近年來(lái)勒索攻擊造成的風(fēng)險(xiǎn)不斷上升。2020年，全球勒索攻擊造成的損失達(dá)到200億美元，勒索攻擊占所有攻擊事件的30%以上，已經(jīng)逐步成為企業(yè)面臨的最需要關(guān)注的安全風(fēng)險(xiǎn)之一，而這種風(fēng)險(xiǎn)還在不斷提升。

　　雖然現(xiàn)階段勒索防護(hù)需要采用體系化的手段，即依托終端安全、數(shù)據(jù)安全和安全服務(wù)的多維度防護(hù)，但數(shù)據(jù)恢復(fù)是勒索攻擊防護(hù)的最后一道防線(xiàn)。

　　在調(diào)研中發(fā)現(xiàn)，我國(guó)有22%的企業(yè)受到過(guò)勒索攻擊，而支付贖金的比例不足一半。對(duì)所有的甲方調(diào)研發(fā)現(xiàn)，有55%的用戶(hù)選擇在面臨勒索攻擊時(shí)絕不交贖金。大部分的安全專(zhuān)家不建議企業(yè)支付贖金，一方面支付贖金勒索者也可能并不兌現(xiàn)諾言；另一方面攻擊者認(rèn)為交贖金的企業(yè)在面臨勒索更可能交贖金，因此更可能作為下次攻擊的目標(biāo)。在不交贖金的前提下，只有自己盡快恢復(fù)數(shù)據(jù)、系統(tǒng)，才能保證業(yè)務(wù)的連續(xù)性。介于上述行業(yè)背景，本期發(fā)布牛品推薦——戴爾數(shù)據(jù)避風(fēng)港（Cyber Recovery）。

　　#牛品推薦第二十一期 #

　　01

　　標(biāo)簽

　　勒索防護(hù) 數(shù)據(jù)恢復(fù)  智能防護(hù) 備份數(shù)據(jù)保護(hù)

　　02

　　用戶(hù)痛點(diǎn)

　　當(dāng)前的勒索軟件已不再是簡(jiǎn)單針對(duì)單一終端的攻擊。隨著勒索團(tuán)伙專(zhuān)注度的提升，他們已經(jīng)將目標(biāo)放到大型企業(yè)，并在鎖定核心系統(tǒng)或核心數(shù)據(jù)前處于潛伏的狀態(tài)。在調(diào)研中發(fā)現(xiàn)，當(dāng)企業(yè)中勒索軟件后，75%的用戶(hù)選擇通過(guò)備份恢復(fù)數(shù)據(jù)。這個(gè)時(shí)候，備份數(shù)據(jù)是否完整、可靠、能夠立即使用，就成為能否恢復(fù)企業(yè)業(yè)務(wù)的關(guān)鍵。

　　在一個(gè)實(shí)際發(fā)生的用戶(hù)案例中，勒索軟件只先加密了一臺(tái)服務(wù)器中的數(shù)據(jù)，并未全面爆發(fā)。當(dāng)出現(xiàn)服務(wù)器數(shù)據(jù)被加密時(shí)，用戶(hù)選擇通過(guò)備份數(shù)據(jù)進(jìn)行恢復(fù)。然而，數(shù)據(jù)恢復(fù)時(shí)并沒(méi)有對(duì)服務(wù)器內(nèi)的勒索軟件進(jìn)行完整查殺，反而勒索軟件通過(guò)這個(gè)行為找到了非物理隔離的備份服務(wù)器的位置，并對(duì)備份數(shù)據(jù)進(jìn)行了加密。當(dāng)勒索軟件在生產(chǎn)網(wǎng)中大規(guī)模爆發(fā)時(shí)，備份數(shù)據(jù)的不可用導(dǎo)致生產(chǎn)網(wǎng)環(huán)境無(wú)法恢復(fù)。

　　通常用戶(hù)會(huì)認(rèn)為擁有數(shù)據(jù)備份系統(tǒng)，當(dāng)基于數(shù)據(jù)的勒索攻擊發(fā)生時(shí)，即可通過(guò)備份數(shù)據(jù)完成數(shù)據(jù)恢復(fù)。然而現(xiàn)階段的勒索軟件會(huì)在攻擊備份數(shù)據(jù)后再大規(guī)模爆發(fā)，讓用戶(hù)無(wú)法使用備份數(shù)據(jù)，從而逼迫用戶(hù)必須交納贖金。因此，備份數(shù)據(jù)的安全性也應(yīng)成為用戶(hù)的關(guān)注點(diǎn)。

