众多行业领域。在此背景下国务院公布的关键信息基础设施安全保护条例，并在2021年9月1日正式生效。条例明确了关键信息基础设施的保护范围，以及对关键信息基础设施运营者在保障稳定运行和维护数据的完整性、保密性和可用性提出了相应的要求。中国香港地区中国香港地区金融机构及其客户受益于数字化技术的应用，但同时也带来了新的威胁和风险。为了应对不断升级的网络风险，香港银行协会（HKAB）制定并发布了Secure TertiaryData Backup Guideline（三级安全数据备份指南）。该指南提出的安全原则将帮助银行等金融机构在面对已发生的破坏性网络攻击时及时恢复关键功能、服务和系统。新加坡新

24、加坡新加坡政府早在2016年的网络安全战略中提出加强对关键信息基础设施的网络弹性，并以2018年通过的Cybersecurity Act（网络安全法）作为保护关键信息基础设施的立法框架。2021年10月，新加坡政府发布网络安全战略2021以应对网络安全的新威胁，其中在基础设施方面提出了加强数字基础设施以及政府系统的安全与弹性，并将保护范围扩大到除关键信息基础设施外的实体与系统。阿拉伯联合酋长国阿拉伯联合酋长国(UAE)鉴于快速发展的网络威胁，为应对挑战国家安全和危害关键信息资产的黑客活动，阿联酋电信和数字政府监管局于2020年3月发布了UAE Information AssuranceRegu

25、lation（阿联酋信息保障条例）。该条例为实体建立、实施、维护和持续改进信息保障提供了管理和技术信息的安全控制要求。数据存储防勒索最佳实践15 数据存储防勒索最佳实践白皮书3.1 数据存储防勒索最佳实践特性数据存储防勒索最佳实践白皮书 16勒索软件突破企业网络边界防线后，下一个攻击目标即为企业内部存放数据的各种信息系统，生产及备份数据的存储系统就是其中的重点攻击对象，因此，除了网络层的安全防护措施外，数据存储及备份基础架构也需要具备防勒索软件的能力。完善的数据存储及备份基础架构是企业数据安全的最后一道防线，即使在网络侧防护失效，勒索软件攻击到生产中心，造成整个生产中心被感染的极端情况下，保有

26、一份可用于恢复的安全副本，则可帮助企业恢复业务数据。企业的数据存储及备份基础架构应符合以下的九大特性，以具备足够的网络韧性和数据恢复能力，来应对破环性的网络风险。数据备份系统中的数据应保持与它们在存储流程时定义的内容及状态一致，且在保留期间不能被更改或删除。系统应具备数据和活动的完整性控制能力，以确保提取的文件类型和字段值是完整的，且它们的规范是根据源系统中的权威记录进行验证的。防篡改能力防篡改能力应配置适当的工具和机制，保障导入数据存储系统的数据完整、准确且无恶意软件或计算器病毒，促进有效的数据导入和提取。可控性可控性数据存储系统的备份域应在逻辑或物理上与企业的其他网络、系统、基础设施和数据

27、（包括现有的生产和灾难恢复站点）断开连接形成安全隔离区，以便它能够抵御针对性的网络攻击（如勒索软件或恶意内部人员的威胁），并能维护源数据的准确性。安全隔离区安全隔离区数据备份系统应能够在不需要诸如备份设备和相关目录提供的中间功能的情况下进行恢复。系统的数据恢复也不应依赖于企业可能受到损害的任何基础设施。可恢复性可恢复性备份系统的设计应配置大规模并行处理（MPP）和实时流数据的加载来提高运行效率。高性能高性能应配备适当的预防性控制措施（如访问控制和管理）、检测性控制措施（如日志监控和实时警报）并制定相应流程，以确保数据的机密性、完整性和可用性。安全性安全性应建立适当的控制措施和流程，以验证数据在

28、整个生命周期中的状态，并检测篡改或其他形式的数据损坏。可验证可验证应制定适当的控制措施和流程，以减少误报。例如，可能需要至少两个经过认证和授权的资源来启动恢复过程。保障性保障性备份系统的设计应不同于企业生产环境的设计，以减少攻击者利用类似漏洞、设计缺陷或错误配置的可能性。异构性异构性3.2 数据存储防勒索防治策略与技术企业应在数据存储及备份基础架构中配置防勒索技术措施，包括加密技术、数据防篡改技术、检测分析等能力可保证存储内部数据免遭篡改或删除，并可同样通过建立隔离区保证数据安全，以便我们在遭受勒索攻击的时候能快速恢复安全数据，确保企业的正常运营。我们根据行业针对勒索软件的相关研究报告4，以及

