自2017年5月WannaCry（永恒之藍(lán)勒索蠕蟲）大規(guī)模爆發(fā)以來(lái)，勒索病毒成為對(duì)網(wǎng)絡(luò)安全威脅最大的一類木馬病毒，讓數(shù)據(jù)安全進(jìn)入了一個(gè)新的時(shí)代。

新的攻擊方式。

勒索病毒不會(huì)馬上發(fā)起攻擊，而是利用各種偽裝，如垃圾郵件、網(wǎng)頁(yè)廣告、系統(tǒng)漏洞、U盤等，誘使用戶上鉤。滲透并潛伏一段時(shí)間，了解企業(yè)內(nèi)部的網(wǎng)絡(luò)架構(gòu)后，再對(duì)勒索病毒做一些適配性修改，在破壞企業(yè)的備份數(shù)據(jù)后，就大規(guī)模擴(kuò)散病毒，對(duì)系統(tǒng)文件或硬盤進(jìn)行加密，隱蔽性強(qiáng)，發(fā)現(xiàn)時(shí)往往已經(jīng)積重難返。

新的受害者。

勒索病毒之后，針對(duì)非個(gè)人網(wǎng)絡(luò)的大規(guī)模攻擊變多。政府、醫(yī)療、金融、能源、交通甚至半導(dǎo)體制造行業(yè)，數(shù)據(jù)價(jià)值較高，售賣或泄露威脅更加容易變現(xiàn)，成為勒索病毒的重點(diǎn)關(guān)注對(duì)象。攻擊完“樣本企業(yè)”后，黑客們還會(huì)對(duì)業(yè)務(wù)和內(nèi)部網(wǎng)絡(luò)的架構(gòu)類似的企業(yè)發(fā)起批量攻擊，快速讓同類型企業(yè)中招，攻擊效率越來(lái)越高，受害者數(shù)量迅速攀升。

新的損失成本。

包括支付“贖金”的直接損失，以及數(shù)據(jù)丟失、業(yè)務(wù)終端、生產(chǎn)力下降、潛在收入損失甚至名譽(yù)損害等負(fù)面影響。2018年8月3日，臺(tái)積電的12英寸晶圓廠和營(yíng)運(yùn)總部就突然傳出計(jì)算機(jī)遭病毒入侵且生產(chǎn)線全部停擺的消息，幾個(gè)小時(shí)之內(nèi)，臺(tái)積電的Fab 15廠和Fab 14廠也陸續(xù)傳出同樣的消息，三處重要生產(chǎn)基地的生產(chǎn)線同步停擺，影響當(dāng)季營(yíng)收約2%，損失高達(dá)10億。

面對(duì)勒索病毒，網(wǎng)絡(luò)安全產(chǎn)業(yè)正在迎來(lái)一場(chǎng)艱難而嶄新的戰(zhàn)斗。這場(chǎng)仗究竟該怎么打？ 在2023世界移動(dòng)大會(huì)上（MWC2023），華為發(fā)布了業(yè)界首個(gè)基于“網(wǎng)絡(luò)存儲(chǔ)聯(lián)動(dòng)”的多層聯(lián)動(dòng)勒索攻擊防護(hù)技術(shù)（MRP）。

作為目前業(yè)界唯一的“網(wǎng)絡(luò)+存儲(chǔ)”多層防護(hù)方案，用內(nèi)外兼修的系統(tǒng)化能力，鑄就了應(yīng)對(duì)勒索威脅的安全之盾。我們就從這個(gè)全球矚目的方案說(shuō)起，聊聊后勒索病毒時(shí)代，數(shù)據(jù)安全的變局和新路。

數(shù)字化浪潮遇上勒索病毒，我們真的準(zhǔn)備好了嗎？

從近幾年發(fā)展趨勢(shì)看，5G、人工智能、物聯(lián)網(wǎng)、云計(jì)算等大規(guī)模的應(yīng)用，已經(jīng)成為各國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的主基調(diào)，數(shù)字化浪潮就在眼前。

