2023年注定將成為中國數(shù)據(jù)發(fā)展歷史上特殊的一年，國家戰(zhàn)略層面成立了國家數(shù)據(jù)局，浙江省成為第四個全省推行企業(yè)首席數(shù)據(jù)官的省份。IDC預(yù)測中國數(shù)據(jù)量規(guī)模在2027年將達到76.6ZB。在數(shù)據(jù)量呈幾何級數(shù)上漲的同時，數(shù)據(jù)的價值也開始得到自上而下的認同，國內(nèi)由此進入了數(shù)據(jù)治理的新時代。

但同樣在2023年，被稱為2022年第一威脅的勒索軟件攻擊將增長40%，并且情況還會持續(xù)惡化，預(yù)計到2031年，勒索軟件攻擊將上升到2秒發(fā)生一次。因此，數(shù)據(jù)治理首先要過的，就是需要重新定義數(shù)據(jù)保護的安全關(guān)。

變局的緣起

數(shù)據(jù)保護需要被重新定義，是由多方面因素決定的。這不僅因為用戶端的數(shù)據(jù)量快速增長，與業(yè)務(wù)緊密結(jié)合而讓數(shù)據(jù)的價值提升，還因為用戶IT基礎(chǔ)設(shè)施的變化，以及黑客攻擊手法的翻新。不變的就只有一點，那就是勒索軟件攻擊的破壞力在持續(xù)上升，目前最高的勒索贖金已達7000萬美金。

從用戶層面來看，海量數(shù)據(jù)已經(jīng)不止存于數(shù)據(jù)中心，而更多地開始向云端和邊緣端遷移。當(dāng)用戶在多云、混合云的環(huán)境下進行防保，數(shù)據(jù)備份就成了他們最后一道防線。而一直尋找系統(tǒng)弱點的黑客恰好也看準了這最后一道防線。當(dāng)入侵成功之后，造成用戶數(shù)據(jù)無法恢復(fù)時，在業(yè)務(wù)、商譽損失面前，用戶往往會選擇忍讓，但這卻并不是一個明智之舉。

?

Commvault大中國區(qū)及東南亞區(qū)域技術(shù)總監(jiān)陳偉俊表示：“勒索病毒在發(fā)展初期，黑客們只是進行惡意破壞，后來發(fā)現(xiàn)由此可以收獲贖金，就導(dǎo)致了大集團的操縱，大量資金被輸入進來。加密貨幣的流行，加速了勒索軟件攻擊的進程。但用戶需要特別注意的一點，是數(shù)據(jù)顯示只有4%的受感染者支付了贖金后能夠拿回全部數(shù)據(jù)?！?/p>

?

Commvault大中國區(qū)及東南亞區(qū)域副總裁蔡志斌則強調(diào)：“勒索軟件攻擊會攻擊所有的行業(yè)，只要你的數(shù)據(jù)有價值，就可能成為黑客攻擊的目標。類似于金融行業(yè)的大企業(yè)，數(shù)據(jù)安全防護做得比較好，黑客攻擊雖然收益大，但相應(yīng)付出的成本也高。而很多中小企業(yè)，因為黑客入侵的門檻低，所以也很容易受到攻擊?！?/p>

?

作為深耕數(shù)據(jù)保護行業(yè)20多年的資深技術(shù)人，Commvault中國區(qū)技術(shù)總監(jiān)董劍波則表示：“數(shù)據(jù)備份用戶的觀念其實一直在發(fā)生變化。2000年時，用戶的關(guān)注點在能不能備份，通過什么方式去備份數(shù)據(jù)。到了2010年，用戶更多關(guān)注系統(tǒng)一旦出現(xiàn)問題，數(shù)據(jù)能不能被恢復(fù)，恢復(fù)時間是多長。在2018年以后，用戶的關(guān)注點變成了備份系統(tǒng)是不是足夠強壯，能不能應(yīng)付黑客的攻擊，數(shù)據(jù)恢復(fù)是不是安全的恢復(fù)，其中有沒有惡意代碼，會不會面臨二次攻擊等新問題?！?/p>

由此可見，數(shù)據(jù)保護被重新定義，其緣起正是用戶的需求。這是一場不分行業(yè)和規(guī)模的、企業(yè)必須打贏的數(shù)據(jù)保衛(wèi)戰(zhàn)，而勝利的前提則是有力的武器保障。

