有漏洞的地方就会有勒索软件,而且漏洞不一定在企业的内部,去年的一系列重大供应链攻击已经证明了这一点。因此企业将勒索软件的防御注意力都集中在了漏洞管理上,却往往忽视了其他环节。
过去,企业的数据存储解决方案通常被视为IT基础设施架构而不是网络安全战略的一部分,因此很多人忽视了对象存储在勒索软件攻击中保护关键资产的重要价值。
包括服务器、网络和存储在内的信息技术(IT)基础架构堆栈的每一层都对企业的安全态势非常重要,存储也不例外。企业已经部署了多种类型的存储,包括网络附加存储(NAS)、存储区域网络 (SAN)和对象存储,每一种都针对不同类型的数据、工作负载和用例进行了优化。
由于非结构化数据内容的快速增长,对象存储已成为现代企业IT环境的共同基石。对象存储广泛部署在安全敏感领域,例如金融服务、医疗(医院和生物科学)、政府机构等。
虽然对象存储(以及其他存储技术)本身也是整体安全基础架构堆栈的通用组成部分,但业务系统的对象存储层(正确配置后)还可以用来提高勒索软件防御能力,并帮助企业更快地从勒索软件攻击中恢复,具体如下:
身份验证和访问控制
对象存储解决方案需要身份验证,它应该在用户进入时验证用户并确保他们被授权。理想情况下,用户必须首先创建一个帐户,使用该帐户访问数据时,用户还需要出示他们的访问密钥,否则将被锁定。
身份验证是安全的关键要素,可确保只有授权用户才能访问数据存储环境中的信息,并将不良行为者拒之门外。一些对象存储解决方案提供多租户模型,在亚马逊的AWS云中称为身份和访问管理(IAM)。这提供了分离租户帐户和用户的概念,以确保数据保持隔离且未经授权的用户无法访问。
网络安全主管们可以在对象存储解决方案中使用最小权限访问原则——强制执行用户执行工作所需的最低用户权限级别或最低权限级别。管理员必须明确允许哪些操作,并通过精细控制来允许/拒绝对数据的特定操作的访问。
安全数据加密的价值
安全性的另一个重要基础是加密,它有两个部分。首先是流动的数据和请求,这意味着如果一个请求进入系统,它应该被加密。这样可以杜绝窥探技术,防止攻击者通过抓包来获取请求信息。这通常是通过安全套接字层(SSL)完成的,同时也意味着需要部署安全证书。安全通过加密,用户可以安全地连接到系统和端点,这既适用于数据,也适用于命令。
加密的第二部分是静态加密,通常是安全专业人员存储数据时的加密操作。某些存储解决方案中提供对象级加密功能,用户可以决定对哪些数据进行加密。
对象存储如何防止勒索软件
数据不变性是对象存储的天然属性——这意味着数据不能像文件系统那样就地更新。相反,对象存储只提供创建、读取和删除数据的基本操作。例如,在Amazon S3存储桶(容器)层启用版本控制,对现有对象的任何写入都将在存储新版本之前保留以前的版本,这意味着对象的先前版本状态具备恢复能力。
网络安全专业人员还可以借助另一种技术来确保数据不变性:例如,通过Amazon S3的对象锁定API进行对象锁定。该操作对数据实施了不可撤销的保留期,在此期间无法更新、修改或删除对象。这使得勒索软件难以通过加密数据的方式来勒索赎金。这种方法适用于任何静态存储的数据,无论是主副本还是辅助(备份)副本,可以有效防御勒索软件的数据加密攻击。
此外,网络安全人员还可以通过对象存储的版本控制、对象锁定和自然数据不变性等功能和特性,以在关键任务用例中实现勒索软件保护和恢复能力。
总结
如今所有行业,不同规模企业都面临日益猖獗的勒索软件攻击的威胁。存储系统貌似与企业的网络安全态势和策略关系不大,但它恰恰可能是最佳的防御环节。对象存储的一些特性和组件,例如加密、身份验证和数据不变性,使其对于保护敏感数据免受勒索软件攻击至关重要,有助于为企业数据中心打造牢不可破的云存储,有效防止勒索软件攻击。