近年來勒索攻擊造成的風(fēng)險(xiǎn)不斷上升。2020年，全球勒索攻擊造成的損失達(dá)到200億美元，勒索攻擊占所有攻擊事件的30%以上，已經(jīng)逐步成為企業(yè)面臨的最需要關(guān)注的安全風(fēng)險(xiǎn)之一，而這種風(fēng)險(xiǎn)還在不斷提升。

　　雖然現(xiàn)階段勒索防護(hù)需要采用體系化的手段，即依托終端安全、數(shù)據(jù)安全和安全服務(wù)的多維度防護(hù)，但數(shù)據(jù)恢復(fù)是勒索攻擊防護(hù)的最后一道防線。

　　在調(diào)研中發(fā)現(xiàn)，我國有22%的企業(yè)受到過勒索攻擊，而支付贖金的比例不足一半。對所有的甲方調(diào)研發(fā)現(xiàn)，有55%的用戶選擇在面臨勒索攻擊時(shí)絕不交贖金。大部分的安全專家不建議企業(yè)支付贖金，一方面支付贖金勒索者也可能并不兌現(xiàn)諾言；另一方面攻擊者認(rèn)為交贖金的企業(yè)在面臨勒索更可能交贖金，因此更可能作為下次攻擊的目標(biāo)。在不交贖金的前提下，只有自己盡快恢復(fù)數(shù)據(jù)、系統(tǒng)，才能保證業(yè)務(wù)的連續(xù)性。介于上述行業(yè)背景，本期發(fā)布牛品推薦——戴爾數(shù)據(jù)避風(fēng)港（Cyber Recovery）。

　　#牛品推薦第二十一期 #

　　01

　　標(biāo)簽

　　勒索防護(hù) 數(shù)據(jù)恢復(fù)  智能防護(hù) 備份數(shù)據(jù)保護(hù)

　　02

　　用戶痛點(diǎn)

　　當(dāng)前的勒索軟件已不再是簡單針對單一終端的攻擊。隨著勒索團(tuán)伙專注度的提升，他們已經(jīng)將目標(biāo)放到大型企業(yè)，并在鎖定核心系統(tǒng)或核心數(shù)據(jù)前處于潛伏的狀態(tài)。在調(diào)研中發(fā)現(xiàn)，當(dāng)企業(yè)中勒索軟件后，75%的用戶選擇通過備份恢復(fù)數(shù)據(jù)。這個時(shí)候，備份數(shù)據(jù)是否完整、可靠、能夠立即使用，就成為能否恢復(fù)企業(yè)業(yè)務(wù)的關(guān)鍵。

　　在一個實(shí)際發(fā)生的用戶案例中，勒索軟件只先加密了一臺服務(wù)器中的數(shù)據(jù)，并未全面爆發(fā)。當(dāng)出現(xiàn)服務(wù)器數(shù)據(jù)被加密時(shí)，用戶選擇通過備份數(shù)據(jù)進(jìn)行恢復(fù)。然而，數(shù)據(jù)恢復(fù)時(shí)并沒有對服務(wù)器內(nèi)的勒索軟件進(jìn)行完整查殺，反而勒索軟件通過這個行為找到了非物理隔離的備份服務(wù)器的位置，并對備份數(shù)據(jù)進(jìn)行了加密。當(dāng)勒索軟件在生產(chǎn)網(wǎng)中大規(guī)模爆發(fā)時(shí)，備份數(shù)據(jù)的不可用導(dǎo)致生產(chǎn)網(wǎng)環(huán)境無法恢復(fù)。

　　通常用戶會認(rèn)為擁有數(shù)據(jù)備份系統(tǒng)，當(dāng)基于數(shù)據(jù)的勒索攻擊發(fā)生時(shí)，即可通過備份數(shù)據(jù)完成數(shù)據(jù)恢復(fù)。然而現(xiàn)階段的勒索軟件會在攻擊備份數(shù)據(jù)后再大規(guī)模爆發(fā)，讓用戶無法使用備份數(shù)據(jù)，從而逼迫用戶必須交納贖金。因此，備份數(shù)據(jù)的安全性也應(yīng)成為用戶的關(guān)注點(diǎn)。

