1.過去一年全球勒索病毒概覽
援引cyberint發(fā)布的Ransomware Recap 2023����,全球勒索軟件攻擊次數(shù)較去年大幅增長,達到4832起���,相較于2022年的2640起����,增長幅度驚人����。這一增長不僅體現(xiàn)在數(shù)量上,更體現(xiàn)在攻擊的全球性和蔓延趨勢上����。今年,服務行業(yè)�����、IT行業(yè)和制造業(yè)成為勒索攻擊的主要目標�����,這些行業(yè)的數(shù)據(jù)豐富性和重要性使其成為攻擊者的首選。而在國內(nèi)�����,制造業(yè)�、科技和醫(yī)療行業(yè)受勒索病毒影響最為嚴重���,這與其業(yè)務連續(xù)性和系統(tǒng)可用性的高要求密切相關����。
行業(yè)層面��,從受害者數(shù)量來看���,攻擊者比較鐘愛服務業(yè)��、零售業(yè)�、制造業(yè)�����、金融業(yè)和教育業(yè)
對比各個2022年和2023年各個季度的勒索事件,均有大幅增加
在國家層面美國是遭受勒索病毒最嚴重的國家���,中國未進前十
勒索病毒層面看 Lockbit 絕對是在2023年最火熱的勒索病毒
從操作系統(tǒng)層面看�,根據(jù)360安全2022年3/7月統(tǒng)計數(shù)據(jù)��,可以看出window家族占據(jù)了90%以上的份額��,在others中除去window家族的其他版本�����,Linux和Unix的占比應該不會超過5%��!
2.盤點2023年重大勒索事件
A.BLACKCAT 入侵西數(shù)
2023 年3 月��,西數(shù)被BlackCat/ALPHV 入侵���。4 月西數(shù)對外披露了被入侵的情況�����,隨后在5 月5 日承認了數(shù)據(jù)泄露���。
B.皇家郵政被 LOCKBIT 攻陷
2023 年年初�����,皇家郵政被勒索軟件中斷大約六周�����。LockBit 最開始勒索近8000 萬美元�,后來又降低一半���?�?蔁o論要加多少,都被皇家郵政董事會斷然拒絕后�����,攻擊者將竊取的44GB 數(shù)據(jù)對外發(fā)布���。
C.臺積電供應商Kinmax Technology被Lockbit攻陷
知名勒索病毒團伙 LockBit 聲稱攻擊了臺積電�,并向臺積電勒索 7000 萬美元用于泄露數(shù)據(jù)的贖金�,支付的最后期限為今年的 8 月 6 日;臺積電雖然證實了上述信息�,但卻表示并未受到網(wǎng)絡攻擊,而是臺積電的一家 IT 硬件供應商(Kinmax Technology)的信息被泄露了,上面用的也是這家供應商的數(shù)據(jù)��。臺積電表示�,這是該次網(wǎng)絡安全事件導致 Kinmax Technology 服務器初始設置和配置相關信息被泄露,臺積電有影響但不涉及業(yè)務����。
D.拉斯維加斯酒店巨擘被 Scattered Spider 勒索
2023 年9 月,拉斯維加斯酒店與賭博巨頭美高梅國際酒店和凱撒娛樂成為了勒索軟件的受害者��。米高梅所屬應用程序���、自動取款機�����、老虎機和信用卡機都受到波及��,預計帶來超過一億美元的損失計提����。凱撒娛樂則被竊取數(shù)萬人的相關信息�����,共計超過 6TB 的數(shù)據(jù)。
E.中國工商銀行美國子公司中Lockbit病毒
中國工商銀行在美全資子公司——工銀金融服務有限責任公司(ICBCFS)當?shù)貢r間上星期四(11月9日)在官網(wǎng)發(fā)布聲明稱�����,美東時間11月8日��,ICBCFS遭勒索軟件攻擊����,導致部分系統(tǒng)中斷。據(jù)路透社星期二(11月14日)報道��,Lockbit的代表通過通訊應用程序Tox說�����,“他們支付了贖金�,交易完成�。”不過�,路透社無法獨立核實上述聲明。中國工商銀行也還未對此置評���。
3.數(shù)據(jù)庫如何預防勒索病毒
防病毒防勒索是一個很大的信息安全話題����,作為一個數(shù)據(jù)庫博主這里主要站在數(shù)據(jù)庫的角度來討論,如何做好數(shù)據(jù)庫的防勒索工作
3.1 操作系統(tǒng)
從前面的統(tǒng)計數(shù)據(jù)可以看到中勒索病毒的操作系統(tǒng)超過95%都是window平臺�,如果你的數(shù)據(jù)庫是跑在Linux那么中招的概率就會大大降低;如果是小機平臺Unix(AIX,Solaris,HPUX)基本上可以高枕無憂了����,畢竟黑客也不太會費精力去攻擊這些小眾又難搞的平臺,收益率太低�!
