防勒索的最后一道防线

1 勒索软件攻击已成为企业首要威胁

勒索软件攻击会窃取并加密价值数据，要求缴纳赎金来解密。根据世界经济论坛《2022年全球网络安全展望》，勒索软件攻击已成为全球网络领导者最关心的网络威胁。

大型企业和基础设施成为勒索软件攻击重点，企业数据安全风险直线上升。
2021年，美国燃油管道运营商Colonial Pipeline遭遇勒索软件攻击，导致其管道业务全部停止，支付价值440万美元的赎金。同年，美国保险公司CNA Financial遭到勒索软件攻击，15000台设备被加密，向黑客支付了4000万美元。2022年4月，丰田多家供应链遭遇勒索软件攻击，导致1.4TB数据泄露，产能被迫削减50万辆。

越来越多的勒索组织开始有计划地瞄准大型企业和基础设施，通过会员、订阅或定制，向其他“攻击者”售卖勒索软件攻击相关服务，让勒索软件攻击成本和门槛下降，攻击无处不在，企业数据安全风险直线上升。

遭遇勒索软件攻击后，由于本地、甚至灾备中心的所有数据副本均被删除， 数据往往难以恢复，且伴随着隐私、机密数据的泄露。遭受勒索后，企业不仅面临赎金损失，还会面临商誉、商业机会、法律诉讼、人力和时间成本等连带损失，连带损失甚至是赎金损失的23倍以上，对企业造成巨大的持续伤害。另外，不是支付赎金就能一劳永逸，根据统计，49%支付了赎金的企业只拿回了部分数据甚至没有拿回数据，80%支付赎金的企业甚至遭到二次攻击。

2 应对勒索软件攻击，存储成为最后一道防线**

传统的物理因素破坏包含自然灾害和系统硬件故障等，如火灾、洪水、硬盘损坏等。面对这些威胁，使用灾备方案、硬盘磨损度检测技术等可以轻松应对。当前，以勒索软件攻击为代表的人因性破坏持续增多，造成严重的经济损失，需要构建从网络到存储的全方位数据安全防护。

勒索软件可使用零日漏洞，即还没有补丁的安全漏洞、钓鱼邮件攻击等社会工程学攻击，内鬼物理攻击等方式入侵系统并植入勒索软件，使得勒索软件攻击难以防御。

网络的作用是防止勒索软件入侵、阻断勒索软件扩散、查杀勒索软件的作用。在勒索软件入侵后，网络已经无法阻止勒索软件对数据的破坏。此时，就需要数据存储来对数据进行保护。存储可以通过相关技术模式识别、机器学习等技术进行勒索识别，并且通过勒索检测、安全快照、数据隔离、数据恢复等数据安全能力来做好数据的逻辑和物理防护。

存储作为数据的最终载体，构建存储安全防护能力至关重要。在生产存储和生产隔离存储开启勒索检测功能，保障勒索攻击能够在第一时间被发现和阻止。

如果是高端存储，性能在满足业务诉求后还有余量，建议选择在存储上开启内置勒索检测功能，以降低系统部署复杂度。如果存储性能负载较满或者部署有多台存储，建议选择数据安全一体机类型的设备，实现统一管理的同时提升检测性能。专用设备不仅仅本身在抗攻击能力上具备显著的优势，而且聚焦于单项功能，也会更加稳定。勒索检测功能一般包括数据写入的事前拦截、事中实时侦测以及事后的全面扫描。

• 主存储防勒索： 当数据进入生产存储，通过存储本身的安全快照/WORM等能力，在设备内部建立一块干净区域保证数据防篡改、被删除，也可以建立一个单独的物理隔离区域，通过Air Gap自动关断控制，将数据复制到隔离区形成更安全的保护效果。
• 备份防勒索： 除了主存储自身的防勒索能力，在备份存储上同样提供防勒索能力，备份存储的加密、安全快照/WORM等保证存储内部数据的干净，通过建立隔离区，保证数据安全，以便在遭受勒索攻击的时候能快速恢复安全数据，确保企业的正常运营。

在防勒索的过程中，存储能否对勒索软件进行准确检测至关重要。业界领先的检测方法是：

• 首先，根据历史数据建立基线模型，判断副本元数据变化特征值是否有异常；
• 其次，对于异常副本，对比前后两次快照副本数据，计算文件的大小变化、熵值、相似度等；
• 最后，使用机器学习模型判断文件变化是否属于勒索加密导致，并进行勒索加密标记。
  
  防勒索组网图

3 构建企业存储侧安全屏障

将存储团队加入到数据安全团队，建立更加全面的数据安全防护体系
当前企业的数据安全团队主要由网络团队构成，他们的主要职责是通过防火墙等网络安全设备，制定严格的安全策略，封堵高危端口，减小暴露面。为了应对勒索软件攻击，应该将存储团队加入到数据安全团队，建立全面的数据安全防护体系。存储作为数据的最终载体，存储团队负责数据安全的存储防护层的建设，使用安全快照、数据隔离等方式对数据进行保护，对勒索攻击进行精准检测和快速响应，在遭遇勒索后尽快恢复。

在存储侧，构建全面的存储防勒索解决方案，夯实数据安全最后一道防线
在生产存储， 企业需要根据自身的应用SLA诉求和 数据重要等级识别需要保护的数据。 备份存储对数据副本进行防篡改保护和离线保护，保留一份干净的副本用于恢复。

事前（勒索病毒发动攻击前）——勒索文件拦截，识别勒索软件特征，阻止勒索软件对数据的破坏行为，达到拦截勒索攻击的作用；

事中（勒索病毒加密数据过程中）——实时勒索检测，在线监测勒索病毒攻击的IO行为，发现勒索攻击后，立即触发安全快照功能对检测到勒索攻击的文件系统进行主动保护，减少数据损失；

事后（勒索病毒加密数据后）——智能勒索检测，可以检测出数据副本是否被勒索病毒感染，确保用于恢复的数据副本的绝对安全。同时，积极选择全闪存存储作为生产、备份存储，在遭遇勒索软件攻击后，高性能的全闪存存储能够快速恢复业务，降低业务停机损失。

了解更多华为防勒索方案，敬请关注华为官网！