IDC：利用网络存储和数据保护架构构建多层防勒索数据韧性

利用网络、存储和数据保护架构构建多层防勒索数据韧性DenisMaslennikov2023年2月利用网络、存储和数据保护架构构建多层防勒索数据韧性执行摘要欢迎来到数字世界，在这里，数据才是硬通关键统计数据关键统计数据》业务数据平均增速50%,并分布在所有环境中。成为我们应对危机频发的复杂世界的必由之要在这个充满易变性、不确定性、复杂性和模糊性(volatility,uncertainty,中生存，企业需要更好地利用数据。IDC的研究显示，86%的欧洲组织迫切希望实现数字实现数字化的第一步是构建具备恢复能力的数据安全架构。随着网络攻击范围的扩大和日益复杂化，困难也随之增加。IDC研究显示，全球有三分之一的组织曾受到勒索软件的攻击并因此无法访问系统或数据。2022年8月IDC的第七次《未来企业韧性和支出调查》显示，在过去的12个月，有35%的组织经历了3至4起攻击事件，59%的组织遭受了"几天到一周"的业务中断。关键要点所带来的后果非常严重，已成为困扰商业和IT领导者的主要问题。调查显示，全球近三分之二的组织都经历过勒索软件攻击，造成系统或数据访问受阻，其中有43%的公司支付了赎金。这些攻击给组织带来了无可挽回的收入、客户和生产力损失，以及对企业声誉的损害，将组织领导人陷入尴尬处境。严重时，还需要系统灾难响应和数据恢复。数据攻击类型包括数据加密、数据窃取和数据删除(备份数据场景)。尽管攻击大多由外部黑客实施，然而内部威胁也不容忽视。因此，数据安全防护、数据管理已成为组织董事会的重点内容。IDC预测，到2023年底，随着网络攻击水平的上升，风险加剧，大多数高层领导者将引入与数据可用性、恢复和管理相关的关键业务KPI。管理层最关心的勒索问题包括：●商誉和客户信任危机●不合规和数据泄露●因停机和服务中断导致损失业务和商机·数据泄露招致法规收紧和违规通知世界上没有任何组织能够几乎完全隔绝勒索软件，但成熟的组织正在通过采用多层存储、网络和数据保护功能来建立恢复能力，并降低风险和损失。勒索软件恢复能力需要联动应对。组织必须打破网络、存储和数据保护流程之间的阻碍，确保可以从整体上处理端到端风险。随着存储和网络之间的联动更加深入，以及AI的加持，检测、隔离、补救和预防策略可以更加有效、快速。态势分析勒索软件已成为最具危险性的网络威胁之一。自2006年出现至今，勒索软件的复杂程度和攻击次数一直在增加，赎金规模从家庭用户到大型组织大为不同，低至数十美元用于解密个人文件，高至数亿美元用于恢复对网络和基础设施的访问，可以说所有大大小小的企业都笼罩在勒索软件的阴影中。虽然勒索攻击数量在全球范围内不断攀升，但拒绝支付赎金的公司也越来越多。大型企业已成为勒索软件攻击的焦点。这样的企业拥有复杂的大型基础设施，包括云、移动设备、分布式网络、工作站和服务器，潜在攻击入口较多。除了"加密数据、索要赎金"的经典手段，现代网络犯罪分子还试图向组织勒索机密数据，从而能够额外发起攻击索要赎金或将数据再次出售。网络犯罪团伙通常伪装成现代IT公司，使用勒索软件即服务的商业模式(RaaS),将被盗数据出售给其他犯罪集团。组织需要应对一系列勒索软件威胁以保护其数据：●电子邮件是勒索软件初始入侵的最常见来源：33%的勒索软件感染是由于用户打开了钓鱼邮件中的恶意链接或附件。路过式下载攻击是第二大常见威胁来源。此外，攻击者还会利用用户对软件供应商的信任，通过软件供应链的分发和更新机制发起勒索软件攻击。