IBM在新FlashSystem中引入数据路径勒索软件检测

IBM在新的存储解决方案中引入了AI增强功能，希望借此增强数据抵御勒索软件及其他网络威胁的能力。面对仍在持续且不断升级的网络攻击现实风险，IBM的此项增强功能可谓恰逢其时。

新功能以IBM第四代FlashCore Module技术为中心，同时配合IBM Storage Defender的最新更新版本，强调通过直接检测数据路径中的异常以改进威胁检测及响应效果。

为了解整套防护方案的基本原理，我们邀请到了IBM Flash Storage首席技术官兼IBM研究员Andy Walls。他的主要工作是为IBM存储业务制定技术支持愿景，包括以全新方式运用FlashCore Module技术解决数据面对的迫切安全挑战。

在本次访谈中，Andy首度公开了IBM如何使用FlashCore Module的计算存储功能，努力在数据被写入闪存的过程中查看勒索软件熵以实现威胁检测。

IBM FlashCore Module

Andy将FlashCore描述为一种计算存储设备。具体来讲，FlashCore Module（简称FCM——将用于持久存储的NAND闪存、作为缓存的RAM内存和大量板载计算资源结合起来，由此实现比传统SSD更为强大的功能。

FCM能够为存储阵列分担一部分繁重的计算工作，例如压缩，即直接在驱动器上完成处理。IBM FlashSystem现在也可借此发现象征存在勒索软件的数据异常。

检测数据路径中的勒索软件

IBM的全新勒索软件检测功能可在I/O层级上实现实时数据监控，依靠机器学习模型在一分钟之内检测出象征存在勒索软件的异常情况。其工作百折不回如下图所示：

IBM FlashSystem勒索软件威胁检测功能。

IBM FlashSystem产品在数据写入过程中，会以块级粒度扫描所有传入数据。整个过程将涉及内联数据损坏检测软件以及云端AI方案，借此识别出可能象征网络攻击（包括勒索软件）的异常情况。依托于此类早期检测机制，管理员可以立即采取响应以缓解攻击影响。

第四代FCM技术支持IBM Storage FlashSystem系列中的AI功能，即使用机器学习模型持续监控从每项输入/输出（I/O）操作中收集到的统计数据。

FCM内的勒索软件检测机制。

IBM训练的这些模型能够检测出包括勒索软件行为在内的多种异常情况。IBM公司苏黎世研究团队负责协助维护勒索软件I/O签名数据库，这套数据库将帮助系统持续对齐不断变化的威胁形势。

FCM将实时捕捉并汇总关于每项I/O操作的详细统计数据。利用机器学习模型，系统即可区分正常行为与勒索软件/恶意软件间的模式差异，从而立即采取纠正措施以保护数据安全。

IBM FlashSystem还会分析数据的可压缩性与随机性（熵）等参数，并将这部分信息传递给IBM Storage Insights软件。这款软件能够在检测到工作负载异常时向运维人员发出警报。例如，假定勒索软件开始对应用程序数据执行加密，则系统将根据数据特征的变化检测出这种异常行为。

IBM Storage Defender集成

IBM数据保护的核心，正是经过升级的IBM Storage Defender软件。新版本采用AI驱动的传感器，将FlashSystem检测与跨多种IT环境（包括虚拟机、数据库、应用程序和容器）的广泛威胁检测功能整合了起来。

新版本还引入了工作负载与存储库管理功能，以帮助组织将自身资产纳入业务连续性计划，确保可在遭遇攻击后快速恢复。该软件还能与其他IBM存储及安全解决方案、乃至第三方数据平台相集成，建立起端到端数据弹性体系。

新版本中的主要创新，包括存储管理员能够创建用于自动备份的保护组，也可利用不受威胁签名影响的不可变数据副本还原至多个位置。IBM还集成了用于创建受保护副本快照的设置选项，这些快照同样具备网络弹性并与生产数据相互隔离，确保在发生数据丢失事件后加快恢复速度。

分析师观点

在IBM的精心设计之下，存储解决方案拥有了为网络威胁提供早期预警的能力，可帮助企业更快恢复业务并保障数据的机密性与安全性，免受勒索软件及其他网络攻击的侵袭。

数据保护与网络弹性功能正迅速成为企业存储解决方案中的标准化选项。例如，不可变快照现已成为几乎所有顶尖存储供应商解决方案的固有部分。使用熵计算进行快照扫描（例如IBM的异常状况计算功能）也变得愈发流行。

但大多数存储解决方案的现行方法，往往面临着只能在威胁事后进行检测的现实挑战。一旦发现快照损坏往往为时已晚，用户必须尽快回溯才能获得用于还原的正常数据。

IBM的方法弥补了这一缺失，可在检测到异常情况后以近实时方式向用户发出警报。这时受损数据尚未被写入至快照，因此更加符合企业客户希望获得的数据保护预期。

当然，IBM并不是唯一一家将这种级别实时异常检测直接整合进存储阵列的存储方案供应商。NetApp ONTAP产品同样包含自主勒索软件检测功能，并利用熵计算进行异常检测并发出警报。

与IBM不同，NetApp选择了在存储控制器上进行计算，而非直接将处理任务交由底层驱动器执行。NetApp的方法也无法检测勒索软件签名；相反，其方案依赖于熵、文件扩展名与文件写入活动量。目前，IBM是唯一能够在存储层级上提供威胁检测功能的厂商。

尽管大多数存储厂商都在投入研究经费，努力在商用服务器硬件上实现企业级存储，但IBM仍是少数不断立足底层平台的全栈视角推动存储技术创新的中坚力量之一。

IBM的存储解决方案仍是市面上最先进的技术选项之一，也使其成为保护企业关键数据的理想选择。相信此次全新勒索软件检测功能的亮相，将进一步巩固蓝色巨人在领域内的领先地位。