自 2017 年 5 月 WannaCry(永恒之藍勒索蠕蟲)大規模爆發以來,勒索病毒成爲對網絡安全威脅最大的一類木馬病毒,讓數據安全進入了一個新的時代。
新的攻擊方式。
勒索病毒不會馬上發起攻擊,而是利用各種僞裝,如垃圾郵件、網頁廣告、系統漏洞、U 盤等,誘使用戶上鈎。滲透并潛伏一段時間,了解企業内部的網絡架構後,再對勒索病毒做一些适配性修改,在破壞企業的備份數據後,就大規模擴散病毒,對系統文件或硬盤進行加密,隐蔽性強,發現時往往已經積重難返。
新的受害者。
勒索病毒之後,針對非個人網絡的大規模攻擊變多。政府、醫療、金融、能源、交通甚至半導體制造行業,數據價值較高,售賣或洩露威脅更加容易變現,成爲勒索病毒的重點關注對象。攻擊完 " 樣本企業 " 後,黑客們還會對業務和内部網絡的架構類似的企業發起批量攻擊,快速讓同類型企業中招,攻擊效率越來越高,受害者數量迅速攀升。
新的損失成本。
包括支付 " 贖金 " 的直接損失,以及數據丢失、業務終端、生産力下降、潛在收入損失甚至名譽損害等負面影響。2018 年 8 月 3 日,台積電的 12 英寸晶圓廠和營運總部就突然傳出計算機遭病毒入侵且生産線全部停擺的消息,幾個小時之内,台積電的 Fab 15 廠和 Fab 14 廠也陸續傳出同樣的消息,三處重要生産基地的生産線同步停擺,影響當季營收約 2%,損失高達 10 億。
面對勒索病毒,網絡安全産業正在迎來一場艱難而嶄新的戰鬥。這場仗究竟該怎麽打? 在 2023 世界移動大會上(MWC2023),華爲發布了業界首個基于 " 網絡存儲聯動 " 的多層聯動勒索攻擊防護技術(MRP)。
作爲目前業界唯一的 " 網絡 + 存儲 " 多層防護方案,用内外兼修的系統化能力,鑄就了應對勒索威脅的安全之盾。我們就從這個全球矚目的方案說起,聊聊後勒索病毒時代,數據安全的變局和新路。
數字化浪潮遇上勒索病毒,
我們真的準備好了嗎?
從近幾年發展趨勢看,5G、人工智能、物聯網、雲計算等大規模的應用,已經成爲各國數字經濟發展的主基調,數字化浪潮就在眼前。
但就像茨威格那句名言說的," 所有命運贈送的禮物,早已在暗中标好了價格 "。數字繁榮令人向往,但網絡架構也會叠代更新,企業組織的信息設備種類越來越多,潛在的安全風險也是巨大的。
數字經濟的快速發展,與勒索病毒的潛在威脅,形成了三個明顯的矛盾:
第一,老舊基礎設施與新增病毒數量的矛盾。
勒索病毒主要利用老舊操作系統的安全漏洞進行攻擊,但很多傳統實體企業和機構,現有基礎設施中還存在大量老舊系統和硬件,安全漏洞不斷增多,更容易被勒索病毒滲透。
第二,數據互聯互通與病毒攻擊範圍的矛盾。
工業互聯網、智能系統等都需要數據互聯互通,松耦合的背景下,被攻擊範圍也在不斷增加。一旦勒索病毒進入攻擊階段,管理員處理攻擊的窗口非常短,勒索病毒很快會蔓延開來。比如 2020 年 2 月 18 日,黑客加密了美國某天然氣管道運營商 IT 和 OT 系統中的數據,導緻整個管道關閉了兩天,由于管道傳輸的相互依賴性,與其相關聯的其他壓縮設施也連帶受到影響。
第三,安全投入不足與攻擊損失成本的矛盾。
很多傳統企業和機構的安全防護能力本就不足,安全建設多以安全事件和合規性檢查驅動爲主,加上近年來外部經濟環境的不确定性增大,投入安全防護的資金也進一步減少,安全防護能力愈加缺乏,而勒索病毒的 " 胃口 " 卻越來越大。2021 年因勒索軟件損失 200 億美金,是 2015 年的 57 倍,最高的勒索金額達 700 萬美金,一旦中招的損失增大。
數字化勢在必行,勒索病毒又防不勝防,那企業能不能直接 " 躺平 ",萬一中招就交贖金保平安呢?相關數據顯示,48%的受勒索軟件威脅的企業表示,會同意支付。
可遺憾的是," 錢貨兩清 " 的信譽,黑客們并不十分在乎。有超過 46% 支付了贖金的組織,仍然無法恢複數據。
數據資源成爲企業的關鍵生産要素,面對數字時代的企業防勒索需求,安全産品也該拿出一些 " 未來感 " 了。
數據資産的安全之盾:
華爲 MRP 帶來全鏈防護
此次 MWC 2023 上,華爲帶來多層聯動勒索攻擊防護(MRP)技術,就如同一個企業數據安全的防護盾牌,從攻擊入侵的全鏈路進行考量。
傳統安全防護模式的先建設再定界、先定界再加固,面對無處不在、隐蔽性強的勒索病毒,難以形成高效快捷的安全防線。
MRP 技術則改變了跟随式被動應對,将網絡安全工作前置,新增了基于 IO、熵值等存儲檢測機制,通過網存聯動,覆蓋事前、事中、事後,讓勒索病毒攻不進、走不動、鎖不住。
事前,網絡邊界防入侵。
華爲 MRP 的首要能力,就是讓病毒攻不進。
