数据安全如同悬在企业头顶的“达摩克利斯之剑”,随着新技术的飞速发展,企业运营愈发依赖网络与数据,然而这也为网络威胁和攻击敞开了大门,特别是勒索软件攻击,作为其中极具破坏力的一种攻击方式,也正以惊人的速度肆虐全球。
第三方数据显示,勒索软件攻击后的平均停机时间高达24天;而且超过75%的攻击是通过身份、信任关系或者网络漏洞实现的;此外,高达94%的勒索软件攻击尝试破坏企业的备份系统,其中的得手率也达57%。
这些数据都反映了这样一个事实,那就是勒索软件攻击给企业造成的损失正在加剧,而现有的数据保护方案,已难以应对恶意软件和勒索软件带来的危险,特别是不少企业认为有备份就可以防住勒索软件攻击,或者在遭受勒索软件攻击后仍能够恢复企业数据,其实都是抱有极大的“侥幸”心理的。
原因在于,当前备份数据已成功黑客攻击的主要目标,其核心目的就是让企业无法还原数据,最终只能被迫接受赎金的支付,且即使是企业“甘愿”支付赎金,也未必能够赎回所有的数据——这也意味着进入到数智化时代之后,一家企业或组织的安全“生命线”就在于是否能够隔离数据并确保数据可用性,以支持网络攻击后的业务连续性战略和恢复操作,而这就亟待构建一套“数据避风港”的安全防范框架和方案。
那么,什么是“数据避风港”的安全框架?其究竟有何特殊的“魔力”,能够让企业客户在面临勒索软件攻击时实现“独善其身”的?更为关键的是,面对勒索软件攻击的肆虐,企业的数据保护策略和方案又应该如何“与时俱进”的进化与升级呢?
01.
重塑威胁漏斗,
以“3I+R”构建企业网络弹性
随着企业数智化转型的加速,越来越多企业的基础架构进行了重构,导致目前企业数据和网络资产的数量和复杂性前所未有的增加,攻击面极具扩大的同时,攻防不对称也在加剧,再“叠加”上勒索软件的攻击,可以说当下企业面临的安全威胁是“毁灭性”的。
也正因此,企业当前急需重塑安全威胁漏斗,可以把它称之为数据安全防护的“三部曲”,首当其中的就是从主动防御角度看,企业的核心任务是减少攻击面,并提供更安全的数据管控;在主动防御之后,企业仍然需要对数据进行“加固”,包括需要有一整套的数据整合机制,以及在发生灾难后的数据响应机制等等,而最终的目标就是实现数据的恢复能力,由此才能实现完整的数据安全保护。
在此背景之下,基于NIST安全框架的防勒索解决方案——即数据避风港的理念和方案“应运而生”。换句话说,企业对于任何数据都需要进行主动防御与“加固”数据本身,同时通过实现端到端的安全性,才能够最大程度降低企业安全风险,增强网络弹性,让企业的数据保护“更安全、更完整、更可用”。
在此过程中,企业则是需要基于“3I+R”的安全防护指标以及体系架构来构建数据避风港方案,所谓“3I+R”是指,隔离(Isolation)、不可篡改(Immutability)、智能(Intelligence)以及断网隔离(AirGap),具体而言:
一是,隔离(Isolation),指的是数据避风港方案能够以完全整合和全自动化控制的AirGap,帮助企业建立独立、隔离的数据保护库,且保护库能够完全“隐身”于企业的IT之中,由此能够有效避免勒索软件的攻击。
二是,不可篡改(Immutability),指的是数据避风港方案能够以最严格的技术锁定备份资料或数据,使其不被删除、加密,因此可抵御外部和内部的攻击,强化数据的安全性和保护性。
三是,智能(Intelligence),指的是数据避风港方案加持了智能分析功能,能够提供已被恶意软件训练过的ML/AI技术扫描、分析、识别,确保被保护的资料或数据是干净未受感染的,同时还可自动企业干净版本的时间点,快速还原企业的商业运作。
四是,断网隔离(AirGap),指的是数据避风港方案中的“AirGap”功能,或者说“空气闸”能力,它提供了与其他系统或网络之间的物理或逻辑隔离,以防止渗透数据、系统或应用程序的可能性。同时,利用存储区方法,能够将受保护的数据副本复制到另一个区域,并断开两个数据副本之间的网络连接,防止任何人接触复制的数据。
为什么需要构建“3I+R”的安全防护体系架构呢?最直接的原因是,企业目前面临的勒索攻击形态是非常“多样化”的,既有针对备份的攻击,如果仅有备份而没有防护,一旦备份服务器被加密,所有数据都会“加锁”,无法即使恢复业务。
与此同时,现在有很多针对备份删除动作的网络攻击,甚至是针对平台级的攻击。这种情况下,即使企业用部署的备份服务器或备份介质存放在虚拟化环境下,同样所有的数据也都会被黑客“加密”,此外有些黑客还会对底层的BIOS进行攻击,如果这时没有有效隔离手段或不可篡改的抵御方式,那么企业的数据照样会被破坏,甚至有更可怕的潜伏性黑客攻击,虽然企业每天都在备份,但备份数据却早就被污染了,因此当企业需要进行数据恢复时,却无法找到一份“干净”的数据,这时即便是企业的数据此前就行了隔离,同样也会“无济于事”。
不难看出,当前的勒索软件攻击可谓是“防不胜防”的,仅仅只进行数据的备份是难以胜任企业安全防护的,但基于数据避风港方案构建和打造的“3I+R”的安全防护体系架构,则能够让企业面临“最坏情况”发生时,也可迅速对数据进行隔离、清洗、扫描,最终让企业的核心业务“起死回生”。
02.
