數(shù)據(jù)安全如同懸在企業(yè)頭頂?shù)摹斑_摩克利斯之劍”，隨著新技術(shù)的飛速發(fā)展，企業(yè)運營愈發(fā)依賴網(wǎng)絡(luò)與數(shù)據(jù)，然而這也為網(wǎng)絡(luò)威脅和攻擊敞開了大門，特別是勒索軟件攻擊，作為其中極具破壞力的一種攻擊方式，也正以驚人的速度肆虐全球。

第三方數(shù)據(jù)顯示，勒索軟件攻擊后的平均停機時間高達24天；而且超過75%的攻擊是通過身份、信任關(guān)系或者網(wǎng)絡(luò)漏洞實現(xiàn)的；此外，高達94%的勒索軟件攻擊嘗試破壞企業(yè)的備份系統(tǒng)，其中的得手率也達57%。

這些數(shù)據(jù)都反映了這樣一個事實，那就是勒索軟件攻擊給企業(yè)造成的損失正在加劇，而現(xiàn)有的數(shù)據(jù)保護方案，已難以應(yīng)對惡意軟件和勒索軟件帶來的危險。特別是不少企業(yè)認為有備份就可以防住勒索軟件攻擊，或者在遭受勒索軟件攻擊后仍能夠恢復(fù)企業(yè)數(shù)據(jù)，其實都是抱有極大的“僥幸”心理的。

原因在于，當前備份數(shù)據(jù)已成為黑客攻擊的主要目標，其核心目的就是讓企業(yè)無法還原數(shù)據(jù)，最終只能被迫接受贖金的支付，且即使是企業(yè)“甘愿”支付贖金，也未必能夠贖回所有的數(shù)據(jù)。

這也意味著進入到數(shù)智化時代之后，一家企業(yè)或組織的安全“生命線”就在于是否能夠隔離數(shù)據(jù)并確保數(shù)據(jù)可用性，以支持網(wǎng)絡(luò)攻擊后的業(yè)務(wù)連續(xù)性戰(zhàn)略和恢復(fù)操作，而這就亟待構(gòu)建一套“數(shù)據(jù)避風(fēng)港”的安全防范框架和方案。

那么，什么是“數(shù)據(jù)避風(fēng)港”的安全框架？其究竟有何特殊的“魔力”，能夠讓企業(yè)客戶在面臨勒索軟件攻擊時實現(xiàn)“獨善其身”的？更為關(guān)鍵的是，面對勒索軟件攻擊的肆虐，企業(yè)的數(shù)據(jù)保護策略和方案又應(yīng)該如何“與時俱進”的進化與升級呢？

重塑威脅漏斗

以“3I+R”構(gòu)建企業(yè)網(wǎng)絡(luò)彈性

隨著企業(yè)數(shù)智化轉(zhuǎn)型的加速，越來越多企業(yè)的基礎(chǔ)架構(gòu)進行了重構(gòu)，導(dǎo)致目前企業(yè)數(shù)據(jù)和網(wǎng)絡(luò)資產(chǎn)的數(shù)量和復(fù)雜性前所未有的增加，攻擊面極具擴大的同時，攻防不對稱也在加劇，再“疊加”上勒索軟件的攻擊，可以說當下企業(yè)面臨的安全威脅是“毀滅性”的。

對此，企業(yè)當前急需重塑安全威脅漏斗，可以把它稱之為數(shù)據(jù)安全防護的“三部曲”，首要的就是從主動防御角度看，企業(yè)的核心任務(wù)是減少攻擊面，并提供更安全的數(shù)據(jù)管控；在主動防御之后，企業(yè)仍然需要對數(shù)據(jù)進行“加固”，包括需要有一整套的數(shù)據(jù)整合機制，以及在發(fā)生災(zāi)難后的數(shù)據(jù)響應(yīng)機制等等，而最終的目標就是實現(xiàn)數(shù)據(jù)的恢復(fù)能力，由此才能實現(xiàn)完整的數(shù)據(jù)安全保護。

