從戴爾數(shù)據(jù)避風(fēng)港最佳實(shí)踐，看如何重新定義企業(yè)網(wǎng)絡(luò)彈性

數(shù)據(jù)安全如同懸在企業(yè)頭頂?shù)摹斑_(dá)摩克利斯之劍”，隨著新技術(shù)的飛速發(fā)展，企業(yè)運(yùn)營愈發(fā)依賴網(wǎng)絡(luò)與數(shù)據(jù)，然而這也為網(wǎng)絡(luò)威脅和攻擊敞開了大門，特別是勒索軟件攻擊，作為其中極具破壞力的一種攻擊方式，也正以驚人的速度肆虐全球。

第三方數(shù)據(jù)顯示，勒索軟件攻擊后的平均停機(jī)時間高達(dá)24天；而且超過75%的攻擊是通過身份、信任關(guān)系或者網(wǎng)絡(luò)漏洞實(shí)現(xiàn)的；此外，高達(dá)94%的勒索軟件攻擊嘗試破壞企業(yè)的備份系統(tǒng)，其中的得手率也達(dá)57%。

這些數(shù)據(jù)都反映了這樣一個事實(shí)，那就是勒索軟件攻擊給企業(yè)造成的損失正在加劇,而現(xiàn)有的數(shù)據(jù)保護(hù)方案，已難以應(yīng)對惡意軟件和勒索軟件帶來的危險，特別是不少企業(yè)認(rèn)為有備份就可以防住勒索軟件攻擊，或者在遭受勒索軟件攻擊后仍能夠恢復(fù)企業(yè)數(shù)據(jù)，其實(shí)都是抱有極大的“僥幸”心理的。

原因在于，當(dāng)前備份數(shù)據(jù)已成功黑客攻擊的主要目標(biāo)，其核心目的就是讓企業(yè)無法還原數(shù)據(jù)，最終只能被迫接受贖金的支付，且即使是企業(yè)“甘愿”支付贖金，也未必能夠贖回所有的數(shù)據(jù)——這也意味著進(jìn)入到數(shù)智化時代之后，一家企業(yè)或組織的安全“生命線”就在于是否能夠隔離數(shù)據(jù)并確保數(shù)據(jù)可用性，以支持網(wǎng)絡(luò)攻擊后的業(yè)務(wù)連續(xù)性戰(zhàn)略和恢復(fù)操作，而這就亟待構(gòu)建一套“數(shù)據(jù)避風(fēng)港”的安全防范框架和方案。

那么，什么是“數(shù)據(jù)避風(fēng)港”的安全框架？其究竟有何特殊的“魔力”，能夠讓企業(yè)客戶在面臨勒索軟件攻擊時實(shí)現(xiàn)“獨(dú)善其身”的？更為關(guān)鍵的是，面對勒索軟件攻擊的肆虐，企業(yè)的數(shù)據(jù)保護(hù)策略和方案又應(yīng)該如何“與時俱進(jìn)”的進(jìn)化與升級呢？

01.

重塑威脅漏斗，

以“3I+R”構(gòu)建企業(yè)網(wǎng)絡(luò)彈性

隨著企業(yè)數(shù)智化轉(zhuǎn)型的加速，越來越多企業(yè)的基礎(chǔ)架構(gòu)進(jìn)行了重構(gòu)，導(dǎo)致目前企業(yè)數(shù)據(jù)和網(wǎng)絡(luò)資產(chǎn)的數(shù)量和復(fù)雜性前所未有的增加，攻擊面極具擴(kuò)大的同時，攻防不對稱也在加劇，再“疊加”上勒索軟件的攻擊，可以說當(dāng)下企業(yè)面臨的安全威脅是“毀滅性”的。

也正因此，企業(yè)當(dāng)前急需重塑安全威脅漏斗，可以把它稱之為數(shù)據(jù)安全防護(hù)的“三部曲”，首當(dāng)其沖的就是從主動防御角度看，企業(yè)的核心任務(wù)是減少攻擊面，并提供更安全的數(shù)據(jù)管控；在主動防御之后，企業(yè)仍然需要對數(shù)據(jù)進(jìn)行“加固”，包括需要有一整套的數(shù)據(jù)整合機(jī)制，以及在發(fā)生災(zāi)難后的數(shù)據(jù)響應(yīng)機(jī)制等等，而最終的目標(biāo)就是實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)能力，由此才能實(shí)現(xiàn)完整的數(shù)據(jù)安全保護(hù)。

