大话灾备 | 研华科技被黑客勒索超 9000 万人民币

时间：2020-12-08

近日，Conti 勒索软件团伙袭击了工业自动化和工业物联网（IIoT）芯片制造商 Advantech 研华科技的系统，要求提供 750 比特币（按今天的汇率大约为 1446 万美元，约合 9454 万人民币）的赎金以解密受影响的系统并停止泄漏被盗的公司数据。

芯片龙头频遭攻击，安全风险持续攀升

信息化时代，企业受到的关注度越大，潜在的信息安全风险也就越大。以芯片企业为例，2020 年，全球半导体先进制程之战，将芯片半导体企业推向了聚光灯下，引来众人羡慕眼光的同时，也同样避不开躲在暗处的凶险的凝视。近日，物联网芯片全球领导厂商台湾研华科技，被 Conti 勒索软件团伙入侵了相关系统，要求研华科技递交 750 比特币（按当前汇率大约为 1446 万美元，约合 9454 万人民币）的赎金，以解密受影响的系统并停止泄漏被盗的公司数据。 Conti 勒索软件最早在 2019 年 12 月底在一次孤立的攻击中被发现，该勒索软件与臭名昭著的 Ryuk 共享代码，通过 TrickBot 木马打开的反向外壳进行分发，破坏公司网络并横向传播，直到获得对域管理员凭据的访问权限在内部部署病毒为止。这并不是半导体企业第一次被勒索病毒攻击。早在 2018 年，全球市场占有率高达 56% 的半导体龙头企业台积电也曾遭到勒索软件攻击，攻击病毒为臭名昭著的 WannaCry 变种病毒。事件发生后，台积电原预计在关键的 60 小时 “排毒行动” 后全数排除电脑病毒。然而事与愿违，业务恢复比原先预期慢了约一天，直接导致第三季度受冲击营收约 3%，约为 87 亿元新台币（约合人民币 17.7 亿元）。三天损失近 18 亿人民币，真 “时间就是金钱”。

研华科技遭 Conti 勒索软件攻击｜赎金超 9454 万人民币｜工业芯片安全警示

勒索黑产泛滥：成本低、回报率高、溯源难

此次研华科技遭受 Conti 勒索病毒事件再次为工业企业敲响警钟。与台积电一样，研华科技作为半导体领导厂商，在制造业方面一直以严谨出名，这次发生的病毒入侵事件导致业务中止，让业界再次为之震惊。越来越多的大企业遭遇攻击导致宕机，客观来看是因为勒索软件黑色产业链的滋生，因其具有勒索成本低、技术简单、犯罪回报率高等特点，狡黠异常，各个环节难以控制。另外，以比特币为代表的匿名支付手段和匿名通信网络等间接助长了犯罪，勒索案件往往还牵扯到国际法律等，让追踪溯源变得异常困难。灾备圈专业人士认为，连龙头级大厂都会遇到此问题，且一次导致大范围业务停摆，实属异常，其他业者更是要小心应对。尤其要引起对安全等级保护要求极高的企业警戒，如金融、医疗行业等，更要重视数据安全问题。

异地灾备 + 实时复制：破解勒索攻击的核心方案

谁都无法保证数据及业务的 100% 安全，提前做好灾备工作刻不容缓。在勒索黑产的各个节点上，如果防御者能打破或中断其中一环，整个攻击链就会分崩离析。而整个攻击链的脉门，勒索软件的软肋，就是企业或机构完善的数据安全体系。企业或机构通过数据安全建设，在勒索团伙以为数据被 “偷” 成功时，亮出第二手数据，迅速通过备份中心恢复数据，并可启动备份系统快速接管业务。当然，想要亮出第二手数据并迅速接管中断业务，也需要有足够先进的容灾技术才行。传统单数据中心难抵突发事件无法保障业务连续时，异地容灾、两地三中心这些灾备解决方案，已逐渐成为当下最有效的数据及业务保护架构之一。异地容灾，是在与生产机房有一定距离的异地建立与生产中心类似的灾备中心，采用特定技术（如字节级复制技术）进行数据传输，同步最新数据到容灾中心，以确保备份中心有最新的一份数据用来恢复业务。

▲异地容灾半径＞300km

为了防范勒索病毒或其他非计划性的停机事件，从等级保护到网络安全法，再到金融、医疗、教育、能源等行业监管标准，中国规划建设了一套确保信息安全的保障体系。例如，针对金融行业的金融机构，监管单位要求必须建立异地容灾或两地三中心灾备体系，且异地灾备半径大于 300 公里，不仅可以防范逻辑错误及硬件故障，还可以防止跨区域性的灾难导致数据的丢失。国内芯片制造企业如中芯国际、韦尔半导体等，都对核心生产系统建立了相应的容灾备份方案，对于大型芯片制造商，可以在国内不同地区的生产中心，通过生产中心互为灾备的方式，将生产系统和数据进行实时灾备，实现异地灾备的目标。当然，这涉及到数据复制的关键技术，即不仅要对生产性能影响小，还要适合长距离、窄带宽的传输环境，而传统的定时块复制技术难以适应这种需求。字节级实时数据复制技术可以满足这样的需求，在金融行业应用的较多，如商业银行跨区域的数据迁移，海通证券从上海到东莞南方中心的数据复制等，都采用了这种字节级复制技术，半导体及其他行业的大型机构可以参考。