在此背景之下，基于NIST安全框架的防勒索解決方案——即數(shù)據(jù)避風(fēng)港的理念和方案“應(yīng)運而生”。

換句話說，企業(yè)對于任何數(shù)據(jù)都需要進行主動防御與“加固”數(shù)據(jù)本身，同時通過實現(xiàn)端到端的安全性，才能夠最大程度降低企業(yè)安全風(fēng)險，增強網(wǎng)絡(luò)彈性，讓企業(yè)的數(shù)據(jù)保護“更安全、更完整、更可用”。

在此過程中，企業(yè)則是需要基于“3I+R”的安全防護指標以及體系架構(gòu)來構(gòu)建數(shù)據(jù)避風(fēng)港方案，所謂“3I+R”是指，隔離(Isolation)、不可篡改(Immutability)、智能(Intelligence)以及斷網(wǎng)隔離(AirGap)，具體而言：

一是隔離(Isolation)，指的是數(shù)據(jù)避風(fēng)港方案能夠以完全整合和全自動化控制的AirGap，幫助企業(yè)建立獨立、隔離的數(shù)據(jù)保護庫，且保護庫能夠完全“隱身”于企業(yè)的IT之中，由此能夠有效避免勒索軟件的攻擊。

二是不可篡改(Immutability)，指的是數(shù)據(jù)避風(fēng)港方案能夠以最嚴格的技術(shù)鎖定備份資料或數(shù)據(jù)，使其不被刪除、加密，因此可抵御外部和內(nèi)部的攻擊，強化數(shù)據(jù)的安全性和保護性。

三是智能(Intelligence)，指的是數(shù)據(jù)避風(fēng)港方案加持了智能分析功能，能夠提供已被惡意軟件訓(xùn)練過的ML/AI技術(shù)掃描、分析、識別，確保被保護的資料或數(shù)據(jù)是干凈未受感染的，同時還可自動識別干凈版本的時間點，快速還原企業(yè)的商業(yè)運作。

四是斷網(wǎng)隔離(AirGap)，指的是數(shù)據(jù)避風(fēng)港方案中的“AirGap”功能，或者說“空氣閘”能力，它提供了與其他系統(tǒng)或網(wǎng)絡(luò)之間的物理或邏輯隔離，以防止?jié)B透數(shù)據(jù)、系統(tǒng)或應(yīng)用程序的可能性。同時，利用存儲區(qū)方法，能夠?qū)⑹鼙Ｗo的數(shù)據(jù)副本復(fù)制到另一個區(qū)域，并斷開兩個數(shù)據(jù)副本之間的網(wǎng)絡(luò)連接，防止任何人接觸復(fù)制的數(shù)據(jù)。

為什么需要構(gòu)建“3I+R”的安全防護體系架構(gòu)呢？最直接的原因是，企業(yè)面臨的勒索攻擊手段日趨多樣化，不僅有針對備份數(shù)據(jù)的攻擊，如果企業(yè)僅依賴備份而缺乏相應(yīng)的防護機制，一旦備份服務(wù)器被加密，所有數(shù)據(jù)都會“加鎖”，無法及時恢復(fù)業(yè)務(wù)。

此外，也有很多針對備份刪除動作的網(wǎng)絡(luò)攻擊，甚至是針對平臺級的攻擊。這種情況下，即使企業(yè)用部署的備份服務(wù)器或備份介質(zhì)存放在虛擬化環(huán)境下，所有的數(shù)據(jù)也同樣會被黑客“加密”。