●当今的勒索软件构造复杂，由经验丰富的网络犯罪分子开发。所有攻击都由专业团队发起，团队中会吸纳具备各种攻击专长的人。黑客以有价值的数据为目标，且通常首先瞄准备份环境。●美国网络安全集团MITRE旗下的威胁信息防御中心创建了10大ATT&CK技术列表，表中列出了最常见的勒索软件类型：●T1486:加密数据攻击。这是网络犯罪分子的主要攻击手段。网络团伙综合使用对称和非对称加密算法，以及间歇性加密，以此快速入侵系统。这是攻击成功的关键。·T1490:阻止恢复系统。网络犯罪分子会不惜一切代价阻止受害组织恢复系统，以此增加获得赎金的可能性。●T1027:混淆文件或信息。攻击者使用不同类型的文件加密方法和混淆手段创建复杂的勒索软件，以最大限度地提高绕过受害者安全机制的能力。·T1047:Windows管理工具(WindowsManagementInstrumentation,WMI)。在各种软件中，使用内置Windows管理工具执行恶意命令或代码十分常见。●T1036:伪装。这是一种古老但如今仍在使用的恶意软件或勒索软件技术，攻击者通过篡改文件名或文件扩展名、位置、元数据等来混淆受害者视线。·2022年最活跃的勒索软件团伙包括：·LockBit:对于2022年多个月里的勒索攻击，该团伙对三分之一以上的事件负责。·BlackCat:作为一个新兴勒索软件团伙，BlackCat表示对2022年的几起重大攻击负责，包括对奥地利联邦州政府的攻击事件。·BlackBasta:继2022年成功实施数次攻击后，该团伙已成为一个重大威胁。●高赎金行业和注重业务/运营连续性的行业(金融、医疗和制造业等)成重点攻击对象。●攻击面扩大。云服务和终端激增扩大了受攻击面，网络犯罪分子将流行和关键数据环境作为攻击目标，最大限度地提高攻击可造成的损失。·索取赎金并威胁泄露敏感或隐私数据，给受害者造成业务中断及严重的合规问题。攻击者通过加密并窃取数据来提高获得赎金的几率，但即使受害者支付了赎金，数据也存在泄露或在黑市上被出售的风险。●关键基础设施成为攻击重点，政府将勒索软件视为主要威胁。组织必须遵守严格的法规防范，防范包括勒索软件在内的各种网络威胁。●高级可持续威胁攻击(AdvancedPersistentThreat,APT)以及类似级别的攻击。该类攻击从低权限帐户开始，在受害者不知情或没有检测到的情况下渗透到其他帐户，潜伏通常持续数月甚至数年。近年来，勒索软件攻击不断增加，严重困扰着安全人员和高层管理者，组织董事会对勒索软件风险的意识也越来越高。意识到勒索软件对组织的致命性后，高级管理人员希望更深入地了解数据安全、数据保护实践和响应程序。勒索软件已经成为一个全球性问题。超过三分之一的公司正在与其他组织和政府机构共享威胁情报数据(来源：《IDC未来企业韧性和支出调查》,第7次，2022年8月，n=776)。合作和数据共享可以在全球范围内限制勒索软件造成的威胁。全球三分之一、亚太地区超三分之二的公司被其供应商/合作伙伴要求确认其正在遵循并实施数据安全、数据保护和恢复实践，以此防范由勒索软件攻击造成的业务中断(《IDC未来企业韧性和支出调查》)。在勒索软件入侵事件中中，有三分之一来源于电子邮件，包括钓鱼邮件中的恶意URL或附件。对于大型组织而言，供应链攻击和外围设备上的恶意软件问题更为突出。赎金金额在过去数年大幅增长。如果感染勒索软件，金融公司付出的代价最大，2022年该行业平均支付赎金接近30万美元(《IDC未来企业韧性和支出调查》)。