首先根據曆史數據建立基線模型,判斷副本元數據變化特征值是否有異常。然後,針對異常副本,對比前後兩次快照副本數據,計算文件的大小變化、熵值、相似度等,再結合 AI 算法,判斷文件變化是否屬于勒索加密導緻,并進行勒索加密标記。
這樣一套智能檢測的組合拳下來,對暴力破解攻擊的檢測準确率可以達到 99%,覆蓋 50 多種文件類型,全面識别未知惡意軟件。
事中,網絡内部防擴散。
勒索病毒一旦入侵系統,會快速橫向移動,擴散到生産環境。此前 "Petya" 勒索病毒暴發,當天就實施了約 2000 次攻擊,在一些歐洲國家重災區,每 10 分鍾就感染 5000 餘台電腦,讓多家運營商、石油公司、機場、ATM 機等企業和公共設施淪陷。
要讓病毒在網絡内部 " 走不動 " 分爲兩步:
二是防止橫向擴散。勒索病毒傳播速度快,要求分鍾級響應,華爲 MRP 的獨家網存聯動技術,通過智能技術進行态勢感知檢測,針對威脅事件還原勒索攻擊路徑,下發聯動策略,自動隔離失陷主機,避免病毒文件被備份,分鍾級完成威脅處置。
事後:生産環境防加密
既然勒索病毒的最終目标是對數據進行加密,要求受害者支付贖金以獲取解密文件所需的密鑰,而且付了贖金也可能被 " 撕票 "。所以一旦出現異常情況,讓數據鎖不住、毀不掉,是最後一道關卡。
華爲 MRP 網絡與存儲的多層聯動,就起到關鍵作用。
首先,在企業數據存儲時,就進行端到端加密,通過 Air-gap 離線存儲隔離技術,自動化、周期性從生産 / 備份存儲将副本複制到隔離環境保存,确保數據安全。同時,通過安全快照技術,确保生産中心、安全隔離區的存儲數據隻讀,且在設定保護周期内,快照無法被修改和删除。
另外,網存聯動機制會實時根據捕獲的威脅文件特征,刷新網絡安全、存儲截攔黑名單,将勒索攻擊告警實時同步存儲管理器 DME, DME 聯動執行快照恢複,避免數據被損毀,恢複效率提升 5 倍。
接下來,在數據恢複過程中,MRP 會通過防火牆進行單向訪問,避免污染備份域和隔離域數據,應對數據被加密後長時間業務鎖定的問題。
《易傳》中有一句話:" 無危則安,無缺則全。" 企業核心資産的無危、無缺,是安全行業的根本目标。
通過獨家網存聯動機制,華爲 MRP 技術在勒索病毒和數據資産之間,築起了一道強大的安全盾牌,形成協同檢測、協同響應、協同恢複的三大核心能力,爲企業帶來更好的數據安全。
從巴塞羅那,
到全球各地、千行萬業
今天,數字經濟蘊藏着充沛的機遇、需求和可能性,正在全球掀起浪潮,第四次工業革命從未如此貼近和真實。在數字化之路上探索的企業和組織,需要更多安全感,将數據資産牢牢掌握在自己手中,激活更大的能量。
防勒索解決方案在巴塞羅那展現出的安全能力,恰好體現了華爲對于安全的理解和差異化優勢。
1. 系統性認知。
安全問題是攻防雙方展開的一場永恒博弈,隻有相對安全,沒有絕對安全。在思考數據安全時,我們不妨模拟一下黑客是怎麽樣想問題的。勒索病毒的大行其道,說明黑客發動攻擊時采取的是系統思維,先通過僞裝進入系統,然後快速大規模複制,對内部核心系統和數據進行封鎖加密,實施勒索。所以,安全防護也必須要實行系統化防範,針對所有惡意攻擊信号,展開圍追堵截。
華爲 MRP 網存聯動的初衷與差異化,正體現在此,事前強化邊界防護能力、事中全網異常監控與威脅隔離、事後數據加密存儲與多重備份,提供系統性、一體化聯動的安全保護。
2. 全棧式積累。
如前所說,數字化、智能化的産業變革趨勢下,網絡安全威脅風險從數字世界向實體經濟的逐漸滲透,新基建融合了 5G、人工智能、物聯網、雲計算、邊緣計算等多種技術," 你中有我,我中有你 " 的環境,讓安全邊界進一步模糊泛化。所以,安全産品和服務也需要從單一産品,轉變爲協同式防護。
華爲 MRP 的問世,源自于華爲在多個技術領域的深耕和洞察,将網絡和存儲協同起來,進行針對性的技術突破和方案開發。
3. 全球化洞察。
重塑網絡安全生态,構建協同安全,有很多切入點,華爲爲什麽如此看重防勒索安全能力呢?這就要提到華爲的全球化視野和洞察。
勒索病毒的每一次爆發,都會造成重災區的大規模淪陷,有的内網即使沒有被勒索病毒感染,也無法避免成爲下一個感染對象。華爲作爲一個全球布局的企業,和其他行業夥伴一樣,生存在勒索病毒的陰影下,有充足的意願和能力,去打造一個國際化、高水準的數據安全解決方案,打消全球各行各業加速擁抱數字化的隐憂。
丘吉爾說過,永遠不要浪費一場危機。從 WMC2023 上展示的華爲安全 MRP 技術,我們不僅可以看到安全行業本身的進化方向,更可以發現數字經濟蓬勃發展的大勢所趨。
讓更多企業和組織無懼勒索病毒的挑戰,擁抱數字經濟浪潮,從裝備一個硬核的安全盾牌開始。
前往華爲官網,了解更多方案詳情。