更嚴重的是，有些黑客還會對底層的BIOS進行攻擊，如果這時沒有有效隔離手段或不可篡改的抵御方式，那么企業(yè)的數(shù)據(jù)照樣會被破壞。

甚至有更可怕的潛伏性黑客攻擊，雖然企業(yè)每天都在備份，但備份數(shù)據(jù)卻早就被污染了，因此當企業(yè)需要進行數(shù)據(jù)恢復(fù)時，卻無法找到一份“干凈”的數(shù)據(jù)，這時即便是企業(yè)的數(shù)據(jù)此前就行了隔離，同樣也會“無濟于事”。

不難看出，當前的勒索軟件攻擊可謂是“防不勝防”的，僅僅只進行數(shù)據(jù)的備份是難以勝任企業(yè)安全防護的，但基于數(shù)據(jù)避風(fēng)港方案構(gòu)建和打造的“3I+R”的安全防護體系架構(gòu)，則能夠讓企業(yè)面臨“最壞情況”發(fā)生時，也可迅速對數(shù)據(jù)進行隔離、清洗、掃描，最終讓企業(yè)的核心業(yè)務(wù)“起死回生”。

從三個關(guān)鍵詞

深入讀懂戴爾數(shù)據(jù)避風(fēng)港方案

作為全球數(shù)據(jù)保護領(lǐng)域的“先行者”和“引領(lǐng)者”，戴爾科技早在2015年就基于NIST安全框架打造出了數(shù)據(jù)避風(fēng)港(Cyber Recovery，CR)方案。

該方案起源于美國的金融行業(yè)，不僅是實實在在來源于業(yè)務(wù)需求所沉淀出來的解決方案，也是全球第一個能夠提供定制部署服務(wù)的“隔離”恢復(fù)解決方案，更是擁有廣泛和豐富最佳落地“實戰(zhàn)”經(jīng)驗的解決方案。

戴爾科技的數(shù)據(jù)避風(fēng)港方案，是完全符合“3I+R”的體系架構(gòu)的，其整個工作過程如下：

● 其能夠?qū)⑸a(chǎn)中心的備份數(shù)據(jù)快速復(fù)制到“金庫”，即Vault區(qū)，復(fù)制后網(wǎng)絡(luò)自動斷開，實現(xiàn)彈性隔離；

●在此基礎(chǔ)上，對復(fù)制到Vault區(qū)的數(shù)據(jù)快速進行拷貝，并對拷貝版本加鎖，在鎖定期，數(shù)據(jù)不允許刪除和修改；

●最后是在Vault區(qū)構(gòu)建沙箱，同時在沙箱內(nèi)對拷貝版本進行智能掃描分析，而且是基于原始格式的勒索行為分析，不僅能夠驗證數(shù)據(jù)是否完好，也能第一時間發(fā)現(xiàn)問題。

同樣，這樣一套基于“3I+R”的體系架構(gòu)打造的戴爾科技數(shù)據(jù)避風(fēng)港方案也是非常有意義和價值的——它能夠?qū)崿F(xiàn)企業(yè)生產(chǎn)環(huán)境的“無感知”，其工作過程并不是通過生產(chǎn)備份軟件來抓取數(shù)據(jù)，而是通過隔離區(qū)里備份存儲之間的數(shù)據(jù)“抽拉”，同時其所有管控都在隔離區(qū)內(nèi)，并有專門的三個軟件進行有效的控制。

尤為重要的是，其“鎖定”也并不依托于任何的操作系統(tǒng)進行數(shù)據(jù)的“防篡改”，而是基于底層硬件進行“防篡改”。在此基礎(chǔ)上，戴爾科技還加入了“零信任”架構(gòu)，能夠?qū)崿F(xiàn)多因素的認證，如底層硬件的時鐘防篡改、iDRAC賬號聯(lián)動等諸多其他特性，進一步提升整個環(huán)境的安全度。

此外，其專業(yè)的防勒索智能分析軟件是基于行為的，而非僅基于特征庫，加上該軟件還會嵌入AI大模型的預(yù)判能力，這樣就能夠更有效地提升整個數(shù)據(jù)的準確率，減少誤判。