按行业划分的平均赎金金额(单位：千美元)IDC#EUR150248323赎金金额随着组织规模的扩大而增长。对于员工少于1千人的公司，解密数据平均花费约12万美元赎金。而对于员工超过2万人的公司，这一数字接近40万美元(《IDC未来企业韧性和支出调查》)。图2按公司规模划分的平均赎金金额(单位：千美元)与此同时，全球各地区中，支付赎金却无法恢复数据的可能性越来越高。数据机密程度越高的行业，特别是金融和制造业，尽管支付了更多的赎金，但仍无法恢复数据。越来越多的大型组织选择不支付赎金，不恢复数据。自去年以来，北美地区的赎金金额几乎翻了一番。尽管遭到的攻击越来越多，但亚太和欧洲地区支付的赎金却在减少。2022年，勒索攻击平均造成的业务中断达到了5天以上。勒索软件造成的业务平均中断天数对于任何规模的公司来说，业务中断五天都可能导致巨大的财务损失和商誉危机，需要几天、几周甚没有任何一个组织能够完全隔绝勒索软件。风险总体上很高，特别是当下所有组织都将数据视为其竞争优势，并希望在市场上建立数字信任。IDC2022年《欧洲多云调查》显示，企业IT格局正在迅速转变，每10个组织中就有8个在混合多云环境中运营。此外，业务数据正在以50%的平均速度增长，这些数据分布在本地、SaaS、公共云、边缘和私有云环境中。在这种环境中，数据孤岛、数据安全和管理复杂成了首要问题。复杂往往造成安全问题，进而引发更多的风险管控和合规策略问题。这意味着，勒索软件不仅仅是一个安全或数据保护问题，也是一个管勒索软件攻击恢复能力策略：技术、文化和意识解决勒索软件威胁刻不容缓。IDC在新冠疫情期间的一项调查显示，有四分之三的受访者承认因为勒索软件攻击而遭遇数据泄露，其中11%的受访者称泄露了有价值、敏感或秘密数据。受害者因此遭受了十分严重的后果。超过一半(59%)的组织因勒索软件攻击而经历了"几天到一周"的业务中断，还有8%的组织表示经历了"几周"的业务中断。除赎金之外，其他严重后果还包括直接收入损失、无可挽回的客户损失、员工生产力损失、IT人员加班、以及客户信任和组织商誉的损失。IDC估计，企业的平均业务中断成本为每小时25万美元。这意味着仅4小时的服务中断就可能让一家企业损失100万美元。照此计算，基础设施服务中断，不论时长，对于现代企业来说应该都是不可接受的。尽管如此，IDC的研究显示，平均只有48.4%的企业应用有完备的容灾计划。2022年的一场首席信息官(CIO)和首席信息安全官(CISO)圆桌会议上，在与IDC的对话中，IT和安全领域的领导者重点谈到了几种勒索软件侦测策略以及公司使用的技术，例如：·更主动的备份和容灾：有备份、测试备份、恢复备份是将勒索软件攻击影响降至最低的关·行为检测：运用AI和机器学习来辅助侦测和分析应用进程和文件的行为，从而识别应用进程/文件的异常和勒索行为。·沙箱或隔离：在隔离环境中运行可疑文件，观察其行为后再在系统上运行。·特征检测：部分组织基于已知恶意行为特征库来识别和阻止勒索软件。但随着勒索软件攻击变得越来越复杂和广泛，维持更新特征库也变得越来越困难。●网络流量监控：首席信息安全官和IT领导者还使用网络监控策略检测入侵或侦测勒索软件通信和数据泄露的迹象。IDC认为，防勒索策略有必要升级为多层方案，除纳入上述技术以外，还要开展一致、全面的安全意识培训，定期升级终端和网络安全，构造最佳防御。据。要实现最后一公里防御和更快的恢复，首要任务应该是加强存储和数据保护环境。IDC2022年的一项研究显示，欧洲组织认为应当在治理、风险和合规性方面加重投资。