所以關鍵業(yè)務系統(tǒng)的數(shù)據(jù)庫強烈建議使用Linux平臺,無論是安全性和穩(wěn)定性都是更優(yōu)的選擇�。
3.2 訪問控制
目前主流的做法是使用跳板機來做訪問控制,其中最重要的兩點就是密碼托管和訪問端口變更��, 如不適用默認端口��,window RDP端口3389和Linuxssh端口22���,建議修改并禁用默認端口����。
3.3 備份至關重要
備份����!備份�!備份����!無論是應對勒索病毒還是硬件故障還是誤操作,備份都是至關重要�����!備份是最后的防火墻��! 以Lockbit為例����,這些勒索病毒在攻入內(nèi)網(wǎng)后,后優(yōu)先查找備份服務器和文件類服務器��,并對它們進行加密���。博主曾深入了解過Lockbit勒索事件����,某公司因為備份的master和media主機都是windows平臺�����,導致備份也全部被加密���,導致后續(xù)的恢復工作難度大大增加�!目前主流的勒索軟件都是以加密文件為主�����,如數(shù)據(jù)庫的dbf等�,并不會獲取數(shù)據(jù)庫內(nèi)的數(shù)據(jù),以破壞主題的業(yè)務為主�!如果有安全完善的備份,遭遇勒索是不會太慌的�����!
A:如果沒有商業(yè)備份軟件�,建議除了本地保存?zhèn)浞菸募猓瑫r在異機(Linux平臺)保存?zhèn)浞菸募?�,并將該主機做最嚴格的安全訪問控制
B:強烈建議有條件的企業(yè)使用商業(yè)備份軟件�����,目前主流的商業(yè)備份軟件都有防勒索功能(NBU,Veeam,Commvault等)也就是:不可變存儲 備份軟件支持不可變存儲備份選項�����,確保備份數(shù)據(jù)一旦寫入就無法被修改或刪除。這意味著即使數(shù)據(jù)庫中的數(shù)據(jù)受到勒索病毒攻擊��,備份數(shù)據(jù)仍然保持原樣���,可以用于恢復受損的系統(tǒng)和數(shù)據(jù)��。 另外備份軟件還有 加密備份和多版本備份 可以大大提供數(shù)據(jù)庫的安全性����。
3.4 數(shù)據(jù)庫防火墻
專業(yè)的數(shù)據(jù)庫防火墻算是高級安全選項�����,比如oracle的AVDF(Oracle Audit Vault and Database Firewall)可以做到更細粒度的審計和數(shù)據(jù)庫防火墻功能���,當然也是收費的�,國內(nèi)也有第三方公司在做這方面的工作如啟明星辰等���。
4. 后記
博主算是中國最早一批信息安全專業(yè)畢業(yè)生��,2001年武漢大學設立了全國第一個信息安全專業(yè)��,2002年全國十幾家高校設立信息安全專業(yè)�,博主是2003年入學���,也是母校的第二屆信息安全專業(yè)學生���。但是沒有趕上時代的浪潮,畢業(yè)時市面上幾乎沒有專門的信息安全崗位����,大部分同學也都是和計算機專業(yè)一樣從事相關IT行業(yè),全班四十多人至今還在從事信息安全專業(yè)的可能不足五人��。
瀟湘秦
gh_c0959d55e585
分享數(shù)據(jù)庫知識�,精通oracle數(shù)據(jù)庫搭建,備份恢復��,troubleshooting�����,性能調(diào)優(yōu)���;CSDN/墨天倫ID:瀟湘秦 歡迎關注
該文章在 2024/4/9 22:57:57 編輯過
400 186 1886