从三个关键词,
深入读懂戴尔数据避风港方案
作为全球数据保护领域的“先行者”和“引领者”,戴尔科技其实早在2015年基于NIST安全框架打造的数据避风港(Cyber Recovery,CR)方案, 该方案起源于美国的金融行业,不仅是实实在在来源于业务需求所沉淀出来的解决方案,也是全球第一个能够提供定制部署服务的“隔离”恢复解决方案,更是拥有广泛和丰富最佳落地“实战”经验的解决方案。
戴尔科技的数据避风港方案,是完全符合“3I+R”的体系架构的,其整个工作过程如下:其能够将生产中心的备份数据快速复制到“金库”,即Vault区,复制后网络自动断开,实现弹性隔离;在此基础上,对复制到Vault区的数据快速进行拷贝,并对拷贝版本加锁,在锁定期,数据不允许删除和修改;最后是在Vault区构建沙箱,同时在沙箱内对拷贝版本进行智能扫描分析,而且是基于原始格式的勒索行为分析,不仅能够验证数据是否完好,也能第一时间发生问题。
同样,这样一套基于“3I+R”的体系架构打造的戴尔科技数据避风港方案也是非常有意义和价值的——它能够实现企业生产环境的“无感知”,其工作过程并不是通过生产备份软件来抓取数据,而是通过隔离区里备份存储之间的数据“抽拉”,同时其所有管控都在隔离区内,并有专门的三个软件进行有效的控制。
尤为重要的是,其“锁定”也并不依托于任何的操作系统进行数据的“防篡改”,而是基于底层硬件进行“防篡改”。在此基础上,戴尔科技还加入了“零信任”架构,能够实现多因素的认证,如底层硬件的时钟防篡改、iDRAC账号联动等诸多其他特性,进一步提升整个环境的安全度。此外,其专业的防勒索智能分析软件是基于行为的,而非仅基于特征库,加上该软件还会嵌入AI大模型的预判能力,这样就能够更有效地提升整个数据的准确率,减少误判。
也正因此,尽管当前市场上出现了很多类似的数据保护解决方案,但戴尔科技数据避风港方案的技术能力和最佳实践经验依然是“遥遥领先”的,可以从三个“关键词”做进一步的观察和解读:
作为数据避风港方案中的关键能力,“AirGap”的能力可以说至关重要。当前,对于“AirGap”的能力,绝大大部分厂商是通过第三方单向防火墙或者VPN来构建“隔离区”。也有的厂商通过生产端备份软件来控制隔离的,控制信息和数据信息分开,控制信息是常连接,AirGap只能控制数据信息,但并不能保证生产端和“金库区”(Vault区)是完全断开的,换句话说,黑客可以通过生产端的备份服务器发现Vault区的存在。
除此之外,也有部分厂商使用人工服务由命令脚本方式控制网络端口来创建AirGap解决方案或者透过其他厂商Flex手动设定AirGap容器隔离机制与防篡改机制来广义实现 AirGap,但这种方式由于AirGap的控制策略由外面的备份服务器确定,往往也存在着很大的风险性。
而戴尔科技数据避风港方案中的AirGap能力,其关键优势体现在,企业在生产环境中对Vault区是完全“无感知”的,所有的管理操作都在Vault区实现,生产端不能发现“隔离数据”的存在。此外,其AirGap并没有持久链接,数据有复制时连通,没有复制的时候断开,这样数据时刻处于“隔离状态”。
与此同时,生产的备份服务器上index/catalog没有记录这份数据,黑客突破了企业的备份数据也发现不了这份数据的存在。也就是说,数据是单向的,只允许从vault区控制复制,从vault区拉数据,而并不是从生产端推数据。
其次,数据防篡改,是不是真的能够实现防篡改?在防篡改能力方面,可以看到一部分厂商的防篡改功能是通过加固的linux系统来实现WORM的;而大部分厂商是通过用户权限的方式来实现WORM锁定机制的,而当系统都被攻破的时候,用户权限也就没有了任何意义。
也有一部分厂商是通过备份一体机上启用虚拟机或者容器的方式,通过赋予不同虚机和容器角色来控制只读权限的,但这种方式同样也有很大的风险,如必须结合特定型号设备支持,而且基于容器的方式,性能难以保证。此外,Flex中的WORM防篡改可以被禁用,这也意味着内部人员可以删除关键备份,更为严重的是,如果虚拟机和容器可以被删除,那么虚拟机和容器中的不可篡改功能也就完全失效了。
反观戴尔科技数据避风港方案中的防篡改能力,则是通过专有硬件设备实现全堆栈的防篡改,从底层硬件到系统到应用的全面防篡改;此外,具有专利的DIA数据无损架构,提供最严格的法规遵从的不可篡改技术,数据保护期内可确保无法篡改等等。另外,戴尔科技早在2012年就推出了防篡改的功能,具有非常成熟的实践和应用经验。