图42022年IT战略、产品和服务投资计划不漏掉任何数据商业和IT领导者应以美国国家标准与技术研究院NIST应、恢复)为锚点，向供应商说明网络恢复所需的功能。包括：包括：·身份管理和访问控制保护保·确保员工意识和培训，包括基于角色和特权用户培训建立符合组织风险战略的数据安全保护检测确定物理和软件资产，以建立资产管理计划的基础识别资产漏洞、对内部和外部组织资源的威胁以及风确定风险管理战略，包括建立风险承受能力响应包括：在活动期间和活动结束后管理与利益相关者和执法部门进行分析，包括取证，以确保有效应对并支持恢复活动根据经验教训实施改进并审查现有战略在恢复期间和恢复之后协调内部和外部沟通包括：IDC#EUR1502483238一流的数据保护能力可以助力组织实现框架内的保护、响应和恢复功能。·创建不可更改的数据副本，未经两方验证无法更改或删除。●对静态和动态数据，尤其是备份数据集，进行一致加密。·AirGap隔离副本。在生产数据和备份副本之间创建物理隔离，且控制路径与数据路径使用不同的验证方法。●AirGap隔离副本+3-2-1-1备份策略(1份本地/离线备份和1份异地/离线备份)。●在数据恢复之前，始终使用扫描软件扫描备份，确保在恢复数据时不会重新引入恶意软件。建议将上述最佳实践应用于所有环境中的数据，包括SaaS环境中不断增长的关键数据。防勒索软件需要战术方案，但是保证数据可用性才是最终目的。强调数字化的组织不能容忍发生数据不可用或丢失的情况，只有数据可用性较高的组织才具备市场优势。未来，组织领导者将越来越多地引入KPI来评估数据可用性、突发业务中断时间和数据丢失(例如不可恢复的数据等)。相关标准由首席数据官主导，由数据架构师、数据经理和IT团队提供支持。此外，整体恢复能力的构建还需要对存储和网络能力进行现代化升级，以实现识别和侦测功能。能力升级包括：该能力以存储基础设施为基础，协同数据保护软件能力。存储和备份平台应能够提供基于块和文件的安全快照功能，在存储系统中生成不可变更的数据副本，任何用户均无法修改、删除或损坏数据副本。此外，WORM(一次写入多次读取)功能支持锁定文件，包括锁定对象存储中的对象。网络安全是防御和阻拦勒索软件攻击的关键，包括稳固的网络安全，以及能够快速有效地检测已知威胁(使用防火墙)和未知威胁(使用沙箱)。威胁检测始终是防止勒索软件感染的最佳方法。当今社会遍布威胁，防勒索态势可能在几周、几天甚至几小时内迅速发生变化。新的零日漏洞可能导致大规模或复杂的勒索软件攻击，如果没有复杂的安全基础架构，将难以抵御这些攻击。没有一个安全解决方案可以完全隔绝所有现有和未知的勒索软件，但对于希望构建稳固、安全基础架构的公司而言，网络安全能力和存储架构融合应该是标准配置。IDC#EUR150248323技术聚焦：华为网存联动勒索软件恢复能力方案网络安全是数据保护的第一道防线。对组织而言，拥有最新的稳固网络安全产品至关重要，因其能够在勒索软件攻击发生之前及时阻止。华为的网络拦截模块联合采用了防火墙、沙箱和态势感知技术：●防火墙能够过滤已知勒索软件，并阻止其进一步传播和感染。●沙箱支持深入分析，以识别未知勒索软件。●两者与态势感知平台结合可阻止勒索软件横向传播。侦测和分析功能使用华为自研的引擎，其安装在存储阵列内置容器中。该方案同时使用机器学习算法分析用户行为和文件损坏特征，通过事件警告和客户端信息追溯来源。网存联动是一个独特的模块，它使用网络安全和存储保护中的数据来执行各种任务，例如防止恶意文件在基础设施中备份。