29、关于勒索软件防范措施的介绍，在此总结分享了勒索软件攻击的全路径，以及各路径节点下的防治策略与技术参考。图表图表4：勒索软件的攻击路径解析：勒索软件的攻击路径解析44 McAfee,Understanding Ransomware and Strategies to Defeat it,McAfee Labs,March 201617 数据存储防勒索最佳实践白皮书第一步是入侵：通常勒索第一步是入侵：通常勒索软件通过网络钓鱼方式进软件通过网络钓鱼方式进行传播行传播，包括电子邮件附包括电子邮件附件或下载件或下载，恶意广告链接恶意广告链接等手段诱导用户点击并触等手段诱导用户点击并触发恶意代码发恶意代码

30、，进而下载勒进而下载勒索软件并执行索软件并执行。第二步是感染：勒索软第二步是感染：勒索软件到达用户的计算器并件到达用户的计算器并开始运行恶意活动所需开始运行恶意活动所需的进程的进程。阶段一：入侵阶段一：入侵阶段六：勒索阶段六：勒索阶段四：扫描阶段四：扫描第六步是勒索：通常会向被第六步是勒索：通常会向被攻击者的设备发送赎金信息，攻击者的设备发送赎金信息，说明如何支付赎金和付款说明如何支付赎金和付款细节。细节。第四步是扫描：勒索软件进第四步是扫描：勒索软件进程以规则方式搜索系统上的程以规则方式搜索系统上的目标文件。目标文件。阶段五：加密阶段五：加密0102030506阶段二：感染阶段二：感染阶段三

31、：扩散阶段三：扩散第三步是扩散：在这个阶段第三步是扩散：在这个阶段攻击者会进一步与被破坏的攻击者会进一步与被破坏的设 备 建 立 联 系设 备 建 立 联 系，在 命 令在 命 令（Command）和 控 制和 控 制（Control）C2通信期间通信期间，更多的恶意软件也可能被传更多的恶意软件也可能被传递到设备递到设备，同时也会利用内同时也会利用内部网络进行横向传播部网络进行横向传播，造成造成大范围感染大范围感染。04第五步是加密：勒索软件在被第五步是加密：勒索软件在被检测到之前通过对称加密、非检测到之前通过对称加密、非对称加密或两者的组合，这通对称加密或两者的组合，这通常通过移动和重命名目

32、标文件常通过移动和重命名目标文件来完成。来完成。数据存储防勒索最佳实践白皮书 18入侵阶段：入侵阶段：员工的安全意识是预防勒索软件攻击最薄弱的环节，企业应定期对员工进行针对性防勒索攻击的培训。建立建立“人为防火墙人为防火墙”：端点是指可以接收信号的任何设备，包括台式机、笔记本、路由器和打印机等，以及企业的其他物联网设备。保护网络免受勒索软件攻击的最积极的方法是首先防止勒索软件到达端点，应确保所有设备都具有安全配置，不存在安全漏洞。阻止勒索软件到达端点：阻止勒索软件到达端点：勒索软件利用操作系统或应用程序中的漏洞感染端点，因此及时更新操作系统和应用程序安全补丁可以将攻击面降至最低。系统更新和安全

33、补丁：系统更新和安全补丁：垃圾邮件过滤和网络网关过滤是阻止试图通过恶意IP、URL和垃圾电子邮件到达端点的勒索软件的好方法。垃圾邮件过滤和网络网关过滤：垃圾邮件过滤和网络网关过滤：白名单决定了哪些程序可以在终端上运行，从而可以阻止服务器、公司台式机和固定功能设备上未经授权程序的执行，大大减少大多数勒索软件的攻击面。应用白名单：应用白名单：在面对勒索软件攻击时，侦测分析技术可有效拦截已知勒索软件的加密行为，当未知勒索软件对数据进行加密时，能够在第一时间发现异常，及时告警。常见的勒索软件侦测技术包括，通用文件扩展名侦测、静态文件分析、蜜罐文件、批处理文件操作的动态监控等。但由于勒索软件的变种不断地

34、出现，攻击者也会使用各种迷惑性的战术让勒索软件逃避侦测，企业需要充分了解每种侦测方法的优缺点，并使用多种侦测技术才能更好地将勒索软件进行拦截。侦测分析技术侦测分析技术5：5华为,华为存储防勒索解决方案技术白皮书,华为技术有限公司,30 October 2022感染阶段：感染阶段：访问控制可以用于防止勒索软件攻击。当一个恶意程序尝试访问系统时，它需要在访问之前通过访问控制进行身份验证。安全的访问控制措施与策略可以确保只有授权的用户或组才能访问特定的资源，从而防止未经授权的访问和攻击。常见的访问控制措施有基于角色权限管理（RBAC）和多因素身份验证（MFA）。基于角色权限管理（RBAC）是一种有效