在此背景之下，基于NIST安全框架的防勒索解決方案——即數(shù)據(jù)避風(fēng)港的理念和方案“應(yīng)運(yùn)而生”。換句話說，企業(yè)對于任何數(shù)據(jù)都需要進(jìn)行主動防御與“加固”數(shù)據(jù)本身，同時通過實(shí)現(xiàn)端到端的安全性，才能夠最大程度降低企業(yè)安全風(fēng)險，增強(qiáng)網(wǎng)絡(luò)彈性，讓企業(yè)的數(shù)據(jù)保護(hù)“更安全、更完整、更可用”。

在此過程中，企業(yè)則是需要基于“3I+R”的安全防護(hù)指標(biāo)以及體系架構(gòu)來構(gòu)建數(shù)據(jù)避風(fēng)港方案，所謂“3I+R”是指，隔離（Isolation）、不可篡改（Immutability）、智能（Intelligence）以及斷網(wǎng)隔離（AirGap），具體而言：

一是，隔離（Isolation），指的是數(shù)據(jù)避風(fēng)港方案能夠以完全整合和全自動化控制的AirGap，幫助企業(yè)建立獨(dú)立、隔離的數(shù)據(jù)保護(hù)庫，且保護(hù)庫能夠完全“隱身”于企業(yè)的IT之中，由此能夠有效避免勒索軟件的攻擊。

二是，不可篡改（Immutability），指的是數(shù)據(jù)避風(fēng)港方案能夠以最嚴(yán)格的技術(shù)鎖定備份資料或數(shù)據(jù)，使其不被刪除、加密，因此可抵御外部和內(nèi)部的攻擊，強(qiáng)化數(shù)據(jù)的安全性和保護(hù)性。

三是，智能（Intelligence），指的是數(shù)據(jù)避風(fēng)港方案加持了智能分析功能，能夠提供已被惡意軟件訓(xùn)練過的ML/AI技術(shù)掃描、分析、識別，確保被保護(hù)的資料或數(shù)據(jù)是干凈未受感染的，同時還可自動企業(yè)干凈版本的時間點(diǎn)，快速還原企業(yè)的商業(yè)運(yùn)作。

四是，斷網(wǎng)隔離（AirGap），指的是數(shù)據(jù)避風(fēng)港方案中的“AirGap”功能，或者說“空氣閘”能力，它提供了與其他系統(tǒng)或網(wǎng)絡(luò)之間的物理或邏輯隔離，以防止?jié)B透數(shù)據(jù)、系統(tǒng)或應(yīng)用程序的可能性。同時，利用存儲區(qū)方法，能夠?qū)⑹鼙Ｗo(hù)的數(shù)據(jù)副本復(fù)制到另一個區(qū)域，并斷開兩個數(shù)據(jù)副本之間的網(wǎng)絡(luò)連接，防止任何人接觸復(fù)制的數(shù)據(jù)。

為什么需要構(gòu)建“3I+R”的安全防護(hù)體系架構(gòu)呢？最直接的原因是，企業(yè)目前面臨的勒索攻擊形態(tài)是非常“多樣化”的，既有針對備份的攻擊，如果僅有備份而沒有防護(hù)，一旦備份服務(wù)器被加密，所有數(shù)據(jù)都會“加鎖”，無法即使恢復(fù)業(yè)務(wù)。

與此同時，現(xiàn)在有很多針對備份刪除動作的網(wǎng)絡(luò)攻擊，甚至是針對平臺級的攻擊。這種情況下，即使企業(yè)用部署的備份服務(wù)器或備份介質(zhì)存放在虛擬化環(huán)境下，同樣所有的數(shù)據(jù)也都會被黑客“加密”，此外有些黑客還會對底層的BIOS進(jìn)行攻擊，如果這時沒有有效隔離手段或不可篡改的抵御方式，那么企業(yè)的數(shù)據(jù)照樣會被破壞，甚至有更可怕的潛伏性黑客攻擊，雖然企業(yè)每天都在備份，但備份數(shù)據(jù)卻早就被污染了，因此當(dāng)企業(yè)需要進(jìn)行數(shù)據(jù)恢復(fù)時，卻無法找到一份“干凈”的數(shù)據(jù)，這時即便是企業(yè)的數(shù)據(jù)此前就行了隔離，同樣也會“無濟(jì)于事”。