也正因此，盡管當前市場上出現(xiàn)了很多類似的數(shù)據(jù)保護解決方案，但戴爾科技數(shù)據(jù)避風(fēng)港方案的技術(shù)能力和最佳實踐經(jīng)驗依然獨具優(yōu)勢，可以從三個“關(guān)鍵詞”做進一步的觀察和解讀：

作為數(shù)據(jù)避風(fēng)港方案中的關(guān)鍵能力，“AirGap”的能力可以說至關(guān)重要。當前，對于“AirGap”的能力，絕大部分廠商是通過第三方單向防火墻或者VPN來構(gòu)建“隔離區(qū)”。

也有的廠商通過生產(chǎn)端備份軟件來控制隔離的，控制信息和數(shù)據(jù)信息分開，控制信息是常連接，AirGap只能控制數(shù)據(jù)信息，但并不能保證生產(chǎn)端和“金庫區(qū)”（Vault區(qū)）是完全斷開的，換句話說，黑客可以通過生產(chǎn)端的備份服務(wù)器發(fā)現(xiàn)Vault區(qū)的存在。

除此之外，也有部分廠商使用人工服務(wù)由命令腳本方式控制網(wǎng)絡(luò)端口來創(chuàng)建AirGap解決方案或者通過其他廠商Flex手動設(shè)定AirGap容器隔離機制與防篡改機制來廣義實現(xiàn) AirGap，但這種方式由于AirGap的控制策略由外面的備份服務(wù)器確定，往往也存在著很大的風(fēng)險性。

而戴爾科技數(shù)據(jù)避風(fēng)港方案中的AirGap能力與一般數(shù)據(jù)保護方案最大的不同是：企業(yè)在生產(chǎn)環(huán)境中對Vault區(qū)是完全“無感知”的，所有的管理操作都在Vault區(qū)實現(xiàn)，生產(chǎn)端不能發(fā)現(xiàn)“隔離數(shù)據(jù)”的存在。此外，其AirGap并沒有持久鏈接，數(shù)據(jù)有復(fù)制時連通，沒有復(fù)制的時候斷開，這樣數(shù)據(jù)時刻處于“隔離狀態(tài)”。

與此同時，生產(chǎn)的備份服務(wù)器上index/catalog沒有記錄這份數(shù)據(jù)，黑客突破了企業(yè)的備份數(shù)據(jù)也發(fā)現(xiàn)不了這份數(shù)據(jù)的存在。也就是說，數(shù)據(jù)是單向的，只允許從Vault區(qū)控制復(fù)制，從Vault區(qū)拉數(shù)據(jù)，而并不是從生產(chǎn)端推數(shù)據(jù)。

其次，數(shù)據(jù)防篡改，是不是真的能夠?qū)崿F(xiàn)防篡改？在防纂改能力方面，可以看到一部分廠商的防篡改功能是通過加固的linux系統(tǒng)來實現(xiàn)WORM的；而大部分廠商是通過用戶權(quán)限的方式來實現(xiàn)WORM鎖定機制的，而當系統(tǒng)都被攻破的時候，用戶權(quán)限也就沒有了任何意義。

也有一部分廠商是通過備份一體機上啟用虛擬機或者容器的方式，通過賦予不同虛機和容器角色來控制只讀權(quán)限的，但這種方式同樣也有很大的風(fēng)險，如必須結(jié)合特定型號設(shè)備支持，而且基于容器的方式，性能難以保證。

此外，F(xiàn)lex中的WORM防篡改可以被禁用，這也意味著內(nèi)部人員可以刪除關(guān)鍵備份，更為嚴重的是，如果虛擬機和容器可以被刪除，那么虛擬機和容器中的不可篡改功能也就完全失效了。