體系的力量

重新定義數(shù)據(jù)保護并非只是在數(shù)據(jù)備份之中加入保護這么簡單，安全防護從來都是一項系統(tǒng)性工程。目前，全球有超過61%的企業(yè)在保障數(shù)據(jù)安全時，都會遵循NIST安全框架去加固自己的IT系統(tǒng)。Commvault的業(yè)界唯一能為生產(chǎn)和備份數(shù)據(jù)提供數(shù)據(jù)防御功能的解決方案，正是構(gòu)建在NIST安全框架上的。

NIST安全框架包括了識別、保護、監(jiān)控、響應(yīng)、恢復(fù)五個部分，每一部分都有相應(yīng)的標準。作為用戶，首要工作是識別出重要的數(shù)據(jù)在哪里，在此基礎(chǔ)之上，再去提供一個完善的保護方案，對系統(tǒng)進行加固，確保備份數(shù)據(jù)不被篡改。NIST安全框架提供了安全控制、零信任架構(gòu)兩個標準，這兩個標準與資產(chǎn)識別和保護一起，被看作是最先的安全部署階段。

接下來，負責(zé)安全監(jiān)控的監(jiān)控和負責(zé)事件處理的響應(yīng)，構(gòu)成了NIST安全框架中的防御部分。監(jiān)控包括了一系列的保護方案和流程，承擔(dān)著監(jiān)測出系統(tǒng)中漏洞和風(fēng)險的責(zé)任。但任何保護措施都無法保證100%的數(shù)據(jù)安全，當(dāng)攻擊發(fā)生時就需要做出快速響應(yīng)和快速處理，做到第一時間告警和溯源。

NIST安全框架的最后一個部分是安全恢復(fù)階段，它不僅涉及能否實現(xiàn)數(shù)據(jù)恢復(fù)，還需要避免二次攻擊和感染，將IT系統(tǒng)恢復(fù)到一個安全、干凈的狀態(tài)，同時還要盡量縮短恢復(fù)時間。

如此復(fù)雜的一個體系，顯然跟人們原來理解的簡單備份恢復(fù)有著天壤之別。此外，需要特別注意的是，NIST安全框架中的每一部分都非常重要，因為它們直接關(guān)系著整體防護的效果。

?

陳偉俊介紹說：“數(shù)據(jù)識別階段的工作非常重要，因為用戶的數(shù)據(jù)確實都非常重要，但并不是同等級的重要。如果不做數(shù)據(jù)識別工作，用同等的方法保護數(shù)據(jù)，那么一旦攻擊事件發(fā)生，恢復(fù)速度就會慢很多。而從Commvault的角度來看，我們會在用戶備份數(shù)據(jù)之前，先按重要性給數(shù)據(jù)分類，當(dāng)事件發(fā)生時，自動恢復(fù)功能會選擇最重要的數(shù)據(jù)優(yōu)先恢復(fù)，讓業(yè)務(wù)流程先跑起來。類似這些方法累積起來，就使得其他廠商的系統(tǒng)可能需要一個月的恢復(fù)時間，而Commvault最短的恢復(fù)時間只有12個小時。”

也正是因為這個原因，Commvault首先提供的，是安全評估服務(wù)。隨著用戶安全意識的提升，一些用戶，特別是被勒索過的用戶會主動找上門，通過咨詢查找自己系統(tǒng)中做得不到位的地方，而Commvault的工程師則會到用戶現(xiàn)場，通過現(xiàn)場調(diào)研、數(shù)據(jù)分析、風(fēng)險分析，最后提交給用戶一個包含問題解決辦法的方案文檔，明確一條達到NIST五層框架的實現(xiàn)路徑。在此基礎(chǔ)之上，Commvault再給出端到端的解決方案。

復(fù)盤攻防戰(zhàn)

以往我們見到了太多勒索軟件攻擊的結(jié)果，卻從來沒有經(jīng)歷過一場驚心動魄的攻防戰(zhàn)。而Commvault從NIST安全框架的安全、防御、恢復(fù)三個階段出發(fā)，將數(shù)據(jù)保護重新劃分為事先安全加固、事中及早預(yù)警和事后快速響應(yīng)，我們由此也有機會復(fù)盤一次驚險的勒索軟件攻擊的攻防戰(zhàn)。