不難看出，當(dāng)前的勒索軟件攻擊可謂是“防不勝防”的，僅僅只進(jìn)行數(shù)據(jù)的備份是難以勝任企業(yè)安全防護(hù)的，但基于數(shù)據(jù)避風(fēng)港方案構(gòu)建和打造的“3I+R”的安全防護(hù)體系架構(gòu)，則能夠讓企業(yè)面臨“最壞情況”發(fā)生時，也可迅速對數(shù)據(jù)進(jìn)行隔離、清洗、掃描，最終讓企業(yè)的核心業(yè)務(wù)“起死回生”。

02.

從三個關(guān)鍵詞，

深入讀懂戴爾數(shù)據(jù)避風(fēng)港方案

作為全球數(shù)據(jù)保護(hù)領(lǐng)域的“先行者”和“引領(lǐng)者”，戴爾科技其實(shí)早在2015年基于NIST安全框架打造的數(shù)據(jù)避風(fēng)港(Cyber Recovery，CR)方案, 該方案起源于美國的金融行業(yè)，不僅是實(shí)實(shí)在在來源于業(yè)務(wù)需求所沉淀出來的解決方案，也是全球第一個能夠提供定制部署服務(wù)的“隔離”恢復(fù)解決方案，更是擁有廣泛和豐富最佳落地“實(shí)戰(zhàn)”經(jīng)驗的解決方案。

戴爾科技的數(shù)據(jù)避風(fēng)港方案，是完全符合“3I+R”的體系架構(gòu)的，其整個工作過程如下：其能夠?qū)⑸a(chǎn)中心的備份數(shù)據(jù)快速復(fù)制到“金庫”，即Vault區(qū)，復(fù)制后網(wǎng)絡(luò)自動斷開，實(shí)現(xiàn)彈性隔離；在此基礎(chǔ)上，對復(fù)制到Vault區(qū)的數(shù)據(jù)快速進(jìn)行拷貝，并對拷貝版本加鎖，在鎖定期，數(shù)據(jù)不允許刪除和修改；最后是在Vault區(qū)構(gòu)建沙箱，同時在沙箱內(nèi)對拷貝版本進(jìn)行智能掃描分析，而且是基于原始格式的勒索行為分析，不僅能夠驗證數(shù)據(jù)是否完好，也能第一時間發(fā)生問題。

同樣，這樣一套基于“3I+R”的體系架構(gòu)打造的戴爾科技數(shù)據(jù)避風(fēng)港方案也是非常有意義和價值的——它能夠?qū)崿F(xiàn)企業(yè)生產(chǎn)環(huán)境的“無感知”，其工作過程并不是通過生產(chǎn)備份軟件來抓取數(shù)據(jù)，而是通過隔離區(qū)里備份存儲之間的數(shù)據(jù)“抽拉”，同時其所有管控都在隔離區(qū)內(nèi)，并有專門的三個軟件進(jìn)行有效的控制。

尤為重要的是，其“鎖定”也并不依托于任何的操作系統(tǒng)進(jìn)行數(shù)據(jù)的“防篡改”，而是基于底層硬件進(jìn)行“防篡改”。在此基礎(chǔ)上，戴爾科技還加入了“零信任”架構(gòu)，能夠?qū)崿F(xiàn)多因素的認(rèn)證，如底層硬件的時鐘防篡改、iDRAC賬號聯(lián)動等諸多其他特性，進(jìn)一步提升整個環(huán)境的安全度。此外，其專業(yè)的防勒索智能分析軟件是基于行為的，而非僅基于特征庫，加上該軟件還會嵌入AI大模型的預(yù)判能力，這樣就能夠更有效地提升整個數(shù)據(jù)的準(zhǔn)確率，減少誤判。