35、的访问控制措施，可以根据不同的角色定义不同的访问权限，企业也应针对数据备份业务设置少数人员以控制数据备份的关键操作在可控范围内。多因素身份验证（MFA）是一种更复杂、更安全的身份验证机制，是一种通过呈现多条信息或对象对用户进行身份验证的系统，可以使未经授权的攻击者更加难以访问关键系统或网络。访问控制技术访问控制技术6：通过主机入侵防御系统或编写访问保护规则来阻止这些进程。阻止阻止“未经批准未经批准”的进程更改文件：的进程更改文件：通常在通过电子邮件接收的文文件中不应启用宏。Office宏是勒索软件感染计算器的一种流行方式，因此如果打开未知文档的时候“要求”启用宏时请谨慎选择。谨慎启用宏：谨慎启

36、用宏：19 数据存储防勒索最佳实践白皮书6IDC,IDC Huawei White Paper-Developing Ransomware Resilience,International Data Corporation,February 2023,https:/ Protection Storage Solution,华为技术有限公司,数据存储防勒索最佳实践白皮书 20扩散阶段：扩散阶段：编写规则阻止恶意域是网络防火墙的标准功能。防火墙可以阻止已知的恶意域：防火墙可以阻止已知的恶意域：可以使用代理和网关设备的扫描功能来检索已知勒索软件所控制的服务器的流量，这可以阻止部分依赖公共加密秘钥来进

37、行对称加密的勒索软件，使其无法继续攻击。代理代理/网关流量扫描：网关流量扫描：零信任安全原则默认任何人、设备、系统的访问都视为潜在威胁，并在身份验证前不予信任，从而确保身份可信、设备可信、应用可信和链路可信。零信任原则：零信任原则：气隙隔离（AIR GAP）指通过实施系统网络孤立，将气隙隔离的设备与其他连接的设备隔开，从而避免在线访问，以此创造安全隔离区。将生产存储与备份存储的数据复制到隔离区。若生产存储和备份存储均被勒索软件攻破，可使用隔离区的副本进行数据恢复。非复制期间，复制链路断开，副本处于“脱机状态”，即使勒索者攻破生产网络，也无法入侵安全隔离区的数据，减少被攻击的可能。隔离区存储同样

38、支持安全快照等防篡改特性，为数据增加多层防护。气隙隔离技术气隙隔离技术（AIR GAP）7：备份隔离存储 勒索检测 安全快照/WORM 存储加密备份域备份域AIR GAP备份存储传输链路加密生产隔离存储生产主机 勒索检测 安全快照/WORM 存储加密生产域生产域AIR GAP生产存储生产存储传输链路加密隔离域隔离域7 华为,Ransomware Protection Storage Solution,华为技术有限公司,https:/ 数据存储防勒索最佳实践白皮书5华为,华为存储防勒索解决方案技术白皮书,华为技术有限公司,30 October 2022备份存储安全副本勒索病毒检测快照格式安全快照

39、目录格式WORM文件系统数据存储防勒索最佳实践白皮书 22勒索阶段：勒索阶段：在勒索软件突破防火墙对系统数据、文件进行加密后，数据备份成为了企业能否恢复数据的关键。数据安全备份：数据安全备份：大规模并行处理（MPP）是一种采用大量处理单元对问题进行求解的并行处理技术，具有并行性、灵活性和扩展性三个优势。可以提供更好的并行性能和更高的计算效率，从而更快地完成数据备份和恢复。并行性：大规模并行处理通过将问题分解为若干个子问题，并将这些子问题分配到不同的处理单元中进行求解，从而实现并行处理。由于处理单元（PE）之间的通信和协作是并行的，因此可以获得更高的计算效率和更好的性能。扩展性：大规模并行处理支

40、持集群节点的扩容，可以在不增加硬件成本的情况下实现规模扩展。灵活性：大规模并行处理采用共享内存和互联机制，可以实现任务的分布式存储和计算，从而实现横向扩展。这使得MPP可以适应各种不同的应用场景，包括高性能计算、分布式系统、实时控制等。大规模并行处理架构大规模并行处理架构（MPP）：随着数字化技术的不断发展和应用，创新技术正在深刻地改变着人们的生产方式、生活方式和社会结构。与此同时，网络安全威胁也呈现越来越普遍化、复杂化、隐蔽化和技术化的趋势，对企业造成的影响也越来越严重。由于网络安全问题的影响范围广泛，已经成为企业面临的一项重大挑战，给企业的正常运营和发展带来困扰。网络安全漏洞导致的勒索软件

