近年來勒索攻擊造成的風險不斷上升。2020年，全球勒索攻擊造成的損失達到200億美元，勒索攻擊占所有攻擊事件的30%以上，已經(jīng)逐步成為企業(yè)面臨的最需要關注的安全風險之一，而這種風險還在不斷提升。

　　雖然現(xiàn)階段勒索防護需要采用體系化的手段，即依托終端安全、數(shù)據(jù)安全和安全服務的多維度防護，但數(shù)據(jù)恢復是勒索攻擊防護的最后一道防線。

　　在調(diào)研中發(fā)現(xiàn)，我國有22%的企業(yè)受到過勒索攻擊，而支付贖金的比例不足一半。對所有的甲方調(diào)研發(fā)現(xiàn)，有55%的用戶選擇在面臨勒索攻擊時絕不交贖金。大部分的安全專家不建議企業(yè)支付贖金，一方面支付贖金勒索者也可能并不兌現(xiàn)諾言；另一方面攻擊者認為交贖金的企業(yè)在面臨勒索更可能交贖金，因此更可能作為下次攻擊的目標。在不交贖金的前提下，只有自己盡快恢復數(shù)據(jù)、系統(tǒng)，才能保證業(yè)務的連續(xù)性。介于上述行業(yè)背景，本期發(fā)布牛品推薦——戴爾數(shù)據(jù)避風港（Cyber Recovery）。

　　#牛品推薦第二十一期 #

　　01

　　標簽

　　勒索防護 數(shù)據(jù)恢復  智能防護 備份數(shù)據(jù)保護

　　02

　　用戶痛點

　　當前的勒索軟件已不再是簡單針對單一終端的攻擊。隨著勒索團伙專注度的提升，他們已經(jīng)將目標放到大型企業(yè)，并在鎖定核心系統(tǒng)或核心數(shù)據(jù)前處于潛伏的狀態(tài)。在調(diào)研中發(fā)現(xiàn)，當企業(yè)中勒索軟件后，75%的用戶選擇通過備份恢復數(shù)據(jù)。這個時候，備份數(shù)據(jù)是否完整、可靠、能夠立即使用，就成為能否恢復企業(yè)業(yè)務的關鍵。

　　在一個實際發(fā)生的用戶案例中，勒索軟件只先加密了一臺服務器中的數(shù)據(jù)，并未全面爆發(fā)。當出現(xiàn)服務器數(shù)據(jù)被加密時，用戶選擇通過備份數(shù)據(jù)進行恢復。然而，數(shù)據(jù)恢復時并沒有對服務器內(nèi)的勒索軟件進行完整查殺，反而勒索軟件通過這個行為找到了非物理隔離的備份服務器的位置，并對備份數(shù)據(jù)進行了加密。當勒索軟件在生產(chǎn)網(wǎng)中大規(guī)模爆發(fā)時，備份數(shù)據(jù)的不可用導致生產(chǎn)網(wǎng)環(huán)境無法恢復。

　　通常用戶會認為擁有數(shù)據(jù)備份系統(tǒng)，當基于數(shù)據(jù)的勒索攻擊發(fā)生時，即可通過備份數(shù)據(jù)完成數(shù)據(jù)恢復。然而現(xiàn)階段的勒索軟件會在攻擊備份數(shù)據(jù)后再大規(guī)模爆發(fā)，讓用戶無法使用備份數(shù)據(jù)，從而逼迫用戶必須交納贖金。因此，備份數(shù)據(jù)的安全性也應成為用戶的關注點。

　　03

　　解決方案

　　1、方案介紹

　　戴爾數(shù)據(jù)避風港（Cyber Recovery）是一種新型數(shù)據(jù)防護思路，通過對備份數(shù)據(jù)的有效隔離、防護，保障備份數(shù)據(jù)的安全性，從而在出現(xiàn)數(shù)據(jù)勒索及其它非法數(shù)據(jù)變更時，能夠有效進行數(shù)據(jù)的恢復工作，快速恢復業(yè)務連續(xù)性。

　　Cyber Recovery并不生產(chǎn)備份數(shù)據(jù)，但可以與多種數(shù)據(jù)備份軟件聯(lián)動，保護備份數(shù)據(jù)在生產(chǎn)階段、存儲階段、應用階段的安全性。

　　Cyber Recovery產(chǎn)品理念脫胎于美國Sheltered Harbor項目研究內(nèi)容，即保障網(wǎng)絡安全風險發(fā)生時，美國的金融行業(yè)能夠快速實現(xiàn)業(yè)務恢復，其中數(shù)據(jù)恢復是業(yè)務恢復的重要組成部分。而這時，一套干凈、可用的備份成為必要的工具。