安全态势感知实时将勒索软件攻击通知同步到空间管理模块(数据管理引擎DME)。然后，DME模块执行快照恢复和更改、数据隔离、创建恶意文件黑名单以及关闭AirGap隧道等操作来保护数据。存储是数据保护的最后一道防线。勒索病毒首先侵入网络环境，然后与存储环境建立通信，以便攻击者访问存储中的数据并传播勒索软件。攻击者随后发布勒索信息，并在后门通道植入二次渗透功能，准备再次或更大范围的攻击。建立有效的保护不仅要求存储具有恢复能力，还要求具备事中和事后勒索防御能力，使存储成为最后华为存储防勒索解决方案提供从主存到备份的高安全防护。该方案会侦测攻击并创建防篡改存储"隔离区”,与生产存储环境物理隔离开来。另一方面，该方案还会建立一个隔离的备份存储环境，并与主备份存储之间隔离开，两个备份环境都具备防篡改功能(见图6)。业界首个网存联动多层防勒索解决方案IDC#EUR150248323·两道防线六层防护，IT系统更健壮识别更精准·多重联动检测，精准率99.9%保护更智能、恢复更快速恢复间存动异常事件上报响应须略下达Oceancyber存储检测OceanStor检测区分机防算改10密|AirGapOcsanStarDorsdooxeanstorPadfeOsearProtectHSecEngineOccanProtoctFreHunter全闪存糖来源：华为，2023年该解决方案符合NIST网络安全框架五步建议。华为SAN存储在勒索软件恢复能力方面有四大关键技术：·AirGap:将数据复制到隔离区后自动断开复制链路，形成更安全的保护。●安全快照：确保生产中心和安全隔离区的数据只读、且在设定时间范围内无法修改和删除。·复制链路加密：对传输数据进行加密，防止复制过程中敏感信息泄露。确保存储数据安全，防止因勒索软件攻击导致敏感信息泄露。类似地，对NAS存储，该解决方案为生产环境提供本地保护，包括防止数据泄露、数据篡改以及进行侦测和分析等。该方案还提供进阶保护，如支持AirGap、复制链路加密和隔离环境保护。除了上面的四大SAN技术之外，NAS方案还加入了侦测和分析以及协议加密等功能。备份层关键技术包括：●安全快照·复制链路加密●协议加密·存储加密此外，在多存储系统部署场景，为了实现所有存储系统的统一安全检测和管理，华为还有差异化的安全设备技术，实现统一安全策略下发、勒索软件侦测和主动防御响应。提高勒索软件攻击恢复能力的新一代多层方案华为存储防勒索解决方案联动网络、存储和备份保护能力，提供新一代六层防护和恢复系统。IDC#EUR150248323●第1层：网络边界防入侵●第2层：网络内部防扩散●第1层：生产存储检测并且拦截勒索病毒●第2层：生产存储上的安全快照秒级恢复●第3层：本地备份快速恢复●第4层：AirGap隔离区安全数据快速恢复IDC认为，华为方案的特性、能力和统一的网存联动备份方案具备全面保护、准确识别和快速恢复等商业价值和优势。这些商业价值一定程度上与管理层所需要的恢复能力、合规性和可用性一致。灵活的组织管理者正在摒弃“静态保险”的数据保护策略，转而构建恢复能力。在最佳实践中，首先要构建一流的网络安全功能，以提高识别和检测功能。在与IDC的对话中，许多组织希望首先在这一方面获得帮助。此外，还可以采取整体方案，通过最新的存储和数据保护战略解决预防-检测-恢复问题。事前●根据组织的类型、规模、基础设施、潜在损害和法规制定勒索事件响应计划。·及时安装系统和软件更新(特别是供应商建议的关键更新)。黑客会利用漏洞开展攻击，不要给他们可乘之机。