41、攻击事件频繁发生，给企业带来严重的经济损失，甚至可能导致业务中断。企业应该及时依照相关行业经验或法律法规，不断更新调整自身针对防勒索软件的防治策略，加强预防措施和能力。关于普华永道中国23 数据存储防勒索最佳实践白皮书数据存储防勒索最佳实践白皮书 24普华永道秉承“解决重要问题，营造社会诚信”的企业使命。全球各成员机构组成的网络遍及152个国家和地区，有将近32.8万名员工，致力于在审计、咨询及税务领域提供高质量的服务。其中，普华永道中国内地、香港地区及澳门地区成员机构根据各地适用的法律协作运营，员工总数 超 过 28,000 人，其 中 包 括 逾 1,117 名 合伙人。无论客户身在何处，

42、普华永道均能提供所需的专业意见。我们实务经验丰富、高素质的专业团队能聆听各种意见，帮助客户解决业务问题，发掘并把握机遇，我们的行业专业化有助于就客户关注的领域共创解决方案。关于华为25 数据存储防勒索最佳实践白皮书数据存储防勒索最佳实践白皮书 26华为创立于1987年，是全球领先的ICT（信息与通信）基础设施和智能终端提供商，致力于把数字世界带入每个人、每个家庭、每个组织，构建万物互联的智能世界。目前华为约有19.7万员工，业务遍及170多个国家及地区，服务全球30多亿人口。华为凭借领先的创新技术与能力积累，智能云网、智简全光网、数据中心、数据存储、5GtoB、可信赖服务等产品和最佳实践的竞争

43、力获得业界广泛认可。自2011年成立以来，华为企业业务保持稳健增长，赢得了越来越多的客户和伙伴的信任。截至 2021年底，全球700多个城市、267家世界500强企业选择华为作为数字化转型的合作伙伴。华为从场景、模式和生态三个方面探索行业数字化转型前景与未来，2021年面向政府、交通、金融、能源以及制造等重点行业，发布11大场景化最佳实践。截至2021年底，华为共打造了覆盖10余个行业的 100 多个场景化最佳实践。面向未来，华为将持续围绕伙伴盈利、政策简化、伙伴能力提升、数字化工具和装备打造以及健康生态构建等五个方面，加大对伙伴的投入，深耕伙伴的拓展与运营，构筑长期生存、高速发展基石。英文缩

44、略语缩略语缩略语英文全称英文全称中文全称中文全称STDBSecure Tertiary Data Backup Guideline三级安全数据备份指南HKABThe Hong Kong Association of Banks传输控制协议/互联网络协议HKMAHong Kong Monetary Authority香港金融管理局ACSCThe Australian Cyber Security Centre澳大利亚网络安全中心GBGigabyte十亿字节TBTerabyte太字节RootRoot超级用户权限RaaSRansomware as a Service勒索软件即服务IPInternet

45、 Protocol网际互连协议URLUniform Resource Locator统一资源定位系统ICSIndustrial Control Systems工业控制系统WORMWrite Once Read Many一次写入,多次读取AIR GAPAIR GAP气隙隔离NISThe Network and Information Security(NIS)Directive网络和信息系统安全规则NIS2The NIS2 Directive A high common level of cybersecurity in the EU关于在欧盟全境实现高度统一网络安全措施的指令MPPMassiv

46、e Parallel Processor大规模并行处理计算器DRDisaster Recovery灾难恢复ITInternet Technology互联网技术RBACRole-Based Access Control基于角色的访问控制MFAMulti-Factor Authentication多因子认证PEProcessing Element处理单元ICTInformation and Communications Technology信息与通信技术UAEUnited Arab Emirates阿拉伯联合酋长国27 数据存储防勒索最佳实践白皮书数据存储防勒索最佳实践白皮书 28参考引用：1 I

47、BM,2002年度X-Force 威胁情报指数,IBM Security,February 20222 Sophos,The State of Ransomware 2022,Sophos Ltd.,20 April 2022,https:/ Sophos,The State of Ransomware 2021,Sophos Ltd.,19 April 2021,https:/ McAfee,Understanding Ransomware and Strategies to Defeat it,McAfee Labs,March 20165 华为,华为存储防勒索解决方案技术白皮书,华为技术有限公司,30 October 20226 IDC,IDC Huawei White Paper-Developing Ransomware Resilience,International DataCorporation,February 2023,https:/ 华为,Ransomware Protection Storage Solution,华为技术有限公司,https:/