　　03

　　解決方案

　　1、方案介紹

　　戴爾數(shù)據(jù)避風(fēng)港（Cyber Recovery）是一種新型數(shù)據(jù)防護(hù)思路，通過對備份數(shù)據(jù)的有效隔離、防護(hù)，保障備份數(shù)據(jù)的安全性，從而在出現(xiàn)數(shù)據(jù)勒索及其它非法數(shù)據(jù)變更時(shí)，能夠有效進(jìn)行數(shù)據(jù)的恢復(fù)工作，快速恢復(fù)業(yè)務(wù)連續(xù)性。

　　Cyber Recovery并不生產(chǎn)備份數(shù)據(jù)，但可以與多種數(shù)據(jù)備份軟件聯(lián)動，保護(hù)備份數(shù)據(jù)在生產(chǎn)階段、存儲階段、應(yīng)用階段的安全性。

　　Cyber Recovery產(chǎn)品理念脫胎于美國Sheltered Harbor項(xiàng)目研究內(nèi)容，即保障網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生時(shí)，美國的金融行業(yè)能夠快速實(shí)現(xiàn)業(yè)務(wù)恢復(fù)，其中數(shù)據(jù)恢復(fù)是業(yè)務(wù)恢復(fù)的重要組成部分。而這時(shí)，一套干凈、可用的備份成為必要的工具。

　　備份數(shù)據(jù)也面臨著風(fēng)險(xiǎn)。由于企業(yè)在擁有備份時(shí)很難選擇支付贖金，因此現(xiàn)在的數(shù)據(jù)勒索的團(tuán)伙通常會先破壞備份文件后再進(jìn)行攻擊。在找到備份數(shù)據(jù)之前，勒索軟件通常處于潛伏的狀態(tài)，即先不加密或者僅加密少量終端，待橫向移動到備份服務(wù)器后，鎖定其中的備份數(shù)據(jù)，然后再對生產(chǎn)環(huán)境中的數(shù)據(jù)進(jìn)行攻擊。

　　Cyber Recovery通過將備份數(shù)據(jù)進(jìn)行隔離，并基于人工智能技術(shù)，對備份數(shù)據(jù)的安全性進(jìn)行巡檢，從而保證一旦需要使用備份數(shù)據(jù)時(shí)，能夠立即使用，并且保證備份數(shù)據(jù)完整、干凈。

　　2、技術(shù)實(shí)現(xiàn)

　　Cyber Recovery具體實(shí)現(xiàn)方式為：將備份數(shù)據(jù)和生產(chǎn)數(shù)據(jù)通過物理方式進(jìn)行隔離，包括生產(chǎn)網(wǎng)在內(nèi)的外部在非授權(quán)下無法訪問到備份數(shù)據(jù)，從而保證備份數(shù)據(jù)的安全性。在生產(chǎn)數(shù)據(jù)與備份數(shù)據(jù)中間，隨機(jī)產(chǎn)生隔離開關(guān)，查看是否有需要備份的數(shù)據(jù)。當(dāng)有需要傳輸?shù)臄?shù)據(jù)時(shí)，通過打開一個時(shí)間窗口進(jìn)行數(shù)據(jù)傳輸，在傳輸結(jié)束后則立馬關(guān)閉接口，保證備份數(shù)據(jù)與生產(chǎn)環(huán)境隔離。當(dāng)沒有需要傳輸?shù)膫浞輸?shù)據(jù)時(shí)，連接立馬斷開，不給惡意軟件可乘之機(jī)。同時(shí)，通過利用機(jī)器學(xué)習(xí)和分析技術(shù)，識別備份數(shù)據(jù)中存在的安全風(fēng)險(xiǎn)，保證及時(shí)發(fā)現(xiàn)勒索軟件對備份數(shù)據(jù)的攻擊行為。

　　Cyber Recover具體可包含四個組成部分：

　　Cyber Recovery Vault（網(wǎng)絡(luò)恢復(fù)存儲區(qū)）：PowerProtect Cyber Recovery Vault 提供多層面保護(hù)，可在應(yīng)對來 自內(nèi)部的網(wǎng)絡(luò)攻擊時(shí)提供高恢復(fù)能力。它將關(guān)鍵數(shù)據(jù)從攻擊面移開，以物理方式將之隔離在數(shù)據(jù)中心的受保護(hù)部分，并需要訪問者另外提供安全憑證和通過多因素檢驗(yàn)才能進(jìn)行訪問。