最后,侦测分析扫描,是不是只是等同于杀毒软件?在侦测分析扫描能力方面,可以发现当前大部分厂商提供的功能都类似于杀毒软件,通过已有病毒库和病毒特征来查杀病毒;同时,即使部分厂商拥有通过Data insight和Alta Analytics日志报表分析工具,但同样也只能分析自己的备份软件生成的数据。
而戴尔科技数据避风港方案中专业防勒索智能分析软件CyberSense则具有十分强大的能力,它可以不用还原数据,而是直接对备份数据进行分析;支持元数据+ 200多个基于全内容分析点(文件熵、扩展名及其他);支持文件、虚机、数据库等;基于AI/ML,能灵活识别变种勒索软件;还可检测复杂的网络攻击,且具有99.997% 正确率等,可以说其具有“全内容”的检测能力,是市场上唯一支持对数据库内部隐藏损害进行数据完整性分析扫描的产品。
也正是源于这种强大的技术能力,自戴尔科技数据避风港(CR)方案发布至今,全球Cyber Recovery数据避风港客户超过2500+,大中华区Cyber Recovery数据避风港客户超过250+,帮助企业实现了“保护更多、恢复更快、花费更少”,真正让企业的关键业务数据做到“坚如磐石、稳如泰山”,不但大幅提升了企业在数据管理和保护领域的“新体验”,更重新定义了网络弹性的“新标准”。
03.
安全进阶之路,
构建“三位一体”数据保护策略
当然,数据避风港或者说企业的网络弹性构建也并不是“一蹴而就”的,数据避风港的最佳实践或者说要实现其“连续性”,是建立在以下三个环节之上的,包括全面的数据保护,加固备份环境以及构建可信的恢复环境,总之需要以“防患于未然”的心态加强网络安全防御,构筑全新的网络弹性平台,以减轻与勒索软件攻击相关的风险,才是最佳的企业数据保护之道。
为此,戴尔科技打造了“三位一体”的数据保护策略和方案,即通过“备份(BR)+容灾(DR)+数据避风港(CR)”的全面保护,帮助企业构建出最为完整且整体的数据保护策略。
第一,备份(BR)环节,能够帮助企业做到对数据的全覆盖,不管是跨边缘、核心还是在多云环境下,各类逻辑错误或人为错误都可应对。这也是对企业IT环境及数据最基本的保护,并能全面覆盖所有工作负载,且具有可靠、快速、低成本恢复的优势。
第二,容灾(DR)环节,则是通过对重要数据做容灾,比如构建两地三中心,企业能够无惧风火雷电等各类自然灾害对IT系统的影响,这是增强的数据保护。
第三,数据避风港(CR)环节,无论是备份还是容灾,在面临AI加持、愈演愈烈的网络攻击问题时都会束手无策,而通过在戴尔Cyber Recovery数据避风港的安全范围内检测、诊断和加速数据恢复,加上AI智能化分析工具给予企业充分保障,才能够在网络攻击后快速、从容地恢复关键的数据和系统,这样就做到了完整的数据保护。
事实上,从网络弹性成熟度角度来看,越早构建基于“备份(BR)+容灾(DR)+数据避风港(CR)”的数据保护策略,那么就能最大限度地减少勒索病毒软件或者网络攻击给企业带来的时间、成本等方面的影响。
具体来说,如果仅进行备份,那么当备份遭受攻击时,企业的数据恢复时间可能面临的“月级别”的;而如果对生产环境进行有效“加固”,并使用专有的备份设备进行安全架构搭建,那么则可以让恢复时间缩短到“周级别”; 如果能够有效建立数据隔离区和集中,那么恢复时间则可以缩短到“天级别”;而如果企业有更完整的数据安全“金库区”,且配备了专业的恢复服务以及完整的恢复手册(handbook),那么整个恢复时间将会缩短到“小时级”,而这将大大提升勒索攻击后的数据恢复能力,确保企业正常运作的连续性,显著增强企业遭遇攻击后的信心和底气。
全文总结,勒索病毒软件的攻击和威胁“如影随形”,不仅会使企业面临高额赎金的勒索,更会导致业务停摆,客户流失,声誉受损,甚至威胁到企业的生存根基。因此,企业唯有保持高度警惕,持续优化数据保护策略,不断提升安全防护能力。
更为关键的是,企业可以选择戴尔科技构建的“遥遥领先”的数据避风港方案,以及“三位一体”(BR+DR+CR)的数据保护策略,同时依托戴尔科技所具备的丰富网络弹性实践经验,包括实施了数以百计的网络弹性项目,以及具有的数以千计的网络恢复保险库等能力,相信基于这样的数据保护“硬实力”,企业将真正能够在这场没有硝烟的战争中立于“不败之地”。