今天，用戶在多云的架構(gòu)上形成了很多數(shù)據(jù)孤島，系統(tǒng)中還隱藏著大量碎片化的數(shù)據(jù)，而從識別的角度出發(fā)，卻不僅要保護所有的數(shù)據(jù)，還要識別出最重要的數(shù)據(jù)，進而保證備份數(shù)據(jù)不能被篡改。為此，Commvault研發(fā)了很多新技術(shù)，利用只能寫一次，不能重復(fù)修改的WORM副本，實現(xiàn)了數(shù)據(jù)的不可變存儲;進而利用氣隙系統(tǒng)實現(xiàn)數(shù)據(jù)隔離。還通過對生產(chǎn)數(shù)據(jù)的威脅掃描，識別出生產(chǎn)數(shù)據(jù)中的敏感數(shù)據(jù)到底會出現(xiàn)在什么地方。

當(dāng)勒索軟件攻擊發(fā)生時，Commvault的系統(tǒng)不僅能夠利用檢測手段快速檢測到勒索病毒攻擊行為，實現(xiàn)第一時間告警，還可以故意模擬一些弱點，遮擋真正重要的數(shù)據(jù)存儲位置，從而保護最重要的數(shù)據(jù)不受攻擊。再將受攻擊的系統(tǒng)隔離，不讓攻擊范圍擴散。與此同時，攻擊行為還會被傳送到專屬的安全平臺進行分析，由此得出攻擊發(fā)起人、攻擊類型等信息。根據(jù)這些信息，再給出處理方案。目前Commvault與Palo Alto Networks、微軟、CyberArk的系統(tǒng)做了緊密的集成，通過分享安全信息，把安全作為統(tǒng)一事件來處理。

如果系統(tǒng)已經(jīng)被勒索軟件攻擊攻破，就進入了數(shù)據(jù)恢復(fù)階段。高明的黑客往往會在數(shù)據(jù)中留下惡意代碼，這樣在數(shù)據(jù)恢復(fù)的過程中，可能實現(xiàn)二次攻擊。而Commvault在恢復(fù)數(shù)據(jù)中，遇到存在異常的備份數(shù)據(jù)，會打一個標簽，在數(shù)據(jù)恢復(fù)的進程中自動跳過。完成了這項工作之后，通過Commvault一鍵式的恢復(fù)能力，很短的時間內(nèi)就可以恢復(fù)幾個TB的數(shù)據(jù)，從而將用戶宕機風(fēng)險降到最低，實現(xiàn)更快速的恢復(fù)和更安全的自動跳轉(zhuǎn)。這樣做的實質(zhì)，就是將數(shù)據(jù)安全引入數(shù)據(jù)保護之中，形成一個統(tǒng)一的平臺，從而在事前、事中、事后全面保障數(shù)據(jù)備份這最后一道防線的安全。

?

董劍波介紹說：“除了符合國際安全標準和實踐，采用更多自研技術(shù)實現(xiàn)更高安全性之外，Commvault還在努力利用AI和機器學(xué)習(xí)等技術(shù)讓系統(tǒng)變得更加智能化。我們現(xiàn)在已經(jīng)采用了一些智能化技術(shù)，實現(xiàn)了誘導(dǎo)攻擊，未來我們會集成更多生成式AI、GPT能力。比如當(dāng)用戶遇到備份失敗或恢復(fù)失敗的問題時，要花很多時間去處理。而我們經(jīng)過二十多年的實踐，積累了非常多的知識庫，我們正計劃把它利用生成式AI做成自動化的處理方法，當(dāng)用戶需要時，就自動把類似的能力加到用戶的生產(chǎn)系統(tǒng)或測試系統(tǒng)中去?！?/p>

接下來，數(shù)據(jù)量還會呈現(xiàn)出高增長的態(tài)勢，物聯(lián)網(wǎng)和邊緣計算的流行，也會加劇數(shù)據(jù)碎片化的狀態(tài)。同時，由于黑客的世界里沒有游戲規(guī)則，他們會繼續(xù)尋找最弱的防線。因此，數(shù)據(jù)保護注定將進入一個被重新定義的時代。

?

蔡志斌強調(diào)：“將數(shù)據(jù)安全注入數(shù)據(jù)保護，并不一定意味著成本的增加。由于很多技術(shù)都是我們自己研發(fā)的，所以安全功能的增長并不代表著采購價格的提升，只有用戶需要用到特殊的模塊時，才會增加成本。原有用戶完全可以通過升級就享受到安全新功能?！?/p>

編輯：黃飛

?