深度剖析FlashSystem：IBM打造的实时勒索软件检测工具

网络安全是企业IT领域最受重视的议题之一。在几乎所有CIO调查中，网络弹性都被受访者们列为首要任务，其背后的理由可谓不言而喻。如今数据泄露事件的平均成本约为400万美元。更令人震惊的是，Ponemon Institute公布数据显示，83%的组织遭受过不止一次此类违规影响，因此400万这个数字恐怕还不足以反映恐怖的现实。

有鉴于此，网络安全行业的蓬勃发展也就不足为奇了。根据麦肯锡的调查，到2025年，全球网络安全市场的年价值可能高达10.5万亿美元。而2022年，这个数字已经达到2000至4000亿美元水平，具体取决于不同统计口径。

随着网络安全产品市场的爆发式增长，越来越多面向基础设施的内部威胁检测方法也开始快速涌现。例如，新的存储阵列能够检测到数据损坏，毕竟在存放数据的同时保障数据质量是非常合乎逻辑的思路。然而，难题在于存储阵列往往需要参考大量上下文才能判断数据是好是坏。毕竟存储设备只负责容纳数据，一般不会尝试解释数据内容。

IBM决定接过重担，尝试将勒索软件威胁检测直接纳入其FlashSystem存储解决方案当中。蓝色巨人正采取一种创新方法，承诺在可能属于勒索软件或造成其他潜在危害的数据被写入磁盘时予以检测，同时保证不窥探数据内容。IBM正将这项功能直接纳入自家更多存储设备当中，因此相信不久就会有后继产品投放市场。

运用数据行为分析，检测异常活动

目前检测勒索软件的三种基本方法包括：网上检测，在服务器/PC上使用文件签名检测，或者查看数据本身的行为进行检测。市面上的大部分威胁检测解决方案集中在前两种上。基于签名的检测的问题在于，要借此保障安全，就必须掌握每种恶意软件的签名。这无疑是一场需要长久持续的军备竞赛。

IBM开发的新异常检测功能更侧重于数据本身的行为，而无需了解恶意软件的具体签名信息。IBM使用所谓“香农熵”的数学技术来检测高度随机的数据，例如恶意软件经常使用的加密数据。

IBM会在数据抵达FlashSystem内部时对其执行扫描，在数据进入写入缓存时计算其香农熵。如果检测到异常，系统就会通过IBM Storage Insights提醒存储管理员，之后由存储管理员采取纠正措施。IBM Storage Insights还允许管理员配置警报阈值，从而适应任何给定环境。

IBM的计算存储方法

对数据的实时扫描会造成高昂的算力成本。因此，为了防止勒索软件检测影响到系统发生，IBM只会对1%的数据写入执行采样。这在统计学意义上足以检测到异常，而蓝色巨人还打算更上一层楼。

IBM公布新的FlashSystem异常检测功能时介绍称，在今年年底之内，这些功能将被进一步扩展至IBM的“计算存储闪存驱动器——FlashCore Modules，借此让检测尽可能接近数据，进一步缩短检测时间。”IBM很明显为此酝酿已久。

去年，IBM推出最新第三代FlashCore Module时，该公司研究员兼FLashSystem CTO Andy Walls详尽介绍了这项技术。Andy将FlashCore描述为一种计算存储设备，意味着FlashCore Module将用于缓存的NAND闪存、DRAM和MRAM结合起来，并辅以惊人的计算能力，最终带来了比传统SSD更为强大的功能。它能为存储阵列分担一部分计算密集型负载，例如压缩，转而在驱动器内部执行这些工作。这样的架构无疑在效率和灵活性方面实现了突破。

这夶系统的计算部分内置在灵活且可重新编程的板载FPGA内的ARM处理器核心上。整个逻辑的主要目标，就是管理模块的QLC闪存。除了推出首款生产级QLC闪存外，初代FlashCore还专注于压缩功能，这也是一切企业级存储阵列中最关键的功能之一。以往，压缩会严重影响效率和成本，并成为IT人员最关心的问题。

Andy表示，虽然IBM最初从压缩功能起步，但其目标是在更多有意义的方面分担并加速存储应用。未来，这套系统有望实现存储阵列中前所未有的、更多令人兴奋的新功能。

展望未来，FlashCore Module将帮助解决非结构化数据的管理，尝试在存储介质层执行过滤、搜索和扫描等操作。

此外，Andy还提到该处理器有望提供关于驱动器上数据熵变化情况的实时统计数据，IBM也暗示这项功能可能在今年晚些时候推出。

总结

虽然IBM是目前唯一一家在存储层面引入实时异常检测的阵列供应商，但数据保护和网络弹性功能确实正迅速成为企业级存储解决方案中的标准搭配。例如，不可变快照现已几乎成为所有顶级存储解决方案的标配。此外，用类似于IBM的异常熵计算来扫描快照也变得越来越流行。

但大多数存储解决方案所采用的方法，仍存在只能亡羊补牢、无法防患未然的问题。一旦发现快照损坏，往往为时已晚。我们必须及时回溯才能获取需要恢复的完好数据，而IBM的方法弥补了这方面差距，在检测到异常时能几乎立即向用户发出警报——此时距离损坏数据被写入快照还有很长时间，这才是企业真正需要的安全保障机制。

IBM存储阵列的创新给人留下深刻印象，蓝色巨人也一刻不停地发布着可能是业内最先进的创新存储技术。而随着实时分析熵这种勒索软件检测新功能，IBM正在开创存储产品的全新时代。