勒索病毒防护浅谈

闲暇无事，翻看朋友圈。看到国内一个做数据恢复业务的朋友，最近发的与客户聊天信息，客户数据被勒索病毒加密，希望他帮忙恢复数据。抛开恢复费用不谈，客户的业务应该中断受影响。另外，能否恢复数据也是未知数，既然数据被勒索病毒加密，能够保证数据没有泄露的可能吗？

基于以上的问题思考，在网上搜索勒索病毒，出现大量对勒索病毒原理，攻击路径分析，以及各种各样的解决方案。但大量方案分析下来对勒索病毒侵入防范占到85%以上，却基本看不到有方案是针对服务器数据授权访问，防止数据篡改以及数据泄露方面的方案。而勒索病毒的目的恰恰是数据。

本着个人职业原因分析下来，我认为可能是知识盲区以及大环境推动下，企业管理人员普遍认为网络安全防护到位，数据安全就算安全的。这种思想非常危险，国家在2021年也分别颁布了《数据安全法》和《个人信息安全保护法》，实际上都在督促企业在思想意识和企业责任上增加对数据安全重视。

有没有一种方案关注数据安全,满足以下问题呢？

1) 既然勒索病毒是对数据进行加密，为什么我们自身不对数据进行加密并把密钥独立出来由专门的系统控制管理；

2) 独立于操作系统本身的权限控制，有第三方组件控制对数据的操作；

3) 授权特定的应用程序对数据进行访问\写入\修改\删除等操作,一旦应用程序被篡改,无法对数据进行访问；

4) 当非法账号读取数据时，会产生大量报警日志告警系统管理人员。

如果基于以上问题考虑,发现泰雷兹CM(ciphertrust manager) +CTE(ciphertrust transparent encryption)是解决此类问题的不错的选择。

从解决勒索问题来看一下CM+CTE产品方案的优势:

1.  密钥是由CM统一管理,密文是由服务器上的CTE保护;

2.  各种权限控制策略是由CM定义,并由CM进行独立了控制;

3.  CM策略定义访问数据的应用程序,并对应用程序进行签名防篡改保护;

4.  CTE客户端保护的数据访问日志上传到CM端,设置报警阈值,通过syslog或者邮箱发送给管理人员,及时发现勒索病毒。

总的来说，简单分析对比此类产品具有防勒索方面的优势，还能够满足国家和企业数据安全治理的合规性要求。当然，具体的应用场景和实际的业务需要进一步实践验证后，有兴趣的专家可以联系安策工程师进行评估，是否有提升数据安全的适用性。