　　備份數(shù)據(jù)也面臨著風險。由于企業(yè)在擁有備份時很難選擇支付贖金，因此現(xiàn)在的數(shù)據(jù)勒索的團伙通常會先破壞備份文件后再進行攻擊。在找到備份數(shù)據(jù)之前，勒索軟件通常處于潛伏的狀態(tài)，即先不加密或者僅加密少量終端，待橫向移動到備份服務器后，鎖定其中的備份數(shù)據(jù)，然后再對生產(chǎn)環(huán)境中的數(shù)據(jù)進行攻擊。

　　Cyber Recovery通過將備份數(shù)據(jù)進行隔離，并基于人工智能技術，對備份數(shù)據(jù)的安全性進行巡檢，從而保證一旦需要使用備份數(shù)據(jù)時，能夠立即使用，并且保證備份數(shù)據(jù)完整、干凈。

　　2、技術實現(xiàn)

　　Cyber Recovery具體實現(xiàn)方式為：將備份數(shù)據(jù)和生產(chǎn)數(shù)據(jù)通過物理方式進行隔離，包括生產(chǎn)網(wǎng)在內(nèi)的外部在非授權下無法訪問到備份數(shù)據(jù)，從而保證備份數(shù)據(jù)的安全性。在生產(chǎn)數(shù)據(jù)與備份數(shù)據(jù)中間，隨機產(chǎn)生隔離開關，查看是否有需要備份的數(shù)據(jù)。當有需要傳輸?shù)臄?shù)據(jù)時，通過打開一個時間窗口進行數(shù)據(jù)傳輸，在傳輸結束后則立馬關閉接口，保證備份數(shù)據(jù)與生產(chǎn)環(huán)境隔離。當沒有需要傳輸?shù)膫浞輸?shù)據(jù)時，連接立馬斷開，不給惡意軟件可乘之機。同時，通過利用機器學習和分析技術，識別備份數(shù)據(jù)中存在的安全風險，保證及時發(fā)現(xiàn)勒索軟件對備份數(shù)據(jù)的攻擊行為。

　　Cyber Recover具體可包含四個組成部分：

　　Cyber Recovery Vault（網(wǎng)絡恢復存儲區(qū)）：PowerProtect Cyber Recovery Vault 提供多層面保護，可在應對來 自內(nèi)部的網(wǎng)絡攻擊時提供高恢復能力。它將關鍵數(shù)據(jù)從攻擊面移開，以物理方式將之隔離在數(shù)據(jù)中心的受保護部分，并需要訪問者另外提供安全憑證和通過多因素檢驗才能進行訪問。

　　CyberSense：PowerProtect Cyber Recovery是第一個與CyberSense充分集成的解決方案，為備份數(shù)據(jù)增加了智能化保護層，可在攻擊滲透數(shù)據(jù)中心時幫助發(fā)現(xiàn)數(shù)據(jù)受損情況。

　　恢復和糾正：PowerProtect Cyber Recovery提供自動化的恢復流程，來快速并滿懷信心地將關鍵業(yè)務系統(tǒng)重新上線運行。

　　解決方案規(guī)劃和設計：可選的Dell EMC顧問服務幫助您確定需要保護哪些關鍵業(yè)務系統(tǒng)，并為相關的應用和服務、以及恢復這些應用和服務所需的基礎架構建立依存映射。

　　3、方案優(yōu)勢

　　基于隔離的備份數(shù)據(jù)保護機制并非戴爾獨創(chuàng)，但在實際應用當中，戴爾Cyber Recovery具備其特有的優(yōu)勢：

　　隨機的連接建立機制，減少探測可能：隨機連接建立保證不會被探測到具體時間，如果攻擊者有意進行針對備份數(shù)據(jù)的攻擊，由于沒有辦法知曉連接開啟時間，所以無法判斷何時進行攻擊合適。

　　快速判斷是否需要備份數(shù)據(jù)：當連接建立后，會判斷是否存在需要備份的數(shù)據(jù)，如果不需要進行更新備份，則立即斷開。判定信息通過私有協(xié)議傳輸，當不存在需要備份的數(shù)據(jù)時，僅需在兩個握手時間內(nèi)即可完成判斷并關閉連接。這減少了這一連接期間被攻擊的可能性。

　　去重專利技術，減少存儲空間及傳輸時間：通過自有專利技術，將數(shù)據(jù)進行去重處理，可以舍去高達60倍的存儲時間，同時也意味著生產(chǎn)環(huán)境和備份環(huán)境的窗口時間最低只需要全部傳輸?shù)?/60。而減少這一窗口時間，能夠降低備份服務器被發(fā)現(xiàn)及被攻擊的概率。

