自2017年5月WannaCry（永恒之藍勒索蠕蟲）大規(guī)模爆發(fā)以來，勒索病毒成為對網(wǎng)絡安全威脅最大的一類木馬病毒，讓數(shù)據(jù)安全進入了一個新的時代。

新的攻擊方式。

勒索病毒不會馬上發(fā)起攻擊，而是利用各種偽裝，如垃圾郵件、網(wǎng)頁廣告、系統(tǒng)漏洞、U盤等，誘使用戶上鉤。滲透并潛伏一段時間，了解企業(yè)內(nèi)部的網(wǎng)絡架構后，再對勒索病毒做一些適配性修改，在破壞企業(yè)的備份數(shù)據(jù)后，就大規(guī)模擴散病毒，對系統(tǒng)文件或硬盤進行加密，隱蔽性強，發(fā)現(xiàn)時往往已經(jīng)積重難返。

新的受害者。

勒索病毒之后，針對非個人網(wǎng)絡的大規(guī)模攻擊變多。政府、醫(yī)療、金融、能源、交通甚至半導體制造行業(yè)，數(shù)據(jù)價值較高，售賣或泄露威脅更加容易變現(xiàn)，成為勒索病毒的重點關注對象。攻擊完“樣本企業(yè)”后，黑客們還會對業(yè)務和內(nèi)部網(wǎng)絡的架構類似的企業(yè)發(fā)起批量攻擊，快速讓同類型企業(yè)中招，攻擊效率越來越高，受害者數(shù)量迅速攀升。

新的損失成本。

包括支付“贖金”的直接損失，以及數(shù)據(jù)丟失、業(yè)務終端、生產(chǎn)力下降、潛在收入損失甚至名譽損害等負面影響。2018年8月3日，臺積電的12英寸晶圓廠和營運總部就突然傳出計算機遭病毒入侵且生產(chǎn)線全部停擺的消息，幾個小時之內(nèi)，臺積電的Fab 15廠和Fab 14廠也陸續(xù)傳出同樣的消息，三處重要生產(chǎn)基地的生產(chǎn)線同步停擺，影響當季營收約2%，損失高達10億。

面對勒索病毒，網(wǎng)絡安全產(chǎn)業(yè)正在迎來一場艱難而嶄新的戰(zhàn)斗。這場仗究竟該怎么打？ 在2023世界移動大會上（MWC2023），華為發(fā)布了業(yè)界首個基于“網(wǎng)絡存儲聯(lián)動”的多層聯(lián)動勒索攻擊防護技術（MRP）。

作為目前業(yè)界唯一的“網(wǎng)絡+存儲”多層防護方案，用內(nèi)外兼修的系統(tǒng)化能力，鑄就了應對勒索威脅的安全之盾。我們就從這個全球矚目的方案說起，聊聊后勒索病毒時代，數(shù)據(jù)安全的變局和新路。

數(shù)字化浪潮遇上勒索病毒，我們真的準備好了嗎？

從近幾年發(fā)展趨勢看，5G、人工智能、物聯(lián)網(wǎng)、云計算等大規(guī)模的應用，已經(jīng)成為各國數(shù)字經(jīng)濟發(fā)展的主基調(diào)，數(shù)字化浪潮就在眼前。

但就像茨威格那句名言說的，“所有命運贈送的禮物，早已在暗中標好了價格?！?數(shù)字繁榮令人向往，但網(wǎng)絡架構也會迭代更新，企業(yè)組織的信息設備種類越來越多，潛在的安全風險也是巨大的。

數(shù)字經(jīng)濟的快速發(fā)展，與勒索病毒的潛在威脅，形成了三個明顯的矛盾：

第一，老舊基礎設施與新增病毒數(shù)量的矛盾。

勒索病毒主要利用老舊操作系統(tǒng)的安全漏洞進行攻擊，但很多傳統(tǒng)實體企業(yè)和機構，現(xiàn)有基礎設施中還存在大量老舊系統(tǒng)和硬件，安全漏洞不斷增多，更容易被勒索病毒滲透。

第二，數(shù)據(jù)互聯(lián)互通與病毒攻擊范圍的矛盾。

工業(yè)互聯(lián)網(wǎng)、智能系統(tǒng)等都需要數(shù)據(jù)互聯(lián)互通，松耦合的背景下，被攻擊范圍也在不斷增加。一旦勒索病毒進入攻擊階段，管理員處理攻擊的窗口非常短，勒索病毒很快會蔓延開來。比如2020年2月18日，黑客加密了美國某天然氣管道運營商IT和OT系統(tǒng)中的數(shù)據(jù)，導致整個管道關閉了兩天，由于管道傳輸?shù)南嗷ヒ蕾囆裕c其相關聯(lián)的其他壓縮設施也連帶受到影響。