反觀戴爾科技數(shù)據(jù)避風(fēng)港方案中的防纂改能力，則是通過專有硬件設(shè)備實現(xiàn)全堆棧的防篡改，從底層硬件到系統(tǒng)到應(yīng)用的全面防篡改；此外，具有專利的DIA數(shù)據(jù)無損架構(gòu)，提供最嚴格的法規(guī)遵從的不可篡改技術(shù)，數(shù)據(jù)保護期內(nèi)可確保無法篡改等等。另外，戴爾科技早在2012年就推出了防篡改的功能，具有非常成熟的實踐和應(yīng)用經(jīng)驗。

最后，偵測分析掃描，是不是只是等同于殺毒軟件？在偵測分析掃描能力方面，可以發(fā)現(xiàn)當前大部分廠商提供的功能都類似于殺毒軟件，通過已有病毒庫和病毒特征來查殺病毒；同時，即使部分廠商擁有通過Data insight和Alta Analytics日志報表分析工具，但同樣也只能分析自己的備份軟件生成的數(shù)據(jù)。

而戴爾科技數(shù)據(jù)避風(fēng)港方案中專業(yè)防勒索智能分析軟件CyberSense則具有十分強大的能力，它可以不用還原數(shù)據(jù)，而是直接對備份數(shù)據(jù)進行分析；支持元數(shù)據(jù)+ 200多個基于全內(nèi)容分析點（文件熵、擴展名及其他）；支持文件、虛機、數(shù)據(jù)庫等；基于AI/ML，能靈活識別變種勒索軟件；還可檢測復(fù)雜的網(wǎng)絡(luò)攻擊，且具有99.997%正確率等，可以說其具有“全內(nèi)容”的檢測能力，是市場上唯一支持對數(shù)據(jù)庫內(nèi)部隱藏損害進行數(shù)據(jù)完整性分析掃描的產(chǎn)品。

也正是源于這種強大的技術(shù)能力，自戴爾科技數(shù)據(jù)避風(fēng)港(CR)方案發(fā)布至今，全球Cyber Recovery數(shù)據(jù)避風(fēng)港客戶超過2500+，大中華區(qū)Cyber Recovery數(shù)據(jù)避風(fēng)港客戶超過250+，幫助企業(yè)實現(xiàn)了“保護更多、恢復(fù)更快、花費更少”，真正讓企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)做到“堅如磐石、穩(wěn)如泰山”，不但大幅提升了企業(yè)在數(shù)據(jù)管理和保護領(lǐng)域的“新體驗”，更重新定義了網(wǎng)絡(luò)彈性的“新標準”。

安全進階之路

構(gòu)建“三位一體”數(shù)據(jù)保護策略

當然，數(shù)據(jù)避風(fēng)港或者說企業(yè)的網(wǎng)絡(luò)彈性構(gòu)建也并不是“一蹴而就”的，數(shù)據(jù)避風(fēng)港的最佳實踐或者說要實現(xiàn)其“連續(xù)性”，是建立在以下三個環(huán)節(jié)之上的，包括全面的數(shù)據(jù)保護，加固備份環(huán)境以及構(gòu)建可信的恢復(fù)環(huán)境，總之需要以“防患于未然”的心態(tài)加強網(wǎng)絡(luò)安全防御，構(gòu)筑全新的網(wǎng)絡(luò)彈性平臺，以減輕與勒索軟件攻擊相關(guān)的風(fēng)險，才是最佳的企業(yè)數(shù)據(jù)保護之道。

為此，戴爾科技打造了“三位一體”的數(shù)據(jù)保護策略和方案，即通過“備份(BR)+容災(zāi)(DR)+數(shù)據(jù)避風(fēng)港(CR)”的全面保護，幫助企業(yè)構(gòu)建出最為完整且整體的數(shù)據(jù)保護策略。

