针对愈演愈烈的勒索攻击态势,国内众多网络安全企业已根据自身不同能力,推出了不少有针对性的解决方案,来帮助企业用户提高自身防范勒索攻击的安全能力。但由于大部分的勒索软件算法都是无法破解的,保护自身不被攻击虽然十分重要,在遭到勒索攻击后如何快速恢复被破坏的数据,降低事件的影响同样重要。
日前,安全419注意到,网络安全创新厂商瑞数信息在其2023新品发布会上,除了发布了在应用安全领域关于下一代WAAP平台的新思考、新技术和新产品外,还带来了自身在数据安全领域的创新产品,从数据备份和数据安全检测与应急响应的角度,基于瑞数新一代的数据备份恢复技术,为企业系统性解决数据防勒索问题提供了创新的技术方案,有效降低数据安全风险。
分钟级响应恢复 守住数据安全最后一道防线
瑞数信息技术总监吴剑刚指出,在瑞数信息看来,影响数据资产健康状况的常见因素主要有三个方面:
第一是数据被异常加密,即在不知情的情况下,数据被非法加密导致事件不能访问、不能使用;第二是数据被意外破坏,造成意外破坏的原因有很多种可能性,包括运维人员的误操作删库、密钥丢失、程序设计缺陷导致数据丢失等等;第三是蓄意的破坏,包括内部人员对数据的故意破坏删除,以及由外部攻击者入侵造成的APT攻击和勒索软件攻击都是典型的蓄意破坏行为。
其中,针对数据破坏和勒索是当前数据安全面临的最大的挑战。数据显示,2021年,平均每11秒将发生一次勒索攻击,一次勒索事件对企业造成的伤害也是巨大的,平均一次勒索攻击的恢复成本在185万美元左右,勒索事件发生后平均恢复时间甚至高达16天。造成企业业务停摆的同时,也带来了极高的经济损失。
在行业中,大多数勒索攻击防御解决方案都将重心放在网络边界、应用和主机侧,以防止勒索软件入侵、阻断勒索软件扩散。然而,勒索软件具有很高的隐蔽性和伪装性,一旦进入网络/主机层后,往往攻击者会潜伏很长时间,在获取更高的权限并掌握大量关键数据后才会发起勒索,此时网络/主机层往往已经无法阻止勒索攻击。
因此,如何构建更完整的勒索软件防护闭环,在勒索软件的潜伏期保护好企业的核心关键数据,守住数据安全最后一道防线显然至关重要。
基于这一洞察,瑞数信息打造了数据备份和快速恢复备份数据的数据安全检测与应急响应系统(DDR)系统。
吴剑刚表示,研究机构Gartner在反勒索防御的生命周期理论中曾指出,勒索攻击的防范应该是一个双向的闭环,从事前准备、阻止,事中检测、环节,到事后恢复、根源分析,构成循环。
在勒索事件没有发生之前,企业应该做更多的准备去防止勒索事件的发生;事中应该考虑如何去快速检测,如何去缓解勒索事件;而事后应该重点关注如何快速恢复。恢复机制是企业实现网络韧性的主要手段,企业至少应该构建最小安全防护机制和网络韧性,来有效应对网络攻击。
参考Gartner这一理论模型,从系统功能层面,瑞数DDR数据安全检测和响应系统重点从事前、事中、事后三个维度来提高数据反勒索的效率:
● 事前数据健康体检
“如果备份的数据本身就是不安全的,被破坏过或者是被植入了勒索程序,那备份就是没有意义的。”因此事前阶段,瑞数DDR系统首先会基于创新的“深度内容检测”技术,对企业要处理的文件和数据库进行健康体检,然后再开始备份。
● 事中智能威胁检测
在对企业关键数据进行备份后,瑞数DDR系统会定期对数据健康情况进行定期的健康体检,持续对异常数据进行检测,确保数据的可信。同时通过数据安全存储和隔离等功能来保证备份数据的安全性,防止恶意软件或黑客对备份数据进行破坏或篡改。
● 事后快速响应恢复
即便企业遭遇了勒索软件攻击,瑞数DDR系统会基于“智能深度检测引擎”,对勒索软件攻击过程中损毁的数据进行安全检测,找到被勒索病毒感染的数据及感染时间点,协助安全管理人员快速移除勒索软件,找出干净可用的数据,实现分钟级的一键快速恢复。
多项核心技术创新 构建数据安全闭环防护体系
据吴剑刚介绍,整个DDR体系的功能架构拥有多项核心创新技术:
首先是“智能深度健康监测引擎”,瑞数DDR系统对文件的检测并不仅仅关注是否被加密,而且还包括检测文件特征、重复文件,勒索申明内容等与勒索行为相关的多重维度。
其次,在智能检测引擎部分,瑞数还引入了许多AI技术,去对勒索软件的加密特性进行学习和提取,同时进行数据的预处理和关联分析等一系列自动化检测动作。
比如,针对特定文件,瑞数DDR系统还会通过熵值检测的技术去对文件的状态和情况做进一步检测。去发现异常状态的文件。他介绍,熵值检测技术,就如同基因链一般,在没有勒索事件发生的时候,熵值的紊乱度往往是很低的,但当发生数据的加密和批量修改后,紊乱度便会提高,这一算法技术能够极大提高对异常文件的发现能力,降低误报。
第三,为了实现更快速的数据恢复,瑞数还基于数据原始格式备份技术搭建了一个数据安全底座。传统备份系统和备份软件通常都采用流格式备份技术,在数据恢复时必须将备份格式转换为生产数据格式才能够恢复,这也导致了恢复时间的无限拉长。
而数据原始格式就像更直接的数据拷贝,无论多大数据量,瑞数DDR系统都能够直接挂载恢复。同时瑞数DDR系统还支持一次全备永久增量的备份方案,在每天增量备份的基础上进行自动合成,在更快速备份的同时,还能够为用户极大的节约磁盘空间。
通过测试发现,传统的备份软件,对于10TB以上的数据库恢复时间常常需要数小时,而瑞数DDR系统恢复时间可保持在10分钟左右,将恢复效率提高二十余倍以上。
关注数据本身 实现勒索防护全生命周期防护
吴剑刚表示,瑞数DDR系统的设计核心思路是并不关注勒索软件的变化,而是关注数据本身。勒索软件就像病毒样本一样每天都在变化,病毒样本每天也都在变化,因此想要靠更新特征库的方式去防住勒索攻击是非常困难的。百密必有一疏,做到真正的实时更新特征库几乎是不现实的,只有真正地保护好数据才更有效。
“换句话说,瑞数DDR系统并不关注用户家里有多少门窗,存在多少漏洞,而是关注小偷闯入之后会偷哪些东西。勒索软件的目标就是对目标组织的文件进行窃取、加密和勒索。所以瑞数实际上是剥开现象看本质,去保护好攻击者觊觎的数据。这是瑞数DDR设计的一个核心思想,我们希望为用户提供一个真正可用、可靠的数据安全检测系统和快速响应的平台。”
京公网安备 11010802033237号