第三，安全投入不足與攻擊損失成本的矛盾。

很多傳統(tǒng)企業(yè)和機構的安全防護能力本就不足，安全建設多以安全事件和合規(guī)性檢查驅(qū)動為主，加上近年來外部經(jīng)濟環(huán)境的不確定性增大，投入安全防護的資金也進一步減少，安全防護能力愈加缺乏，而勒索病毒的“胃口”卻越來越大。2021年因勒索軟件損失200億美金，是2015年的57倍，最高的勒索金額達700萬美金，一旦中招的損失增大。

數(shù)字化勢在必行，勒索病毒又防不勝防，那企業(yè)能不能直接“躺平”，萬一中招就交贖金保平安呢？相關數(shù)據(jù)顯示，48％的受勒索軟件威脅的企業(yè)表示，會同意支付。

可遺憾的是，“錢貨兩清”的信譽，黑客們并不十分在乎。有超過46% 支付了贖金的組織，仍然無法恢復數(shù)據(jù)。

數(shù)據(jù)資源成為企業(yè)的關鍵生產(chǎn)要素，面對數(shù)字時代的企業(yè)防勒索需求，安全產(chǎn)品也該拿出一些“未來感”了。

數(shù)據(jù)資產(chǎn)的安全之盾：華為MRP帶來全鏈防護

此次MWC 2023上，華為帶來多層聯(lián)動勒索攻擊防護（MRP）技術，就如同一個企業(yè)數(shù)據(jù)安全的防護盾牌，從攻擊入侵的全鏈路進行考量。

傳統(tǒng)安全防護模式的先建設再定界、先定界再加固，面對無處不在、隱蔽性強的勒索病毒，難以形成高效快捷的安全防線。

MRP技術則改變了跟隨式被動應對，將網(wǎng)絡安全工作前置，新增了基于IO、熵值等存儲檢測機制，通過網(wǎng)存聯(lián)動，覆蓋事前、事中、事后，讓勒索病毒攻不進、走不動、鎖不住。

事前，網(wǎng)絡邊界防入侵。

華為MRP的首要能力，就是讓病毒攻不進。

首先根據(jù)歷史數(shù)據(jù)建立基線模型，判斷副本元數(shù)據(jù)變化特征值是否有異常。然后，針對異常副本，對比前后兩次快照副本數(shù)據(jù)，計算文件的大小變化、熵值、相似度等，再結(jié)合AI算法，判斷文件變化是否屬于勒索加密導致，并進行勒索加密標記。

這樣一套智能檢測的組合拳下來，對暴力破解攻擊的檢測準確率可以達到99%，覆蓋50多種文件類型，全面識別未知惡意軟件。

事中，網(wǎng)絡內(nèi)部防擴散。

勒索病毒一旦入侵系統(tǒng)，會快速橫向移動，擴散到生產(chǎn)環(huán)境。此前“Petya”勒索病毒暴發(fā)，當天就實施了約2000次攻擊，在一些歐洲國家重災區(qū)，每10分鐘就感染5000余臺電腦，讓多家運營商、石油公司、機場、ATM機等企業(yè)和公共設施淪陷。

要讓病毒在網(wǎng)絡內(nèi)部“走不動”分為兩步：

一是阻止非法外聯(lián)。比如“Petya”勒索病毒就偽裝成求職簡歷電子郵件，用戶點擊該郵件后釋放可執(zhí)行文件，自動下載到系統(tǒng)。華為MRP的AI檢測引擎，搭載了獨家聚類+分類算法，對惡意域名檢測率達到99%以上，及時阻斷惡意程序，從而避免敏感數(shù)據(jù)泄露。

二是防止橫向擴散。勒索病毒傳播速度快，要求分鐘級響應，華為MRP的獨家網(wǎng)存聯(lián)動技術，通過智能技術進行態(tài)勢感知檢測，針對威脅事件還原勒索攻擊路徑，下發(fā)聯(lián)動策略，自動隔離失陷主機，避免病毒文件被備份，分鐘級完成威脅處置。

事后：生產(chǎn)環(huán)境防加密

既然勒索病毒的最終目標是對數(shù)據(jù)進行加密，要求受害者支付贖金以獲取解密文件所需的密鑰，而且付了贖金也可能被“撕票”。所以一旦出現(xiàn)異常情況，讓數(shù)據(jù)鎖不住、毀不掉，是最后一道關卡。

華為MRP網(wǎng)絡與存儲的多層聯(lián)動，就起到關鍵作用。

首先，在企業(yè)數(shù)據(jù)存儲時，就進行端到端加密，通過Air-gap離線存儲隔離技術，自動化、周期性從生產(chǎn)/備份存儲將副本復制到隔離環(huán)境保存，確保數(shù)據(jù)安全。同時，通過安全快照技術，確保生產(chǎn)中心、安全隔離區(qū)的存儲數(shù)據(jù)只讀，且在設定保護周期內(nèi)，快照無法被修改和刪除。