但就像茨威格那句名言說(shuō)的，“所有命運(yùn)贈(zèng)送的禮物，早已在暗中標(biāo)好了價(jià)格。” 數(shù)字繁榮令人向往，但網(wǎng)絡(luò)架構(gòu)也會(huì)迭代更新，企業(yè)組織的信息設(shè)備種類越來(lái)越多，潛在的安全風(fēng)險(xiǎn)也是巨大的。

數(shù)字經(jīng)濟(jì)的快速發(fā)展，與勒索病毒的潛在威脅，形成了三個(gè)明顯的矛盾：

第一，老舊基礎(chǔ)設(shè)施與新增病毒數(shù)量的矛盾。

勒索病毒主要利用老舊操作系統(tǒng)的安全漏洞進(jìn)行攻擊，但很多傳統(tǒng)實(shí)體企業(yè)和機(jī)構(gòu)，現(xiàn)有基礎(chǔ)設(shè)施中還存在大量老舊系統(tǒng)和硬件，安全漏洞不斷增多，更容易被勒索病毒滲透。

第二，數(shù)據(jù)互聯(lián)互通與病毒攻擊范圍的矛盾。

工業(yè)互聯(lián)網(wǎng)、智能系統(tǒng)等都需要數(shù)據(jù)互聯(lián)互通，松耦合的背景下，被攻擊范圍也在不斷增加。一旦勒索病毒進(jìn)入攻擊階段，管理員處理攻擊的窗口非常短，勒索病毒很快會(huì)蔓延開來(lái)。比如2020年2月18日，黑客加密了美國(guó)某天然氣管道運(yùn)營(yíng)商IT和OT系統(tǒng)中的數(shù)據(jù)，導(dǎo)致整個(gè)管道關(guān)閉了兩天，由于管道傳輸?shù)南嗷ヒ蕾囆裕c其相關(guān)聯(lián)的其他壓縮設(shè)施也連帶受到影響。

第三，安全投入不足與攻擊損失成本的矛盾。

很多傳統(tǒng)企業(yè)和機(jī)構(gòu)的安全防護(hù)能力本就不足，安全建設(shè)多以安全事件和合規(guī)性檢查驅(qū)動(dòng)為主，加上近年來(lái)外部經(jīng)濟(jì)環(huán)境的不確定性增大，投入安全防護(hù)的資金也進(jìn)一步減少，安全防護(hù)能力愈加缺乏，而勒索病毒的“胃口”卻越來(lái)越大。2021年因勒索軟件損失200億美金，是2015年的57倍，最高的勒索金額達(dá)700萬(wàn)美金，一旦中招的損失增大。

數(shù)字化勢(shì)在必行，勒索病毒又防不勝防，那企業(yè)能不能直接“躺平”，萬(wàn)一中招就交贖金保平安呢？相關(guān)數(shù)據(jù)顯示，48％的受勒索軟件威脅的企業(yè)表示，會(huì)同意支付。

可遺憾的是，“錢貨兩清”的信譽(yù)，黑客們并不十分在乎。有超過(guò)46% 支付了贖金的組織，仍然無(wú)法恢復(fù)數(shù)據(jù)。

數(shù)據(jù)資源成為企業(yè)的關(guān)鍵生產(chǎn)要素，面對(duì)數(shù)字時(shí)代的企業(yè)防勒索需求，安全產(chǎn)品也該拿出一些“未來(lái)感”了。

數(shù)據(jù)資產(chǎn)的安全之盾：華為MRP帶來(lái)全鏈防護(hù)

此次MWC 2023上，華為帶來(lái)多層聯(lián)動(dòng)勒索攻擊防護(hù)（MRP）技術(shù)，就如同一個(gè)企業(yè)數(shù)據(jù)安全的防護(hù)盾牌，從攻擊入侵的全鏈路進(jìn)行考量。

傳統(tǒng)安全防護(hù)模式的先建設(shè)再定界、先定界再加固，面對(duì)無(wú)處不在、隱蔽性強(qiáng)的勒索病毒，難以形成高效快捷的安全防線。