也正因此，盡管當(dāng)前市場上出現(xiàn)了很多類似的數(shù)據(jù)保護(hù)解決方案，但戴爾科技數(shù)據(jù)避風(fēng)港方案的技術(shù)能力和最佳實(shí)踐經(jīng)驗依然是“遙遙領(lǐng)先”的，可以從三個“關(guān)鍵詞”做進(jìn)一步的觀察和解讀：

作為數(shù)據(jù)避風(fēng)港方案中的關(guān)鍵能力，“AirGap”的能力可以說至關(guān)重要。當(dāng)前，對于“AirGap”的能力，絕大大部分廠商是通過第三方單向防火墻或者VPN來構(gòu)建“隔離區(qū)”。也有的廠商通過生產(chǎn)端備份軟件來控制隔離的，控制信息和數(shù)據(jù)信息分開，控制信息是常連接，AirGap只能控制數(shù)據(jù)信息，但并不能保證生產(chǎn)端和“金庫區(qū)”（Vault區(qū)）是完全斷開的，換句話說，黑客可以通過生產(chǎn)端的備份服務(wù)器發(fā)現(xiàn)Vault區(qū)的存在。

除此之外，也有部分廠商使用人工服務(wù)由命令腳本方式控制網(wǎng)絡(luò)端口來創(chuàng)建AirGap解決方案或者透過其他廠商Flex手動設(shè)定AirGap容器隔離機(jī)制與防篡改機(jī)制來廣義實(shí)現(xiàn) AirGap，但這種方式由于AirGap的控制策略由外面的備份服務(wù)器確定，往往也存在著很大的風(fēng)險性。

而戴爾科技數(shù)據(jù)避風(fēng)港方案中的AirGap能力，其關(guān)鍵優(yōu)勢體現(xiàn)在，企業(yè)在生產(chǎn)環(huán)境中對Vault區(qū)是完全“無感知”的，所有的管理操作都在Vault區(qū)實(shí)現(xiàn)，生產(chǎn)端不能發(fā)現(xiàn)“隔離數(shù)據(jù)”的存在。此外，其AirGap并沒有持久鏈接，數(shù)據(jù)有復(fù)制時連通，沒有復(fù)制的時候斷開，這樣數(shù)據(jù)時刻處于“隔離狀態(tài)”。

與此同時，生產(chǎn)的備份服務(wù)器上index/catalog沒有記錄這份數(shù)據(jù)，黑客突破了企業(yè)的備份數(shù)據(jù)也發(fā)現(xiàn)不了這份數(shù)據(jù)的存在。也就是說，數(shù)據(jù)是單向的，只允許從vault區(qū)控制復(fù)制，從vault區(qū)拉數(shù)據(jù)，而并不是從生產(chǎn)端推數(shù)據(jù)。

其次，數(shù)據(jù)防篡改，是不是真的能夠?qū)崿F(xiàn)防篡改？在防篡改能力方面，可以看到一部分廠商的防篡改功能是通過加固的linux系統(tǒng)來實(shí)現(xiàn)WORM的；而大部分廠商是通過用戶權(quán)限的方式來實(shí)現(xiàn)WORM鎖定機(jī)制的，而當(dāng)系統(tǒng)都被攻破的時候，用戶權(quán)限也就沒有了任何意義。

也有一部分廠商是通過備份一體機(jī)上啟用虛擬機(jī)或者容器的方式，通過賦予不同虛機(jī)和容器角色來控制只讀權(quán)限的，但這種方式同樣也有很大的風(fēng)險，如必須結(jié)合特定型號設(shè)備支持，而且基于容器的方式，性能難以保證。此外，F(xiàn)lex中的WORM防篡改可以被禁用，這也意味著內(nèi)部人員可以刪除關(guān)鍵備份，更為嚴(yán)重的是，如果虛擬機(jī)和容器可以被刪除，那么虛擬機(jī)和容器中的不可篡改功能也就完全失效了。

