HPE将其Zerto勒索软件防护产品，定位为“实时”数据感知检测器

HPE公司表示，其Zerto数据保护功能可实时检测针对各种数据类型的勒索软件加密，并将数据恢复至攻击前的状态。

此次最新发布的Zerto 10采用香农熵检测器，HPE高级杰出技术专家Dimitris Krekoukias还在博文中专门介绍了其具体细节（https://recoverymonkey.org/2023/07/25/hpe-ransomware-detection-and-recovery-in-zerto-10-sophistication-that-works/）。他写道，“现代勒索软件检测机制，需要能够动态区分合法的主机活动和现代勒索软件，而不再像过去那样单纯依赖固定阈值或者数据类型假设。”

HPE的Zerto可提供持续的数据保护与灾难恢复功能。Zerto产品副总裁Deepak Verma在宣传视频中介绍称，“我们在Zero 10中嵌入了新的检测器，这是一组以数据块层面检测加密的算法。因此无论您使用什么样的操作系统，它都能以分批形式检测出单一数据块是否已被加密。”

Zerto 10发布视频中的截图，Deepak Verma谈实时勒索软件加密检测

Zerto的虚拟复制设备（VRA）在主机服务器中运行时，会复制正被迁往存储的写入数据，并将其复制到目标HPE/Zerto系统。复制的数据会在生产数据流之外接受分析，从而避免产生延迟。Zerto将在VRA复制目标层级上嵌入内联勒索软件检测器，用于分析复制的数据块。

但Krekoukias也提到，由于IT系统也涉及对数据进行合法加密、且需要保护的数据类型多种多样，所以准确识别由勒索软件引发的加密往往颇具挑战。传统的勒索软件检测方法，往往会在一组数据块内搜索高香农熵水平，意外变化则表明存在异常活动。但由于该方法依赖于固定阈值，因此存在一定局限性。

Zerto复制目标示意图

根据Krekoukias的解释，固定阈值之所以可能引发问题，是因为最合理的评判值往往会因数据类型、数据压缩和是否使用Base64等数据编码方法而有所不同。这些都可能导致加密数据的熵偏低，从而阻碍固定阈值检测系统的有效性。

相比之下，Zerto 10的检测器则凭借其动态数据类型感知而能产生更准确的结果。Krekoukias写道，“为了进一步提高准确性，该解决方案还会进行自我训练。该训练会流式自动完成，可有效提升准确度。”

一旦检测到勒索软件加密，就可以停止加密过程并恢复受影响的数据，直至检测确认勒索软件攻击中止。Krekoukias指出，“这有助于识别出哪些服务器/文件首先开始被加密，之后将其回滚到勒索软件开始加密之前、最后一次已知写入操作之后的状态。这样就能让企业以最佳方式实现对数据的恢复和隔离，并把成本投入、风险和破坏程度控制在最低。”

他告诉我们，“这项功能可与Zerto支持的任何对象配合使用——包括各种虚拟机管理程序、容器以及云服务环境。”但Acropolis不在其中，Krekoukias认为该平台对这方面功能需求不高。

备注

IBM也在其Storage Virtualize勒索软件检测工具当中，使用了香农熵方法。