新冠疫情下，人們的生活發生了極大的改變，足不出戶就可以遠程辦公、在線問診以及線上聽課，生產、服務、消費等場景都變得在線化。隨著線上需求的激增，中國企業也向數字化、智能化的方向加速轉型，利用無服務器、容器和機器學習等新技術，將工作負載從數據中心遷移到云端。然而，中國企業在享受云端數據管理的高性價比、高擴展性及靈活性的優勢時，云安全問題也隨之而來。

    整體來看，大多數中國企業上云的過程是分布實施的，這意味著企業的IT環境會變成混合云、多云的架構，復雜性大幅提高，網絡暴露面加大，企業所面臨的云安全威脅也與日俱增。知己知彼，方能百戰不殆。為了更好的防范云勒索病毒攻擊，我們先來了解一下什么是云勒索病毒。

    什么是云勒索病毒？

    勒索病毒（又稱勒索軟件）是一種能夠感染系統和設備的惡意軟件進程。部署勒索病毒通常是為了阻止被攻擊的企業對其數據、應用和環境的訪問。一旦系統被勒索病毒感染，惡意進程就開始加密文件。然后，該企業會收到要求支付贖金的消息。否則數據就會保持加密狀態，無法繼續使用自己的信息。

    此外，勒索病毒也可能會試圖訪問更多系統，擴大網絡傳播范圍。由于云環境通常是為了方便訪問和使用而構建的，因此云環境一旦被勒索病毒感染，就可能造成重大損失。

    勒索病毒為什么瞄準云？

    首先，企業數據正在向云端遷移。云稱得上是一座“數據金礦”。試圖將數據轉化為可操作的洞見或出售信息的企業注意到了這一點，網絡犯罪分子也注意到了這一點，并且他們也意識到大量涌入云端的數據非常有價值。云計算供應商為全球企業和個人提供服務，而且他們所提供的也不僅僅是簡單的軟件即服務（SaaS）產品。有一些公司會使用數據庫即服務（DBaaS）將整個數據庫轉移到云端。也有一些企業機構使用基礎設施即服務（IaaS）將整個基礎設施轉移到云端。所有這些服務都承載了業務連續性所需的寶貴數據，因而吸引了勒索病毒攻擊者的注意。

    其次，云服務對業務連續性至關重要。為了取得成功，勒索病毒攻擊者必須針對絕對關鍵且不可替代的工作負載，否則被攻擊的企業就沒有支付贖金的動力。由于疫情限制，企業的工作模式逐漸轉為遠程辦公形式。為了給員工提供虛擬工作空間，許多公司傾向于放棄傳統（且速度較慢的）虛擬專用網絡（VPN）。許多IT團隊更傾向于使用虛擬桌面基礎架構（VDI）來自主管理虛擬機（VM）的部署，或運用云端托管桌面即服務（DaaS）產品。所有這些關鍵業務都是攻擊者的目標。

    最后，云資源由多人共享。如果攻擊者設法加密云存儲供應商的服務器，而恰巧被攻擊的服務器也在為許多云用戶提供資源時，攻擊者就會提高單次攻擊的贖金。然后，那些共享同一臺服務器資源的云端用戶迫于業務壓力，不得不屈服支付贖金。而當攻擊者獲得高額利潤后，又間接刺激了勒索病毒攻擊的增長。

    云勒索病毒的攻擊類型及應對建議

    與本地系統不同，由于云的共享資源和Internet可訪問性，云更容易受到服務和環境的影響。為了更好地預防和防范云風險，企業需要全面了解勒索病毒的攻擊方式。聯想凌拓發現，在以下三種情況中，云容易遭到勒索病毒攻擊：勒索病毒同步至云文件共享服務、RansomCloud攻擊（針對云數據的勒索病毒攻擊）和勒索病毒攻擊云服務供應商。同時，我們基于上述三種情況也提供了針對性的建議，幫助企業筑牢云端數據管理防線。