　　CyberSense：PowerProtect Cyber Recovery是第一個與CyberSense充分集成的解決方案，為備份數(shù)據(jù)增加了智能化保護(hù)層，可在攻擊滲透數(shù)據(jù)中心時(shí)幫助發(fā)現(xiàn)數(shù)據(jù)受損情況。

　　恢復(fù)和糾正：PowerProtect Cyber Recovery提供自動化的恢復(fù)流程，來快速并滿懷信心地將關(guān)鍵業(yè)務(wù)系統(tǒng)重新上線運(yùn)行。

　　解決方案規(guī)劃和設(shè)計(jì)：可選的Dell EMC顧問服務(wù)幫助您確定需要保護(hù)哪些關(guān)鍵業(yè)務(wù)系統(tǒng)，并為相關(guān)的應(yīng)用和服務(wù)、以及恢復(fù)這些應(yīng)用和服務(wù)所需的基礎(chǔ)架構(gòu)建立依存映射。

　　3、方案優(yōu)勢

　　基于隔離的備份數(shù)據(jù)保護(hù)機(jī)制并非戴爾獨(dú)創(chuàng)，但在實(shí)際應(yīng)用當(dāng)中，戴爾Cyber Recovery具備其特有的優(yōu)勢：

　　隨機(jī)的連接建立機(jī)制，減少探測可能：隨機(jī)連接建立保證不會被探測到具體時(shí)間，如果攻擊者有意進(jìn)行針對備份數(shù)據(jù)的攻擊，由于沒有辦法知曉連接開啟時(shí)間，所以無法判斷何時(shí)進(jìn)行攻擊合適。

　　快速判斷是否需要備份數(shù)據(jù)：當(dāng)連接建立后，會判斷是否存在需要備份的數(shù)據(jù)，如果不需要進(jìn)行更新備份，則立即斷開。判定信息通過私有協(xié)議傳輸，當(dāng)不存在需要備份的數(shù)據(jù)時(shí)，僅需在兩個握手時(shí)間內(nèi)即可完成判斷并關(guān)閉連接。這減少了這一連接期間被攻擊的可能性。

　　去重專利技術(shù)，減少存儲空間及傳輸時(shí)間：通過自有專利技術(shù)，將數(shù)據(jù)進(jìn)行去重處理，可以舍去高達(dá)60倍的存儲時(shí)間，同時(shí)也意味著生產(chǎn)環(huán)境和備份環(huán)境的窗口時(shí)間最低只需要全部傳輸?shù)?/60。而減少這一窗口時(shí)間，能夠降低備份服務(wù)器被發(fā)現(xiàn)及被攻擊的概率。

　　備份數(shù)據(jù)的防護(hù)技術(shù)：使用AI/ML技術(shù)對惡意軟件的風(fēng)險(xiǎn)進(jìn)行掃描、分析、偵測，并提供即時(shí)報(bào)警，保證備份數(shù)據(jù)的安全性。當(dāng)備份數(shù)據(jù)被攻擊時(shí)，通過人工智能技術(shù)能夠及時(shí)發(fā)現(xiàn)備份數(shù)據(jù)的安全問題，在備份數(shù)據(jù)完全被破壞前，進(jìn)行惡意軟件查殺，并重新備份干凈的備份數(shù)據(jù)。

　　4、目標(biāo)用戶

　　Cyber Recovery適用于多種用戶，特別是對于有如下特點(diǎn)的用戶，將能提供更有效的數(shù)據(jù)防護(hù)能力：

　　關(guān)鍵信息基礎(chǔ)設(shè)施用戶。關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)成為勒索攻擊者的重要目標(biāo)，同時(shí)由于一旦破壞關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性，會對生產(chǎn)生活造成重大影響。

　　業(yè)務(wù)連續(xù)性要求較高用戶。除關(guān)鍵信息基礎(chǔ)設(shè)施外，一些互聯(lián)網(wǎng)企業(yè)、制造業(yè)同樣對業(yè)務(wù)連續(xù)性有高要求，這類企業(yè)一旦出現(xiàn)業(yè)務(wù)中斷，會對企業(yè)造成重大損失。