　　03

　　解決方案

　　1、方案介紹

　　戴爾數(shù)據(jù)避風(fēng)港（Cyber Recovery）是一種新型數(shù)據(jù)防護(hù)思路，通過(guò)對(duì)備份數(shù)據(jù)的有效隔離、防護(hù)，保障備份數(shù)據(jù)的安全性，從而在出現(xiàn)數(shù)據(jù)勒索及其它非法數(shù)據(jù)變更時(shí)，能夠有效進(jìn)行數(shù)據(jù)的恢復(fù)工作，快速恢復(fù)業(yè)務(wù)連續(xù)性。

　　Cyber Recovery并不生產(chǎn)備份數(shù)據(jù)，但可以與多種數(shù)據(jù)備份軟件聯(lián)動(dòng)，保護(hù)備份數(shù)據(jù)在生產(chǎn)階段、存儲(chǔ)階段、應(yīng)用階段的安全性。

　　Cyber Recovery產(chǎn)品理念脫胎于美國(guó)Sheltered Harbor項(xiàng)目研究?jī)?nèi)容，即保障網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生時(shí)，美國(guó)的金融行業(yè)能夠快速實(shí)現(xiàn)業(yè)務(wù)恢復(fù)，其中數(shù)據(jù)恢復(fù)是業(yè)務(wù)恢復(fù)的重要組成部分。而這時(shí)，一套干凈、可用的備份成為必要的工具。

　　備份數(shù)據(jù)也面臨著風(fēng)險(xiǎn)。由于企業(yè)在擁有備份時(shí)很難選擇支付贖金，因此現(xiàn)在的數(shù)據(jù)勒索的團(tuán)伙通常會(huì)先破壞備份文件后再進(jìn)行攻擊。在找到備份數(shù)據(jù)之前，勒索軟件通常處于潛伏的狀態(tài)，即先不加密或者僅加密少量終端，待橫向移動(dòng)到備份服務(wù)器后，鎖定其中的備份數(shù)據(jù)，然后再對(duì)生產(chǎn)環(huán)境中的數(shù)據(jù)進(jìn)行攻擊。

　　Cyber Recovery通過(guò)將備份數(shù)據(jù)進(jìn)行隔離，并基于人工智能技術(shù)，對(duì)備份數(shù)據(jù)的安全性進(jìn)行巡檢，從而保證一旦需要使用備份數(shù)據(jù)時(shí)，能夠立即使用，并且保證備份數(shù)據(jù)完整、干凈。

　　2、技術(shù)實(shí)現(xiàn)

　　Cyber Recovery具體實(shí)現(xiàn)方式為：將備份數(shù)據(jù)和生產(chǎn)數(shù)據(jù)通過(guò)物理方式進(jìn)行隔離，包括生產(chǎn)網(wǎng)在內(nèi)的外部在非授權(quán)下無(wú)法訪(fǎng)問(wèn)到備份數(shù)據(jù)，從而保證備份數(shù)據(jù)的安全性。在生產(chǎn)數(shù)據(jù)與備份數(shù)據(jù)中間，隨機(jī)產(chǎn)生隔離開(kāi)關(guān)，查看是否有需要備份的數(shù)據(jù)。當(dāng)有需要傳輸?shù)臄?shù)據(jù)時(shí)，通過(guò)打開(kāi)一個(gè)時(shí)間窗口進(jìn)行數(shù)據(jù)傳輸，在傳輸結(jié)束后則立馬關(guān)閉接口，保證備份數(shù)據(jù)與生產(chǎn)環(huán)境隔離。當(dāng)沒(méi)有需要傳輸?shù)膫浞輸?shù)據(jù)時(shí)，連接立馬斷開(kāi)，不給惡意軟件可乘之機(jī)。同時(shí)，通過(guò)利用機(jī)器學(xué)習(xí)和分析技術(shù)，識(shí)別備份數(shù)據(jù)中存在的安全風(fēng)險(xiǎn)，保證及時(shí)發(fā)現(xiàn)勒索軟件對(duì)備份數(shù)據(jù)的攻擊行為。

　　Cyber Recover具體可包含四個(gè)組成部分：

　　Cyber Recovery Vault（網(wǎng)絡(luò)恢復(fù)存儲(chǔ)區(qū)）：PowerProtect Cyber Recovery Vault 提供多層面保護(hù)，可在應(yīng)對(duì)來(lái) 自?xún)?nèi)部的網(wǎng)絡(luò)攻擊時(shí)提供高恢復(fù)能力。它將關(guān)鍵數(shù)據(jù)從攻擊面移開(kāi)，以物理方式將之隔離在數(shù)據(jù)中心的受保護(hù)部分，并需要訪(fǎng)問(wèn)者另外提供安全憑證和通過(guò)多因素檢驗(yàn)才能進(jìn)行訪(fǎng)問(wèn)。