MRP技術(shù)則改變了跟隨式被動(dòng)應(yīng)對(duì)，將網(wǎng)絡(luò)安全工作前置，新增了基于IO、熵值等存儲(chǔ)檢測(cè)機(jī)制，通過(guò)網(wǎng)存聯(lián)動(dòng)，覆蓋事前、事中、事后，讓勒索病毒攻不進(jìn)、走不動(dòng)、鎖不住。

事前，網(wǎng)絡(luò)邊界防入侵。

華為MRP的首要能力，就是讓病毒攻不進(jìn)。

首先根據(jù)歷史數(shù)據(jù)建立基線模型，判斷副本元數(shù)據(jù)變化特征值是否有異常。然后，針對(duì)異常副本，對(duì)比前后兩次快照副本數(shù)據(jù)，計(jì)算文件的大小變化、熵值、相似度等，再結(jié)合AI算法，判斷文件變化是否屬于勒索加密導(dǎo)致，并進(jìn)行勒索加密標(biāo)記。

這樣一套智能檢測(cè)的組合拳下來(lái)，對(duì)暴力破解攻擊的檢測(cè)準(zhǔn)確率可以達(dá)到99%，覆蓋50多種文件類型，全面識(shí)別未知惡意軟件。

事中，網(wǎng)絡(luò)內(nèi)部防擴(kuò)散。

勒索病毒一旦入侵系統(tǒng)，會(huì)快速橫向移動(dòng)，擴(kuò)散到生產(chǎn)環(huán)境。此前“Petya”勒索病毒暴發(fā)，當(dāng)天就實(shí)施了約2000次攻擊，在一些歐洲國(guó)家重災(zāi)區(qū)，每10分鐘就感染5000余臺(tái)電腦，讓多家運(yùn)營(yíng)商、石油公司、機(jī)場(chǎng)、ATM機(jī)等企業(yè)和公共設(shè)施淪陷。

要讓病毒在網(wǎng)絡(luò)內(nèi)部“走不動(dòng)”分為兩步：

一是阻止非法外聯(lián)。比如“Petya”勒索病毒就偽裝成求職簡(jiǎn)歷電子郵件，用戶點(diǎn)擊該郵件后釋放可執(zhí)行文件，自動(dòng)下載到系統(tǒng)。華為MRP的AI檢測(cè)引擎，搭載了獨(dú)家聚類+分類算法，對(duì)惡意域名檢測(cè)率達(dá)到99%以上，及時(shí)阻斷惡意程序，從而避免敏感數(shù)據(jù)泄露。

二是防止橫向擴(kuò)散。勒索病毒傳播速度快，要求分鐘級(jí)響應(yīng)，華為MRP的獨(dú)家網(wǎng)存聯(lián)動(dòng)技術(shù)，通過(guò)智能技術(shù)進(jìn)行態(tài)勢(shì)感知檢測(cè)，針對(duì)威脅事件還原勒索攻擊路徑，下發(fā)聯(lián)動(dòng)策略，自動(dòng)隔離失陷主機(jī)，避免病毒文件被備份，分鐘級(jí)完成威脅處置。

事后：生產(chǎn)環(huán)境防加密

既然勒索病毒的最終目標(biāo)是對(duì)數(shù)據(jù)進(jìn)行加密，要求受害者支付贖金以獲取解密文件所需的密鑰，而且付了贖金也可能被“撕票”。所以一旦出現(xiàn)異常情況，讓數(shù)據(jù)鎖不住、毀不掉，是最后一道關(guān)卡。

華為MRP網(wǎng)絡(luò)與存儲(chǔ)的多層聯(lián)動(dòng)，就起到關(guān)鍵作用。

首先，在企業(yè)數(shù)據(jù)存儲(chǔ)時(shí)，就進(jìn)行端到端加密，通過(guò)Air-gap離線存儲(chǔ)隔離技術(shù)，自動(dòng)化、周期性從生產(chǎn)/備份存儲(chǔ)將副本復(fù)制到隔離環(huán)境保存，確保數(shù)據(jù)安全。同時(shí)，通過(guò)安全快照技術(shù)，確保生產(chǎn)中心、安全隔離區(qū)的存儲(chǔ)數(shù)據(jù)只讀，且在設(shè)定保護(hù)周期內(nèi)，快照無(wú)法被修改和刪除。