另外，網(wǎng)存聯(lián)動機制會實時根據(jù)捕獲的威脅文件特征，刷新網(wǎng)絡安全、存儲截攔黑名單，將勒索攻擊告警實時同步存儲管理器DME， DME聯(lián)動執(zhí)行快照恢復，避免數(shù)據(jù)被損毀，恢復效率提升5倍。

接下來，在數(shù)據(jù)恢復過程中，MRP會通過防火墻進行單向訪問，避免污染備份域和隔離域數(shù)據(jù)，應對數(shù)據(jù)被加密后長時間業(yè)務鎖定的問題。

《易傳》中有一句話：“無危則安，無缺則全?！逼髽I(yè)核心資產(chǎn)的無危、無缺，是安全行業(yè)的根本目標。

通過獨家網(wǎng)存聯(lián)動機制，華為MRP技術在勒索病毒和數(shù)據(jù)資產(chǎn)之間，筑起了一道強大的安全盾牌，形成協(xié)同檢測、協(xié)同響應、協(xié)同恢復的三大核心能力，為企業(yè)帶來更好的數(shù)據(jù)安全。

從巴塞羅那，到全球各地、千行萬業(yè)

今天，數(shù)字經(jīng)濟蘊藏著充沛的機遇、需求和可能性，正在全球掀起浪潮，第四次工業(yè)革命從未如此貼近和真實。在數(shù)字化之路上探索的企業(yè)和組織，需要更多安全感，將數(shù)據(jù)資產(chǎn)牢牢掌握在自己手中，激活更大的能量。

防勒索解決方案在巴塞羅那展現(xiàn)出的安全能力，恰好體現(xiàn)了華為對于安全的理解和差異化優(yōu)勢。

1.系統(tǒng)性認知。

安全問題是攻防雙方展開的一場永恒博弈，只有相對安全，沒有絕對安全。在思考數(shù)據(jù)安全時，我們不妨模擬一下黑客是怎么樣想問題的。勒索病毒的大行其道，說明黑客發(fā)動攻擊時采取的是系統(tǒng)思維，先通過偽裝進入系統(tǒng)，然后快速大規(guī)模復制，對內(nèi)部核心系統(tǒng)和數(shù)據(jù)進行封鎖加密，實施勒索。所以，安全防護也必須要實行系統(tǒng)化防范，針對所有惡意攻擊信號，展開圍追堵截。

華為MRP網(wǎng)存聯(lián)動的初衷與差異化，正體現(xiàn)在此，事前強化邊界防護能力、事中全網(wǎng)異常監(jiān)控與威脅隔離、事后數(shù)據(jù)加密存儲與多重備份，提供系統(tǒng)性、一體化聯(lián)動的安全保護。

2.全棧式積累。

如前所說，數(shù)字化、智能化的產(chǎn)業(yè)變革趨勢下，網(wǎng)絡安全威脅風險從數(shù)字世界向?qū)嶓w經(jīng)濟的逐漸滲透，新基建融合了5G、人工智能、物聯(lián)網(wǎng)、云計算、邊緣計算等多種技術，“你中有我，我中有你”的環(huán)境，讓安全邊界進一步模糊泛化。所以，安全產(chǎn)品和服務也需要從單一產(chǎn)品，轉(zhuǎn)變?yōu)閰f(xié)同式防護。

華為MRP的問世，源自于華為在多個技術領域的深耕和洞察，將網(wǎng)絡和存儲協(xié)同起來，進行針對性的技術突破和方案開發(fā)。

3.全球化洞察。

重塑網(wǎng)絡安全生態(tài)，構建協(xié)同安全，有很多切入點，華為為什么如此看重防勒索安全能力呢？這就要提到華為的全球化視野和洞察。

勒索病毒的每一次爆發(fā)，都會造成重災區(qū)的大規(guī)模淪陷，有的內(nèi)網(wǎng)即使沒有被勒索病毒感染，也無法避免成為下一個感染對象。華為作為一個全球布局的企業(yè)，和其他行業(yè)伙伴一樣，生存在勒索病毒的陰影下，有充足的意愿和能力，去打造一個國際化、高水準的數(shù)據(jù)安全解決方案，打消全球各行各業(yè)加速擁抱數(shù)字化的隱憂。

丘吉爾說過，永遠不要浪費一場危機。從WMC2023上展示的華為安全MRP技術，我們不僅可以看到安全行業(yè)本身的進化方向，更可以發(fā)現(xiàn)數(shù)字經(jīng)濟蓬勃發(fā)展的大勢所趨。

讓更多企業(yè)和組織無懼勒索病毒的挑戰(zhàn)，擁抱數(shù)字經(jīng)濟浪潮，從裝備一個硬核的安全盾牌開始。

前往華為官網(wǎng)，了解更多方案詳情。

審核編輯黃宇