　　CyberSense：PowerProtect Cyber Recovery是第一個(gè)與CyberSense充分集成的解決方案，為備份數(shù)據(jù)增加了智能化保護(hù)層，可在攻擊滲透數(shù)據(jù)中心時(shí)幫助發(fā)現(xiàn)數(shù)據(jù)受損情況。

　　恢復(fù)和糾正：PowerProtect Cyber Recovery提供自動(dòng)化的恢復(fù)流程，來(lái)快速并滿(mǎn)懷信心地將關(guān)鍵業(yè)務(wù)系統(tǒng)重新上線(xiàn)運(yùn)行。

　　解決方案規(guī)劃和設(shè)計(jì)：可選的Dell EMC顧問(wèn)服務(wù)幫助您確定需要保護(hù)哪些關(guān)鍵業(yè)務(wù)系統(tǒng)，并為相關(guān)的應(yīng)用和服務(wù)、以及恢復(fù)這些應(yīng)用和服務(wù)所需的基礎(chǔ)架構(gòu)建立依存映射。

　　3、方案優(yōu)勢(shì)

　　基于隔離的備份數(shù)據(jù)保護(hù)機(jī)制并非戴爾獨(dú)創(chuàng)，但在實(shí)際應(yīng)用當(dāng)中，戴爾Cyber Recovery具備其特有的優(yōu)勢(shì)：

　　隨機(jī)的連接建立機(jī)制，減少探測(cè)可能：隨機(jī)連接建立保證不會(huì)被探測(cè)到具體時(shí)間，如果攻擊者有意進(jìn)行針對(duì)備份數(shù)據(jù)的攻擊，由于沒(méi)有辦法知曉連接開(kāi)啟時(shí)間，所以無(wú)法判斷何時(shí)進(jìn)行攻擊合適。

　　快速判斷是否需要備份數(shù)據(jù)：當(dāng)連接建立后，會(huì)判斷是否存在需要備份的數(shù)據(jù)，如果不需要進(jìn)行更新備份，則立即斷開(kāi)。判定信息通過(guò)私有協(xié)議傳輸，當(dāng)不存在需要備份的數(shù)據(jù)時(shí)，僅需在兩個(gè)握手時(shí)間內(nèi)即可完成判斷并關(guān)閉連接。這減少了這一連接期間被攻擊的可能性。

　　去重專(zhuān)利技術(shù)，減少存儲(chǔ)空間及傳輸時(shí)間：通過(guò)自有專(zhuān)利技術(shù)，將數(shù)據(jù)進(jìn)行去重處理，可以舍去高達(dá)60倍的存儲(chǔ)時(shí)間，同時(shí)也意味著生產(chǎn)環(huán)境和備份環(huán)境的窗口時(shí)間最低只需要全部傳輸?shù)?/60。而減少這一窗口時(shí)間，能夠降低備份服務(wù)器被發(fā)現(xiàn)及被攻擊的概率。

　　備份數(shù)據(jù)的防護(hù)技術(shù)：使用AI/ML技術(shù)對(duì)惡意軟件的風(fēng)險(xiǎn)進(jìn)行掃描、分析、偵測(cè)，并提供即時(shí)報(bào)警，保證備份數(shù)據(jù)的安全性。當(dāng)備份數(shù)據(jù)被攻擊時(shí)，通過(guò)人工智能技術(shù)能夠及時(shí)發(fā)現(xiàn)備份數(shù)據(jù)的安全問(wèn)題，在備份數(shù)據(jù)完全被破壞前，進(jìn)行惡意軟件查殺，并重新備份干凈的備份數(shù)據(jù)。

　　4、目標(biāo)用戶(hù)

　　Cyber Recovery適用于多種用戶(hù)，特別是對(duì)于有如下特點(diǎn)的用戶(hù)，將能提供更有效的數(shù)據(jù)防護(hù)能力：

　　關(guān)鍵信息基礎(chǔ)設(shè)施用戶(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)成為勒索攻擊者的重要目標(biāo)，同時(shí)由于一旦破壞關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性，會(huì)對(duì)生產(chǎn)生活造成重大影響。

　　業(yè)務(wù)連續(xù)性要求較高用戶(hù)。除關(guān)鍵信息基礎(chǔ)設(shè)施外，一些互聯(lián)網(wǎng)企業(yè)、制造業(yè)同樣對(duì)業(yè)務(wù)連續(xù)性有高要求，這類(lèi)企業(yè)一旦出現(xiàn)業(yè)務(wù)中斷，會(huì)對(duì)企業(yè)造成重大損失。

