面对勒索攻击，如何用存储系统构建数据安全的最后一道防线？

近日，勒索攻击事件频发，其攻击规模和频率以惊人的速度增长。Gartner预测，到2025年，75%的企业将面临一次或多次的勒索攻击。随着勒索组织的目标越来越有针对性，以及勒索攻击手段愈演愈烈，勒索攻击已成为国家、企业和个人数据安全的头号公敌。

勒索软件攻击频发，危害性和破坏性空前

勒索软件入侵系统后，通过攻击、窃取和加密价值数据，勒索企业和个人，从而获取经济利益。网络勒索者通常采用比特币作为赎金支付方式，将暗网作为不可追踪的支付链路，从而“安全”隐蔽，获得巨额收益。

根据知名投资咨询公司Cybersecurity Ventures报告，2021年，每11秒就有一个组织遭到勒索软件攻击，预计到2031年，每2秒就会有一起攻击发生。2021年全球因勒索攻击造成的损失高达 200 亿美金，高于2015年3.25亿美元的61倍。全球迄今为止最高的一笔赎金，高达7000万美元。然而，支付了赎金就能一劳永逸吗？答案显然是否定的。据统计，80%支付了赎金的组织会遭到二次勒索，49%的组织只拿回了部分数据甚至没有拿回数据。除了赎金损失，勒索攻击还会造成广泛而持续的负面影响，包括业务停顿、声誉受损、人力和时间成本增加等一系列连带损失，高出赎金的23倍以上。

2021年3月，某国保险巨头遭到勒索软件攻击，15000台设备被加密，不计其数的客户资料面临数据泄露风险，向黑客支付了4000万美元赎金。

2021年5月，某国最大的燃油管道商遭勒索软件攻击，赎金440万美元，所有管道业务被迫关闭，耗时11天才恢复全部产能，汽油价格升至7年来最高水平，引发居民恐慌性购买。

2022年4月，某国知名汽车品牌多家供应链遭遇勒索软件攻击，导致1.4TB数据泄露，产能被迫削减50万辆。

2022年5月，某国遭遇迄今为止最严重的“国家勒索”，其政府部门遭遇两波重大的勒索软件攻击，导致该国不得不宣布进入“网络安全紧急状态”，国际贸易停滞，多项基本服务陷入瘫痪，医疗系统一片混乱……

从以上例子不难看出，勒索软件肆虐全球，尤其是高数据价值的行业，如政府、能源、交通、金融、制造、医疗等成为了勒索的重灾区。据Gartner预测，到2025年，75%的企业将面临一次或多次的勒索攻击。随着攻击手段的日益增强，勒索攻击将令各行各业防不胜防。

勒索攻击愈演愈烈，数据安全风险直线上升

勒索软件隐蔽性强，善于伪装，它可以通过多种存储介质、钓鱼邮件、网站木马、社交网络、恶意内部人员等方式入侵，使勒索攻击难以防御。遭勒索攻击后，由于本地和灾备中心的有效副本均被加密或删除，数据往往难以快速恢复。据统计，被勒索后的平均业务恢复时间为16天，从勒索攻击中恢复的平均成本为185万美元。

新型勒索软件攻击呈现出以下趋势：

1.     大型企业和政府关键基础设施成为勒索重点

勒索软件的攻击方式从最初的广撒网寻找目标，逐渐变成对有价值的目标进行定向勒索。这种对目标长达数周甚至数月的侦查和定向勒索，虽然会使攻击成本增高，一旦成功，回报远远高于广撒网式勒索。于是，越来越多的勒索组织将目标瞄准大型企业和关键基础设施，政府部门首当其冲。勒索攻击的目标已经从个人升级到企业，从市政上升到国家级别，一定程度上已经成为了国家层面的安全威胁。

2.     勒索攻击RaaS（勒索即服务）化

勒索软件攻击转变为“商业服务行为”，通过会员、订阅或定制，向其他“攻击者”售卖勒索攻击相关服务，让勒索软件攻击成本和门槛下降。同时，网络和信息技术的迅猛发展以及各类加密数字货币的持续火爆，给勒索软件创造了网络温床，勒索攻击迎来“大爆发”。

3.     双重勒索模式成为常态

勒索攻击已不再是加密数据、索要赎金那么简单，更多的是先窃密、后勒索、再曝光。这样的攻击方式，使受害者不仅受到数据泄露的威胁，还面临着数据曝光后的合规监管和舆情压力的双重危机。