第一，備份(BR)環(huán)節(jié)，能夠幫助企業(yè)做到對數(shù)據(jù)的全覆蓋，不管是跨邊緣、核心還是在多云環(huán)境下，各類邏輯錯誤或人為錯誤都可應(yīng)對。這也是對企業(yè)IT環(huán)境及數(shù)據(jù)最基本的保護，并能全面覆蓋所有工作負載，且具有可靠、快速、低成本恢復(fù)的優(yōu)勢。

第二，容災(zāi)(DR)環(huán)節(jié)，則是通過對重要數(shù)據(jù)做容災(zāi)，比如構(gòu)建兩地三中心，企業(yè)能夠無懼風(fēng)火雷電等各類自然災(zāi)害對IT系統(tǒng)的影響，這是增強的數(shù)據(jù)保護。

第三，數(shù)據(jù)避風(fēng)港(CR)環(huán)節(jié)，無論是備份還是容災(zāi)，在面臨AI加持、愈演愈烈的網(wǎng)絡(luò)攻擊問題時都會束手無策，而通過在戴爾Cyber Recovery數(shù)據(jù)避風(fēng)港的安全范圍內(nèi)檢測、診斷和加速數(shù)據(jù)恢復(fù)，加上AI智能化分析工具給予企業(yè)充分保障，才能夠在網(wǎng)絡(luò)攻擊后快速、從容地恢復(fù)關(guān)鍵的數(shù)據(jù)和系統(tǒng)，這樣就做到了完整的數(shù)據(jù)保護。

事實上，從網(wǎng)絡(luò)彈性成熟度角度來看，越早構(gòu)建基于“備份(BR)+容災(zāi)(DR)+數(shù)據(jù)避風(fēng)港(CR)”的數(shù)據(jù)保護策略，越能最大限度地減少勒索病毒軟件或者網(wǎng)絡(luò)攻擊給企業(yè)帶來的時間、成本等方面的影響。

具體來說，如果僅進行備份，那么當備份遭受攻擊時，企業(yè)將面臨“月級別”的數(shù)據(jù)恢復(fù)時間。如果對生產(chǎn)環(huán)境進行有效“加固”，并使用專有的備份設(shè)備進行安全架構(gòu)搭建，那么則可以讓恢復(fù)時間縮短到“周級別”。如果能夠有效建立數(shù)據(jù)隔離區(qū)和集中，那么恢復(fù)時間則可以縮短到“天級別”。

而如果企業(yè)有更完整的數(shù)據(jù)安全“金庫區(qū)”，且配備了專業(yè)的恢復(fù)服務(wù)以及完整的恢復(fù)手冊(handbook)，那么整個恢復(fù)時間將會縮短到“小時級”，而這將大大提升勒索攻擊后的數(shù)據(jù)恢復(fù)能力，確保企業(yè)正常運作的連續(xù)性，顯著增強企業(yè)遭遇攻擊后的信心和底氣。

結(jié) 語

勒索病毒軟件的攻擊和威脅“如影隨形”，不僅會使企業(yè)面臨高額贖金的勒索，更會導(dǎo)致業(yè)務(wù)停擺，客戶流失，聲譽受損，甚至威脅到企業(yè)的生存根基。因此，企業(yè)唯有保持高度警惕，持續(xù)優(yōu)化數(shù)據(jù)保護策略，不斷提升安全防護能力。

更為關(guān)鍵的是，企業(yè)還可以選擇戴爾科技構(gòu)建的獨具優(yōu)勢的數(shù)據(jù)避風(fēng)港方案，以及“三位一體”（BR+DR+CR）的數(shù)據(jù)保護策略，同時依托戴爾科技所具備的豐富網(wǎng)絡(luò)彈性實踐經(jīng)驗，包括實施了數(shù)以百計的網(wǎng)絡(luò)彈性項目，以及數(shù)以千計的網(wǎng)絡(luò)恢復(fù)保險庫等能力，相信基于這樣的數(shù)據(jù)保護“硬實力”，企業(yè)將真正能夠在這場沒有硝煙的戰(zhàn)爭中立于“不敗之地”。