    一.  勒索病毒同步至云文件共享服務

    勒索病毒通常先感染本地計算機，然后再到達云端。勒索病毒在本地機器上滲透進同步到云端的文件共享服務。該惡意進程會對被侵入的機器所存儲的文件進行加密，然后將被破壞的文件傳播到云端。這種類型的攻擊使得企業網絡面臨巨大的風險，一旦感染擴散到云端，企業的整個云共享系統就會遭到威脅。然后，勒索病毒就可以進行網絡傳播，感染其他聯網機器。如果勒索病毒蔓延到沒有備份的文件，被攻擊的企業可能就需要被迫支付贖金。

    為此，我們建議企業從三個維度來防范云勒索攻擊：在主動防御方面，企業應部署結合ONTAP的CryptoSpike防勒索病毒解決方案以保護關鍵的共享文件存儲，拒絕勒索病毒攻擊，并使用能夠防御勒索病毒、保護本地文件的新一代殺毒軟件；在操作系統方面，企業應采用最新安全補丁持續更新操作系統（OS）；在網絡服務方面，企業應使用網絡過濾服務攔截受感染網站。如不幸遭受攻擊時，企業應分三個步驟做好響應對策：首先，企業應立即斷開被感染的設備和系統與互聯網的連接；然后，企業應迅速聯系IT和安全專家來獲取技術支持；最后，企業可使用第一方或第三方解決方案來采取備份和災難恢復策略。

    二.  RansomCloud攻擊

    RansomCloud是一種以Office 365等云端電子郵件服務為目標的新型勒索病毒。攻擊者會使用釣魚郵件來獲取電子郵件賬戶。釣魚郵件看起來跟正常的電子郵件一樣，來誘導和欺騙受害者點擊文件來破壞他們的系統，或誘導受害者為攻擊者提供自己的賬戶訪問權限。一旦攻擊者獲得電子郵件賬戶的訪問權限，他們就可以使用勒索病毒對受害者的電子郵件信息進行加密并對受害者進行金錢勒索。此外，攻擊者還經常使用電子郵件賬戶發起新的攻擊、冒充賬戶所有者、詐騙受害者的家屬并向受害者的聯系人傳播惡意軟件。

    面對RansomCloud攻擊，我們建議企業從兩方面著手：首先，在員工培訓方面，企業應該為員工提供相關攻擊的培訓和最新教育資源，來幫助各級員工了解如何識別、避免和報告網絡釣魚；其次，在受到攻擊時，企業可采取電子郵件備份和災難恢復策略，確保數據在受到攻擊時仍然可用。

    三.  勒索病毒攻擊云服務供應商

    為了增加每次攻擊的收益，攻擊者往往直接針對云供應商，試圖利用漏洞來更大范圍滲透系統。然后，攻擊者就可以要求更多被攻擊的企業支付贖金。因此，企業與云服務供應商合作時，也需要建立一種結構化的合作方式共同防范勒索病毒攻擊。

    因此，我們建議企業在與云服務供應商合作時，要做到以下兩點：首先，企業要有明確的需求。由于服務供應商通常都有自己的勒索病毒恢復計劃，因此，企業要求自己的供應商提供他們的計劃，從而評估該供應商面對重大災難（包括勒索病毒攻擊）的響應能力。另外，企業要制定應對服務中斷的后備計劃。為了確保業務連續性，企業應該自行制定一份關于如何在供應商服務中斷期間繼續運營的計劃。例如企業可以制定使用多家云供應商的多云策略，以確保企業在故障期間也能夠恢復正常運行。企業還可以在基于IaaS架構的服務商環境以及本地的私有云環境中部署CryptoSpike防勒索病毒解決方案以確保關鍵共享文件存儲免受勒索病毒攻擊，并以此制定一項利用本地資源或第三方恢復解決方案的混合云策略。

    放眼未來，隨著中國企業數字化轉型的加速，企業的IT基礎架構將全面進入“云時代”。而在“云時代”，企業固定的防御邊界也不復存在。中國企業只有建立全面的云安全策略，才能從容面對諸如云勒索病毒等“云威脅”，打造安全穩定的IT架構，借助云端優勢，在數字化時代脫穎而出。