4.     具有“APT”级别攻击力

高级持续性威胁（Advanced Persistent Threat，APT）是一种复杂的、持续的网络攻击。勒索攻击具备“放长线，钓大鱼”的特点，攻击一旦得手，往往会造成巨大的经济损失或政治影响，乃至于毁灭性打击。

专业存储是守护数据安全的最后一道防线

诺斯罗普·格鲁曼纵深防御模型

毫无疑问，随着勒索软件的攻击手段越来越复杂，防御措施也受到了更大挑战。根据诺斯罗普·格鲁曼纵深防御模型，面对勒索软件攻击，共有5层防线：

网络边界安全防护和网络安全防护，构建在网络层，使用防火墙、沙箱、态势感知等系统来防御勒索软件的侦查探测。

主机安全防护和应用安全防护，构建在主机层，使用访问控制、安全补丁、安全审计系统、杀毒软件等技术，防御勒索软件的攻击植入。

传统的安全防御一般将重心放在网络和主机侧，它们的作用是防止勒索软件入侵、阻断勒索软件扩散。然而，勒索软件具有很高的隐蔽性和伪装性，一旦进入网络/主机层后，往往攻击者会潜伏很长时间、在获取更高的权限并掌握大量关键数据后，才会发起勒索，此时网络/主机层往往已经无法阻止勒索攻击。

而存储防勒索则可以在这一阶段，通过多种手段进一步阻止勒索攻击。包括对勒索软件的异常IO进行检测，通过防篡改技术对数据进行主动保护，通过加密技术防止存储中的数据泄露。最重要的是，除了备份存储上的数据副本外，被物理隔离的安全保护区里的副本，可以确保存储系统中始终有一份干净的、未受感染的数据用于恢复业务。

如何用专业存储构建防勒索的最后一道防线？

华为存储防勒索解决方案，提供生产存储与备份存储双重保护，通过勒索检测、数据防篡改、AirGap复制和端到端数据加密四大关键技术，打造完整的防勒索防线，让病毒藏不住、改不了；数据看不到、带不走。

主存到备份，双重防勒索

华为存储从主存到备份构建高安全防护体系。除了主存储自身的防勒索能力，华为OceanProtect专用备份存储同样具备全方位的防勒索能力，确保系统中始终有一份“干净”数据用于恢复。华为OceanProtect专用备份存储提供高达172TB/小时的恢复速度，是业界标杆的5倍，帮助被勒索企业减少停机时间、降低损失。

四大关键技术，层层防护

第一层：勒索检测，病毒“藏不住”

通过侦测分析识别勒索软件攻击，对生产存储与备份存储进行事前、事中、事后全方位侦测，识别准确率高达99.9%。事前，拦截常见勒索软件攻击；事中，及时发现勒索攻击并主动进行保护，联动防火墙等安全设备隔离发起异常I/O的主机，防止勒索软件横向扩散；事后，对数据副本进行智能检测，保障数据副本为“干净”数据。

第二层：数据防篡改，病毒“改不了”

使用WORM文件系统和安全快照技术，防止文件被篡改。WORM文件系统，可对生产存储及备份存储上的数据设置保护周期，保护期内防止对数据进行任意修改和删除操作。安全快照，在只读快照基础上，对快照设置保护期，从而实现快照“防删除”。

第三层：隔离区安全防护，数据“看不到”

使用Air Gap技术建立单独的物理隔离区域，将生产存储与备份存储的数据复制到隔离区。若生产存储和备份存储均被攻破，可使用隔离区的副本进行数据恢复。非复制期间，复制链路断开，副本处于“离线状态”，即使勒索者攻破生产网络，也无法入侵安全隔离区的数据，减少被攻击的可能。隔离区存储同样支持安全快照等防篡改特性，为数据增加多层防护。

第四层：端到端加密，数据“带不走”

通过协议加密、生产和备份存储加密、Air Gap复制链路加密、数据和备份副本远程复制传输加密，保障数据在存储传输网络和存储中不发生泄露，即使黑客攻破存储或者入侵存储网络，也获取不到机密数据。

提前构建存储防勒索体系，是有效抵御勒索攻击的关键

华为存储防勒索解决方案已经在中国、南非、亚太、东北欧、西欧、中东的能源、金融、交通、制造、政府行业，获得了多家头部客户的认可与部署，帮助客户将勒索攻击的损失降至最低。正所谓道高一尺，魔高一丈，遭遇勒索攻击后再来补救为时已晚。唯有防患于未然，提前构建全方位的防勒索体系，打造数据安全的最后一道防线，才能不给攻击可乘之机，有效降低勒索软件造成的损失。