　　數(shù)據(jù)資產(chǎn)多的用戶。大數(shù)據(jù)公司、互聯(lián)網(wǎng)企業(yè)、咨詢公司等企業(yè)通常掌握有大量數(shù)據(jù)資產(chǎn)，這類公司的數(shù)據(jù)一旦被勒索受到的損失重大。

　　5、解決問題

　　Cyber Recovery可以有效應(yīng)對的問題包括：

　　勒索攻擊的數(shù)據(jù)恢復(fù)。基于數(shù)據(jù)加密的勒索行為依舊是當(dāng)前勒索攻擊的主要攻擊形式。Cyber Recovery能夠保護(hù)用戶的備份數(shù)據(jù)安全性，并當(dāng)勒索攻擊爆發(fā)式，能夠通過備份數(shù)據(jù)完整恢復(fù)企業(yè)數(shù)據(jù)，從而幫助企業(yè)恢復(fù)業(yè)務(wù)連續(xù)性。

　　非法的數(shù)據(jù)變更恢復(fù)。當(dāng)“從刪庫到跑路”已經(jīng)不再是一個段子時(shí)，企業(yè)就必須面對有意或無意的數(shù)據(jù)非法變更行為。針對有意為之的數(shù)據(jù)刪除行為，Cyber Recovery由于有效將生產(chǎn)網(wǎng)和備份數(shù)據(jù)隔離，所以能夠保護(hù)備份數(shù)據(jù)不會被有益刪除，同時(shí)也為數(shù)據(jù)完整恢復(fù)提供可能。

　　04

　　用戶反饋

　　憑借Cyber Recovery的性能優(yōu)勢及實(shí)際測試的優(yōu)異表現(xiàn)，Dell公司以第一個方案提供者的身份，成為Sheltered Harbor組織的項(xiàng)目合作伙伴。

　　“Cyber Recovery數(shù)據(jù)避風(fēng)港存儲區(qū)按照業(yè)務(wù)發(fā)展的速度不斷擴(kuò)展。CyberSense也是一款出色的工具，其報(bào)告功能和數(shù)據(jù)查看方式讓我能夠堅(jiān)定地告訴董事會：‘網(wǎng)絡(luò)安全值得信賴’。”

　　——Bob Bender ，F(xiàn)ounders Federal Credit Union 首席技術(shù)官

　　“誰也不想因?yàn)樵馐芫W(wǎng)絡(luò)入侵而上報(bào)。Cyber Recovery數(shù)據(jù)避風(fēng)港解決方案是我們?yōu)閿?shù)據(jù)提供另一層保護(hù)的好方法。”

　　——Josh Kohlhoff，

　　威斯康星州道奇縣網(wǎng)絡(luò)管理員

　　安全牛評

　　隨著數(shù)據(jù)成為企業(yè)越來越重要的資產(chǎn)，這些用戶日益重視數(shù)據(jù)的安全。數(shù)據(jù)備份是應(yīng)對突發(fā)安全事件時(shí)，保證業(yè)務(wù)連續(xù)性的必備工具。然而，我們通常認(rèn)為數(shù)據(jù)備份一定是可靠的、干凈的、完整的，卻忽略了對備份數(shù)據(jù)的保護(hù)，這可能導(dǎo)致異常事件發(fā)生時(shí)，用戶的措手不及。

　　Cyber Recovery本質(zhì)是一套備份安全防護(hù)系統(tǒng)。通過物理隔離機(jī)制，惡意軟件和一般用戶均無法觸碰到隔離的備份數(shù)據(jù)。產(chǎn)品針對數(shù)據(jù)加密型勒索具有較強(qiáng)的恢復(fù)機(jī)制，但并非適用于所有類型的勒索攻擊，例如數(shù)據(jù)竊取型勒索。產(chǎn)品針對數(shù)據(jù)的誤操作、非法變更也有適用性。

　　備份數(shù)據(jù)隔離防護(hù)是應(yīng)對數(shù)據(jù)型勒索攻擊的新思路，也是應(yīng)對攻擊的最后一道防線。