　　備份數(shù)據(jù)的防護技術：使用AI/ML技術對惡意軟件的風險進行掃描、分析、偵測，并提供即時報警，保證備份數(shù)據(jù)的安全性。當備份數(shù)據(jù)被攻擊時，通過人工智能技術能夠及時發(fā)現(xiàn)備份數(shù)據(jù)的安全問題，在備份數(shù)據(jù)完全被破壞前，進行惡意軟件查殺，并重新備份干凈的備份數(shù)據(jù)。

　　4、目標用戶

　　Cyber Recovery適用于多種用戶，特別是對于有如下特點的用戶，將能提供更有效的數(shù)據(jù)防護能力：

　　關鍵信息基礎設施用戶。關鍵信息基礎設施已經(jīng)成為勒索攻擊者的重要目標，同時由于一旦破壞關鍵信息基礎設施的業(yè)務連續(xù)性，會對生產(chǎn)生活造成重大影響。

　　業(yè)務連續(xù)性要求較高用戶。除關鍵信息基礎設施外，一些互聯(lián)網(wǎng)企業(yè)、制造業(yè)同樣對業(yè)務連續(xù)性有高要求，這類企業(yè)一旦出現(xiàn)業(yè)務中斷，會對企業(yè)造成重大損失。

　　數(shù)據(jù)資產(chǎn)多的用戶。大數(shù)據(jù)公司、互聯(lián)網(wǎng)企業(yè)、咨詢公司等企業(yè)通常掌握有大量數(shù)據(jù)資產(chǎn)，這類公司的數(shù)據(jù)一旦被勒索受到的損失重大。

　　5、解決問題

　　Cyber Recovery可以有效應對的問題包括：

　　勒索攻擊的數(shù)據(jù)恢復?；跀?shù)據(jù)加密的勒索行為依舊是當前勒索攻擊的主要攻擊形式。Cyber Recovery能夠保護用戶的備份數(shù)據(jù)安全性，并當勒索攻擊爆發(fā)式，能夠通過備份數(shù)據(jù)完整恢復企業(yè)數(shù)據(jù)，從而幫助企業(yè)恢復業(yè)務連續(xù)性。

　　非法的數(shù)據(jù)變更恢復。當“從刪庫到跑路”已經(jīng)不再是一個段子時，企業(yè)就必須面對有意或無意的數(shù)據(jù)非法變更行為。針對有意為之的數(shù)據(jù)刪除行為，Cyber Recovery由于有效將生產(chǎn)網(wǎng)和備份數(shù)據(jù)隔離，所以能夠保護備份數(shù)據(jù)不會被有益刪除，同時也為數(shù)據(jù)完整恢復提供可能。

　　04

　　用戶反饋

　　憑借Cyber Recovery的性能優(yōu)勢及實際測試的優(yōu)異表現(xiàn)，Dell公司以第一個方案提供者的身份，成為Sheltered Harbor組織的項目合作伙伴。

　　“Cyber Recovery數(shù)據(jù)避風港存儲區(qū)按照業(yè)務發(fā)展的速度不斷擴展。CyberSense也是一款出色的工具，其報告功能和數(shù)據(jù)查看方式讓我能夠堅定地告訴董事會：‘網(wǎng)絡安全值得信賴’?！?/p>

　　——Bob Bender ，F(xiàn)ounders Federal Credit Union 首席技術官

　　“誰也不想因為遭受網(wǎng)絡入侵而上報。Cyber Recovery數(shù)據(jù)避風港解決方案是我們?yōu)閿?shù)據(jù)提供另一層保護的好方法?！?/p>

　　——Josh Kohlhoff，

　　威斯康星州道奇縣網(wǎng)絡管理員

　　安全牛評

　　隨著數(shù)據(jù)成為企業(yè)越來越重要的資產(chǎn)，這些用戶日益重視數(shù)據(jù)的安全。數(shù)據(jù)備份是應對突發(fā)安全事件時，保證業(yè)務連續(xù)性的必備工具。然而，我們通常認為數(shù)據(jù)備份一定是可靠的、干凈的、完整的，卻忽略了對備份數(shù)據(jù)的保護，這可能導致異常事件發(fā)生時，用戶的措手不及。

　　Cyber Recovery本質(zhì)是一套備份安全防護系統(tǒng)。通過物理隔離機制，惡意軟件和一般用戶均無法觸碰到隔離的備份數(shù)據(jù)。產(chǎn)品針對數(shù)據(jù)加密型勒索具有較強的恢復機制，但并非適用于所有類型的勒索攻擊，例如數(shù)據(jù)竊取型勒索。產(chǎn)品針對數(shù)據(jù)的誤操作、非法變更也有適用性。

　　備份數(shù)據(jù)隔離防護是應對數(shù)據(jù)型勒索攻擊的新思路，也是應對攻擊的最后一道防線。