反觀戴爾科技數(shù)據(jù)避風(fēng)港方案中的防篡改能力，則是通過專有硬件設(shè)備實(shí)現(xiàn)全堆棧的防篡改，從底層硬件到系統(tǒng)到應(yīng)用的全面防篡改；此外，具有專利的DIA數(shù)據(jù)無損架構(gòu)，提供最嚴(yán)格的法規(guī)遵從的不可篡改技術(shù)，數(shù)據(jù)保護(hù)期內(nèi)可確保無法篡改等等。另外，戴爾科技早在2012年就推出了防篡改的功能，具有非常成熟的實(shí)踐和應(yīng)用經(jīng)驗。

最后，偵測分析掃描，是不是只是等同于殺毒軟件？在偵測分析掃描能力方面，可以發(fā)現(xiàn)當(dāng)前大部分廠商提供的功能都類似于殺毒軟件，通過已有病毒庫和病毒特征來查殺病毒；同時，即使部分廠商擁有通過Data insight和Alta Analytics日志報表分析工具，但同樣也只能分析自己的備份軟件生成的數(shù)據(jù)。

而戴爾科技數(shù)據(jù)避風(fēng)港方案中專業(yè)防勒索智能分析軟件CyberSense則具有十分強(qiáng)大的能力，它可以不用還原數(shù)據(jù)，而是直接對備份數(shù)據(jù)進(jìn)行分析；支持元數(shù)據(jù)+ 200多個基于全內(nèi)容分析點(diǎn)（文件熵、擴(kuò)展名及其他）；支持文件、虛機(jī)、數(shù)據(jù)庫等；基于AI/ML，能靈活識別變種勒索軟件；還可檢測復(fù)雜的網(wǎng)絡(luò)攻擊，且具有99.997% 正確率等，可以說其具有“全內(nèi)容”的檢測能力，是市場上唯一支持對數(shù)據(jù)庫內(nèi)部隱藏?fù)p害進(jìn)行數(shù)據(jù)完整性分析掃描的產(chǎn)品。

也正是源于這種強(qiáng)大的技術(shù)能力，自戴爾科技數(shù)據(jù)避風(fēng)港（CR）方案發(fā)布至今，全球Cyber Recovery數(shù)據(jù)避風(fēng)港客戶超過2500+，大中華區(qū)Cyber Recovery數(shù)據(jù)避風(fēng)港客戶超過250+，幫助企業(yè)實(shí)現(xiàn)了“保護(hù)更多、恢復(fù)更快、花費(fèi)更少”，真正讓企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)做到“堅如磐石、穩(wěn)如泰山”，不但大幅提升了企業(yè)在數(shù)據(jù)管理和保護(hù)領(lǐng)域的“新體驗”，更重新定義了網(wǎng)絡(luò)彈性的“新標(biāo)準(zhǔn)”。

03.

安全進(jìn)階之路，

構(gòu)建“三位一體”數(shù)據(jù)保護(hù)策略

當(dāng)然，數(shù)據(jù)避風(fēng)港或者說企業(yè)的網(wǎng)絡(luò)彈性構(gòu)建也并不是“一蹴而就”的，數(shù)據(jù)避風(fēng)港的最佳實(shí)踐或者說要實(shí)現(xiàn)其“連續(xù)性”，是建立在以下三個環(huán)節(jié)之上的，包括全面的數(shù)據(jù)保護(hù)，加固備份環(huán)境以及構(gòu)建可信的恢復(fù)環(huán)境，總之需要以“防患于未然”的心態(tài)加強(qiáng)網(wǎng)絡(luò)安全防御，構(gòu)筑全新的網(wǎng)絡(luò)彈性平臺，以減輕與勒索軟件攻擊相關(guān)的風(fēng)險，才是最佳的企業(yè)數(shù)據(jù)保護(hù)之道。

為此，戴爾科技打造了“三位一體”的數(shù)據(jù)保護(hù)策略和方案，即通過“備份（BR）+容災(zāi)（DR）+數(shù)據(jù)避風(fēng)港（CR）”的全面保護(hù)，幫助企業(yè)構(gòu)建出最為完整且整體的數(shù)據(jù)保護(hù)策略。