　　數(shù)據(jù)資產(chǎn)多的用戶(hù)。大數(shù)據(jù)公司、互聯(lián)網(wǎng)企業(yè)、咨詢(xún)公司等企業(yè)通常掌握有大量數(shù)據(jù)資產(chǎn)，這類(lèi)公司的數(shù)據(jù)一旦被勒索受到的損失重大。

　　5、解決問(wèn)題

　　Cyber Recovery可以有效應(yīng)對(duì)的問(wèn)題包括：

　　勒索攻擊的數(shù)據(jù)恢復(fù)?；跀?shù)據(jù)加密的勒索行為依舊是當(dāng)前勒索攻擊的主要攻擊形式。Cyber Recovery能夠保護(hù)用戶(hù)的備份數(shù)據(jù)安全性，并當(dāng)勒索攻擊爆發(fā)式，能夠通過(guò)備份數(shù)據(jù)完整恢復(fù)企業(yè)數(shù)據(jù)，從而幫助企業(yè)恢復(fù)業(yè)務(wù)連續(xù)性。

　　非法的數(shù)據(jù)變更恢復(fù)。當(dāng)“從刪庫(kù)到跑路”已經(jīng)不再是一個(gè)段子時(shí)，企業(yè)就必須面對(duì)有意或無(wú)意的數(shù)據(jù)非法變更行為。針對(duì)有意為之的數(shù)據(jù)刪除行為，Cyber Recovery由于有效將生產(chǎn)網(wǎng)和備份數(shù)據(jù)隔離，所以能夠保護(hù)備份數(shù)據(jù)不會(huì)被有益刪除，同時(shí)也為數(shù)據(jù)完整恢復(fù)提供可能。

　　04

　　用戶(hù)反饋

　　憑借Cyber Recovery的性能優(yōu)勢(shì)及實(shí)際測(cè)試的優(yōu)異表現(xiàn)，Dell公司以第一個(gè)方案提供者的身份，成為Sheltered Harbor組織的項(xiàng)目合作伙伴。

　　“Cyber Recovery數(shù)據(jù)避風(fēng)港存儲(chǔ)區(qū)按照業(yè)務(wù)發(fā)展的速度不斷擴(kuò)展。CyberSense也是一款出色的工具，其報(bào)告功能和數(shù)據(jù)查看方式讓我能夠堅(jiān)定地告訴董事會(huì)：‘網(wǎng)絡(luò)安全值得信賴(lài)’?！?/p>

　　——Bob Bender ，F(xiàn)ounders Federal Credit Union 首席技術(shù)官

　　“誰(shuí)也不想因?yàn)樵馐芫W(wǎng)絡(luò)入侵而上報(bào)。Cyber Recovery數(shù)據(jù)避風(fēng)港解決方案是我們?yōu)閿?shù)據(jù)提供另一層保護(hù)的好方法。”

　　——Josh Kohlhoff，

　　威斯康星州道奇縣網(wǎng)絡(luò)管理員

　　安全牛評(píng)

　　隨著數(shù)據(jù)成為企業(yè)越來(lái)越重要的資產(chǎn)，這些用戶(hù)日益重視數(shù)據(jù)的安全。數(shù)據(jù)備份是應(yīng)對(duì)突發(fā)安全事件時(shí)，保證業(yè)務(wù)連續(xù)性的必備工具。然而，我們通常認(rèn)為數(shù)據(jù)備份一定是可靠的、干凈的、完整的，卻忽略了對(duì)備份數(shù)據(jù)的保護(hù)，這可能導(dǎo)致異常事件發(fā)生時(shí)，用戶(hù)的措手不及。

　　Cyber Recovery本質(zhì)是一套備份安全防護(hù)系統(tǒng)。通過(guò)物理隔離機(jī)制，惡意軟件和一般用戶(hù)均無(wú)法觸碰到隔離的備份數(shù)據(jù)。產(chǎn)品針對(duì)數(shù)據(jù)加密型勒索具有較強(qiáng)的恢復(fù)機(jī)制，但并非適用于所有類(lèi)型的勒索攻擊，例如數(shù)據(jù)竊取型勒索。產(chǎn)品針對(duì)數(shù)據(jù)的誤操作、非法變更也有適用性。

　　備份數(shù)據(jù)隔離防護(hù)是應(yīng)對(duì)數(shù)據(jù)型勒索攻擊的新思路，也是應(yīng)對(duì)攻擊的最后一道防線(xiàn)。