●端点接口和网络安全至关重要。这两者虽然无法阻止和侦测所有恶意软件，却能够隔绝99.9%的恶意软件，何乐而不为?●备份。(上文已经讨论过备份，本文稍后将再次进行讨论。)●网络分区不仅可以减缓勒索软件扩散速度，还可以防止勒索软件在系统不同部分之间传播转●员工教育和安全意识培训至关重要。组织应该将其作为一个固定流程，而不应只是偶尔开展相关活动。事后●请不要支付赎金。首先，支付赎金可能带来法律风险。其次，这正中网络犯罪分子下怀，支付赎金就等于在资助网络犯罪团伙。此外，在某些情况下，不解决备份问题也能减轻后果，可以通过解密器来处理相关勒索软件。比如由各地政府、执法部门和安全供应商联合发起的NoMoreRansom项目就针对不同的勒索软件类型提供许多免费解密工具。·找出受感染的数据和系统。●尽快将受感染的系统与基础设施中未受攻击的部分隔离开来。●从定时备份开始执行恢复流程。●向执法/政府机构报告攻击事件，帮助其他组织防御攻击。●与安全供应商和社区分享攻击的所有信息(包括恶意样本、入侵指标、元数据),以便他们能够快速响应。黄金备份原则：从3-2-1到3-2-1-13-2-1-1备份原则是一种确保公司在不同位置和不同类型的介质上拥有多个重要数据副本的方案，可以将数据丢失风险降至最低。该原则为创建和维护多个重要数据副本提供最佳实践指南。它的含义为3种副本-2种介质(如硬盘和云服务)-1份容灾(如云服务)-1份额外的离线或隔离副本。因为加入了1份隔离区副本到勒索软件保护解决方案中，所以一共会备份4份数据副本(3:2:1:1)。该原则有助于确保发生灾难、硬件故障或其他数据丢失事件时数据可恢复。在不同位置和不同类型的介质上拥有多个数据副本，就能降低数据永久丢失的风险。灵活的组织管理者会运用各种最新策略，如在SAN和NAS存储层使用安全快照和存储加密，结合AirGap和数据防篡改技术(即未经两方验证无法更改或删除的数据副本)来防止丢失数据。防患于未然，预防勒索病毒攻击和感染是重中之重。能够识别勒索软件威胁并防止其进一步传播的现代网络安全模块应具有以下组成部分：·支持更新的智能防火墙，能够检测和拦截所有已知勒索软件文件；●稳固的沙箱，能够识别和拦截未知勒索软件；●威胁情报和网络监控模块，能够持续监控并向防火墙和沙箱提供最新安全数据。上述模块应统一至一个网络安全机制中，以便在所有勒索软件攻击阶段更好地实现检测和分析。结论和建议勒索软件是必须面对的商业现实。随着组织在数字化转型中逐渐成熟，常见的攻击面随之扩展，例如电子邮件收件箱、物联网设备、移动应用程序、边缘环境、OT环境、容器环境、网站、公共云服务(通过云隧道服务实施攻击)和供应链基础设施。一些新兴的攻击面也不断涌现，例如智能互联车辆。黑客会利用车辆安全系统漏洞攻击软硬件，从而窃取车辆相关信息。此外，边缘计算和5G开放网络也很容易受到新兴黑客攻击。与此同时，随着组织越来越担心潜在的业务衰退，需要降本增效，专注于效率和创新，而不愿意在较为分散的单点解决方案上过度投资。采用符合NIST网络安全框架的多层联动、统一解决方案有助于组织最大限度地降低风险和更快地恢复。坐视不管代价高昂。对于希望实现数字化的组织首席信息安全官来说，对勒索软件攻击先采取观望态度，再做出反应，其实是一种风险极高的策略。在与IDC的对话中，一些组织承认，他们的领导团队以前只在数据丢失事件发生后才实施或更新数据保护措施，因此经历了惨痛教训。IDC研究表明，数字化成熟的组织正在强化措施缓解威胁，并正在评估多层保