近年来勒索攻击造成的风险不断上升。2020年，全球勒索攻击造成的损失达到200亿美元，勒索攻击占所有攻击事件的30%以上，已经逐步成为企业面临的最需要关注的安全风险之一，而这种风险还在不断提升。

虽然现阶段勒索防护需要采用体系化的手段，即依托终端安全、数据安全和安全服务的多维度防护，但数据恢复是勒索攻击防护的最后一道防线。

在调研中发现，我国有22%的企业受到过勒索攻击，而支付赎金的比例不足一半。对所有的甲方调研发现，有55%的用户选择在面临勒索攻击时绝不交赎金。大部分的安全专家不建议企业支付赎金，一方面支付赎金勒索者也可能并不兑现诺言；另一方面攻击者认为交赎金的企业在面临勒索更可能交赎金，因此更可能作为下次攻击的目标。在不交赎金的前提下，只有自己尽快恢复数据、系统，才能保证业务的连续性。介于上述行业背景，本期发布牛品推荐——戴尔数据避风港（Cyber Recovery）。

牛品推荐第二十一期

标签

勒索防护 数据恢复  智能防护 备份数据保护

用户痛点

当前的勒索软件已不再是简单针对单一终端的攻击。随着勒索团伙专注度的提升，他们已经将目标放到大型企业，并在锁定核心系统或核心数据前处于潜伏的状态。在调研中发现，当企业中勒索软件后，75%的用户选择通过备份恢复数据。这个时候，备份数据是否完整、可靠、能够立即使用，就成为能否恢复企业业务的关键。

在一个实际发生的用户案例中，勒索软件只先加密了一台服务器中的数据，并未全面爆发。当出现服务器数据被加密时，用户选择通过备份数据进行恢复。然而，数据恢复时并没有对服务器内的勒索软件进行完整查杀，反而勒索软件通过这个行为找到了非物理隔离的备份服务器的位置，并对备份数据进行了加密。当勒索软件在生产网中大规模爆发时，备份数据的不可用导致生产网环境无法恢复。

通常用户会认为拥有数据备份系统，当基于数据的勒索攻击发生时，即可通过备份数据完成数据恢复。然而现阶段的勒索软件会在攻击备份数据后再大规模爆发，让用户无法使用备份数据，从而逼迫用户必须交纳赎金。因此，备份数据的安全性也应成为用户的关注点。

解决方案

1、方案介绍

戴尔数据避风港（Cyber Recovery）是一种新型数据防护思路，通过对备份数据的有效隔离、防护，保障备份数据的安全性，从而在出现数据勒索及其它非法数据变更时，能够有效进行数据的恢复工作，快速恢复业务连续性。

Cyber Recovery并不生产备份数据，但可以与多种数据备份软件联动，保护备份数据在生产阶段、存储阶段、应用阶段的安全性。

Cyber Recovery产品理念脱胎于美国Sheltered Harbor项目研究内容，即保障网络安全风险发生时，美国的金融行业能够快速实现业务恢复，其中数据恢复是业务恢复的重要组成部分。而这时，一套干净、可用的备份成为必要的工具。

备份数据也面临着风险。由于企业在拥有备份时很难选择支付赎金，因此现在的数据勒索的团伙通常会先破坏备份文件后再进行攻击。在找到备份数据之前，勒索软件通常处于潜伏的状态，即先不加密或者仅加密少量终端，待横向移动到备份服务器后，锁定其中的备份数据，然后再对生产环境中的数据进行攻击。

Cyber Recovery通过将备份数据进行隔离，并基于人工智能技术，对备份数据的安全性进行巡检，从而保证一旦需要使用备份数据时，能够立即使用，并且保证备份数据完整、干净。

2、技术实现

Cyber Recovery具体实现方式为：将备份数据和生产数据通过物理方式进行隔离，包括生产网在内的外部在非授权下无法访问到备份数据，从而保证备份数据的安全性。在生产数据与备份数据中间，随机产生隔离开关，查看是否有需要备份的数据。当有需要传输的数据时，通过打开一个时间窗口进行数据传输，在传输结束后则立马关闭接口，保证备份数据与生产环境隔离。当没有需要传输的备份数据时，连接立马断开，不给恶意软件可乘之机。同时，通过利用机器学习和分析技术，识别备份数据中存在的安全风险，保证及时发现勒索软件对备份数据的攻击行为。