第一，備份（BR）環(huán)節(jié)，能夠幫助企業(yè)做到對數(shù)據(jù)的全覆蓋，不管是跨邊緣、核心還是在多云環(huán)境下，各類邏輯錯誤或人為錯誤都可應(yīng)對。這也是對企業(yè)IT環(huán)境及數(shù)據(jù)最基本的保護(hù)，并能全面覆蓋所有工作負(fù)載，且具有可靠、快速、低成本恢復(fù)的優(yōu)勢。

第二，容災(zāi)（DR）環(huán)節(jié)，則是通過對重要數(shù)據(jù)做容災(zāi)，比如構(gòu)建兩地三中心，企業(yè)能夠無懼風(fēng)火雷電等各類自然災(zāi)害對IT系統(tǒng)的影響，這是增強(qiáng)的數(shù)據(jù)保護(hù)。

第三，數(shù)據(jù)避風(fēng)港（CR）環(huán)節(jié)，無論是備份還是容災(zāi)，在面臨AI加持、愈演愈烈的網(wǎng)絡(luò)攻擊問題時都會束手無策，而通過在戴爾Cyber Recovery數(shù)據(jù)避風(fēng)港的安全范圍內(nèi)檢測、診斷和加速數(shù)據(jù)恢復(fù)，加上AI智能化分析工具給予企業(yè)充分保障，才能夠在網(wǎng)絡(luò)攻擊后快速、從容地恢復(fù)關(guān)鍵的數(shù)據(jù)和系統(tǒng)，這樣就做到了完整的數(shù)據(jù)保護(hù)。

事實(shí)上，從網(wǎng)絡(luò)彈性成熟度角度來看，越早構(gòu)建基于“備份（BR）+容災(zāi)（DR）+數(shù)據(jù)避風(fēng)港（CR）”的數(shù)據(jù)保護(hù)策略，那么就能最大限度地減少勒索病毒軟件或者網(wǎng)絡(luò)攻擊給企業(yè)帶來的時間、成本等方面的影響。

具體來說，如果僅進(jìn)行備份，那么當(dāng)備份遭受攻擊時，企業(yè)的數(shù)據(jù)恢復(fù)時間可能面臨的“月級別”的；而如果對生產(chǎn)環(huán)境進(jìn)行有效“加固”，并使用專有的備份設(shè)備進(jìn)行安全架構(gòu)搭建，那么則可以讓恢復(fù)時間縮短到“周級別”； 如果能夠有效建立數(shù)據(jù)隔離區(qū)和集中，那么恢復(fù)時間則可以縮短到“天級別”；而如果企業(yè)有更完整的數(shù)據(jù)安全“金庫區(qū)”，且配備了專業(yè)的恢復(fù)服務(wù)以及完整的恢復(fù)手冊（handbook），那么整個恢復(fù)時間將會縮短到“小時級”，而這將大大提升勒索攻擊后的數(shù)據(jù)恢復(fù)能力，確保企業(yè)正常運(yùn)作的連續(xù)性，顯著增強(qiáng)企業(yè)遭遇攻擊后的信心和底氣。

全文總結(jié)，勒索病毒軟件的攻擊和威脅“如影隨形”，不僅會使企業(yè)面臨高額贖金的勒索，更會導(dǎo)致業(yè)務(wù)停擺，客戶流失，聲譽(yù)受損，甚至威脅到企業(yè)的生存根基。因此，企業(yè)唯有保持高度警惕，持續(xù)優(yōu)化數(shù)據(jù)保護(hù)策略，不斷提升安全防護(hù)能力。

更為關(guān)鍵的是，企業(yè)還可以選擇戴爾科技構(gòu)建的“遙遙領(lǐng)先”的數(shù)據(jù)避風(fēng)港方案，以及“三位一體”（BR+DR+CR）的數(shù)據(jù)保護(hù)策略，同時依托戴爾科技所具備的豐富網(wǎng)絡(luò)彈性實(shí)踐經(jīng)驗，包括實(shí)施了數(shù)以百計的網(wǎng)絡(luò)彈性項目，以及具有的數(shù)以千計的網(wǎng)絡(luò)恢復(fù)保險庫等能力，相信基于這樣的數(shù)據(jù)保護(hù)“硬實(shí)力”，企業(yè)將真正能夠在這場沒有硝煙的戰(zhàn)爭中立于“不敗之地”。