HPE公司表示,其Zerto数据保护功能可实时检测针对各种数据类型的勒索软件加密,并将数据恢复至攻击前的状态。
此次最新发布的Zerto 10采用香农熵检测器,HPE高级杰出技术专家Dimitris Krekoukias还在博文中专门介绍了其具体细节(https://recoverymonkey.org/2023/07/25/hpe-ransomware-detection-and-recovery-in-zerto-10-sophistication-that-works/)。他写道,“现代勒索软件检测机制,需要能够动态区分合法的主机活动和现代勒索软件,而不再像过去那样单纯依赖固定阈值或者数据类型假设。”
HPE的Zerto可提供持续的数据保护与灾难恢复功能。Zerto产品副总裁Deepak Verma在宣传视频中介绍称,“我们在Zero 10中嵌入了新的检测器,这是一组以数据块层面检测加密的算法。因此无论您使用什么样的操作系统,它都能以分批形式检测出单一数据块是否已被加密。”
Zerto 10发布视频中的截图,Deepak Verma谈实时勒索软件加密检测
Zerto的虚拟复制设备(VRA)在主机服务器中运行时,会复制正被迁往存储的写入数据,并将其复制到目标HPE/Zerto系统。复制的数据会在生产数据流之外接受分析,从而避免产生延迟。Zerto将在VRA复制目标层级上嵌入内联勒索软件检测器,用于分析复制的数据块。
但Krekoukias也提到,由于IT系统也涉及对数据进行合法加密、且需要保护的数据类型多种多样,所以准确识别由勒索软件引发的加密往往颇具挑战。传统的勒索软件检测方法,往往会在一组数据块内搜索高香农熵水平,意外变化则表明存在异常活动。但由于该方法依赖于固定阈值,因此存在一定局限性。
Zerto复制目标示意图
根据Krekoukias的解释,固定阈值之所以可能引发问题,是因为最合理的评判值往往会因数据类型、数据压缩和是否使用Base64等数据编码方法而有所不同。这些都可能导致加密数据的熵偏低,从而阻碍固定阈值检测系统的有效性。
相比之下,Zerto 10的检测器则凭借其动态数据类型感知而能产生更准确的结果。Krekoukias写道,“为了进一步提高准确性,该解决方案还会进行自我训练。该训练会流式自动完成,可有效提升准确度。”
一旦检测到勒索软件加密,就可以停止加密过程并恢复受影响的数据,直至检测确认勒索软件攻击中止。Krekoukias指出,“这有助于识别出哪些服务器/文件首先开始被加密,之后将其回滚到勒索软件开始加密之前、最后一次已知写入操作之后的状态。这样就能让企业以最佳方式实现对数据的恢复和隔离,并把成本投入、风险和破坏程度控制在最低。”
他告诉我们,“这项功能可与Zerto支持的任何对象配合使用——包括各种虚拟机管理程序、容器以及云服务环境。”但Acropolis不在其中,Krekoukias认为该平台对这方面功能需求不高。
IBM也在其Storage Virtualize勒索软件检测工具当中,使用了香农熵方法。
好文章,需要你的鼓励
Lonestar 在轨道上测试月球数据中心试验,探索太空数据存储与边缘处理。项目应对极端环境挑战,为政府与企业提供安全、抗灾数据服务。
Kraft 集团与波士顿的 NWN 签订五年战略合作协议,通过网络升级、云协作和 AI 应用等措施,全力提升全集团科技架构,确保大型体育赛事期间网络安全高效运行。
经过四个月测试后,Google 将 Veo 2 视频生成工具推广至 Gemini Advanced 用户,支持生成720p、8秒的16:9视频,并可通过分享功能直接上传至 TikTok 或 YouTube,同时整合至 Whisk 实验应用。