Cyber Recover具体可包含四个组成部分：

• Cyber Recovery Vault(网络恢复存储区)：PowerProtect Cyber Recovery Vault 提供多层面保护，可在应对来 自内部的网络攻击时提供高恢复能力。它将关键数据从攻击面移开，以物理方式将之隔离在数据中心的受保护部分，并需要访问者另外提供安全凭证和通过多因素检验才能进行访问。
• CyberSense：PowerProtect Cyber Recovery是第一个与CyberSense充分集成的解决方案，为备份数据增加了智能化保护层，可在攻击渗透数据中心时帮助发现数据受损情况。
• 恢复和纠正：PowerProtect Cyber Recovery提供自动化的恢复流程，来快速并满怀信心地将关键业务系统重新上线运行。
• 解决方案规划和设计：可选的Dell EMC顾问服务帮助您确定需要保护哪些关键业务系统，并为相关的应用和服务、以及恢复这些应用和服务所需的基础架构建立依存映射。 

3、方案优势

基于隔离的备份数据保护机制并非戴尔独创，但在实际应用当中，戴尔Cyber Recovery具备其特有的优势：

• 随机的连接建立机制，减少探测可能：随机连接建立保证不会被探测到具体时间，如果攻击者有意进行针对备份数据的攻击，由于没有办法知晓连接开启时间，所以无法判断何时进行攻击合适。
• 快速判断是否需要备份数据：当连接建立后，会判断是否存在需要备份的数据，如果不需要进行更新备份，则立即断开。判定信息通过私有协议传输，当不存在需要备份的数据时，仅需在两个握手时间内即可完成判断并关闭连接。这减少了这一连接期间被攻击的可能性。
• 去重专利技术，减少存储空间及传输时间：通过自有专利技术，将数据进行去重处理，可以舍去高达60倍的存储时间，同时也意味着生产环境和备份环境的窗口时间最低只需要全部传输的1/60。而减少这一窗口时间，能够降低备份服务器被发现及被攻击的概率。
• 备份数据的防护技术：使用AI/ML技术对恶意软件的风险进行扫描、分析、侦测，并提供即时报警，保证备份数据的安全性。当备份数据被攻击时，通过人工智能技术能够及时发现备份数据的安全问题，在备份数据完全被破坏前，进行恶意软件查杀，并重新备份干净的备份数据。

4、目标用户

Cyber Recovery适用于多种用户，特别是对于有如下特点的用户，将能提供更有效的数据防护能力：

• 关键信息基础设施用户。关键信息基础设施已经成为勒索攻击者的重要目标，同时由于一旦破坏关键信息基础设施的业务连续性，会对生产生活造成重大影响。
• 业务连续性要求较高用户。除关键信息基础设施外，一些互联网企业、制造业同样对业务连续性有高要求，这类企业一旦出现业务中断，会对企业造成重大损失。
• 数据资产多的用户。大数据公司、互联网企业、咨询公司等企业通常掌握有大量数据资产，这类公司的数据一旦被勒索受到的损失重大。

5、解决问题

Cyber Recovery可以有效应对的问题包括：

• 勒索攻击的数据恢复。基于数据加密的勒索行为依旧是当前勒索攻击的主要攻击形式。Cyber Recovery能够保护用户的备份数据安全性，并当勒索攻击爆发式，能够通过备份数据完整恢复企业数据，从而帮助企业恢复业务连续性。
• 非法的数据变更恢复。当“从删库到跑路”已经不再是一个段子时，企业就必须面对有意或无意的数据非法变更行为。针对有意为之的数据删除行为，Cyber Recovery由于有效将生产网和备份数据隔离，所以能够保护备份数据不会被有益删除，同时也为数据完整恢复提供可能。

用户反馈

凭借Cyber Recovery的性能优势及实际测试的优异表现，Dell公司以第一个方案提供者的身份，成为Sheltered Harbor组织的项目合作伙伴。

“Cyber Recovery数据避风港存储区按照业务发展的速度不断扩展。CyberSense也是一款出色的工具，其报告功能和数据查看方式让我能够坚定地告诉董事会：‘网络安全值得信赖’。”

——Bob Bender ，Founders Federal Credit Union 首席技术官

“谁也不想因为遭受网络入侵而上报。Cyber Recovery数据避风港解决方案是我们为数据提供另一层保护的好方法。”

——Josh Kohlhoff，威斯康星州道奇县网络管理员

安全牛评

随着数据成为企业越来越重要的资产，这些用户日益重视数据的安全。数据备份是应对突发安全事件时，保证业务连续性的必备工具。然而，我们通常认为数据备份一定是可靠的、干净的、完整的，却忽略了对备份数据的保护，这可能导致异常事件发生时，用户的措手不及。

Cyber Recovery本质是一套备份安全防护系统。通过物理隔离机制，恶意软件和一般用户均无法触碰到隔离的备份数据。产品针对数据加密型勒索具有较强的恢复机制，但并非适用于所有类型的勒索攻击，例如数据窃取型勒索。产品针对数据的误操作、非法变更也有适用性。

备份数据隔离防护是应对数据型勒索攻击的新思路，也是应对攻击的最后一道防线。