另外，網(wǎng)存聯(lián)動(dòng)機(jī)制會(huì)實(shí)時(shí)根據(jù)捕獲的威脅文件特征，刷新網(wǎng)絡(luò)安全、存儲(chǔ)截?cái)r黑名單，將勒索攻擊告警實(shí)時(shí)同步存儲(chǔ)管理器DME， DME聯(lián)動(dòng)執(zhí)行快照恢復(fù)，避免數(shù)據(jù)被損毀，恢復(fù)效率提升5倍。

接下來(lái)，在數(shù)據(jù)恢復(fù)過(guò)程中，MRP會(huì)通過(guò)防火墻進(jìn)行單向訪問(wèn)，避免污染備份域和隔離域數(shù)據(jù)，應(yīng)對(duì)數(shù)據(jù)被加密后長(zhǎng)時(shí)間業(yè)務(wù)鎖定的問(wèn)題。

《易傳》中有一句話：“無(wú)危則安，無(wú)缺則全?！逼髽I(yè)核心資產(chǎn)的無(wú)危、無(wú)缺，是安全行業(yè)的根本目標(biāo)。

通過(guò)獨(dú)家網(wǎng)存聯(lián)動(dòng)機(jī)制，華為MRP技術(shù)在勒索病毒和數(shù)據(jù)資產(chǎn)之間，筑起了一道強(qiáng)大的安全盾牌，形成協(xié)同檢測(cè)、協(xié)同響應(yīng)、協(xié)同恢復(fù)的三大核心能力，為企業(yè)帶來(lái)更好的數(shù)據(jù)安全。

從巴塞羅那，到全球各地、千行萬(wàn)業(yè)

今天，數(shù)字經(jīng)濟(jì)蘊(yùn)藏著充沛的機(jī)遇、需求和可能性，正在全球掀起浪潮，第四次工業(yè)革命從未如此貼近和真實(shí)。在數(shù)字化之路上探索的企業(yè)和組織，需要更多安全感，將數(shù)據(jù)資產(chǎn)牢牢掌握在自己手中，激活更大的能量。

防勒索解決方案在巴塞羅那展現(xiàn)出的安全能力，恰好體現(xiàn)了華為對(duì)于安全的理解和差異化優(yōu)勢(shì)。

1.系統(tǒng)性認(rèn)知。

安全問(wèn)題是攻防雙方展開的一場(chǎng)永恒博弈，只有相對(duì)安全，沒(méi)有絕對(duì)安全。在思考數(shù)據(jù)安全時(shí)，我們不妨模擬一下黑客是怎么樣想問(wèn)題的。勒索病毒的大行其道，說(shuō)明黑客發(fā)動(dòng)攻擊時(shí)采取的是系統(tǒng)思維，先通過(guò)偽裝進(jìn)入系統(tǒng)，然后快速大規(guī)模復(fù)制，對(duì)內(nèi)部核心系統(tǒng)和數(shù)據(jù)進(jìn)行封鎖加密，實(shí)施勒索。所以，安全防護(hù)也必須要實(shí)行系統(tǒng)化防范，針對(duì)所有惡意攻擊信號(hào)，展開圍追堵截。

華為MRP網(wǎng)存聯(lián)動(dòng)的初衷與差異化，正體現(xiàn)在此，事前強(qiáng)化邊界防護(hù)能力、事中全網(wǎng)異常監(jiān)控與威脅隔離、事后數(shù)據(jù)加密存儲(chǔ)與多重備份，提供系統(tǒng)性、一體化聯(lián)動(dòng)的安全保護(hù)。

2.全棧式積累。

如前所說(shuō)，數(shù)字化、智能化的產(chǎn)業(yè)變革趨勢(shì)下，網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)從數(shù)字世界向?qū)嶓w經(jīng)濟(jì)的逐漸滲透，新基建融合了5G、人工智能、物聯(lián)網(wǎng)、云計(jì)算、邊緣計(jì)算等多種技術(shù)，“你中有我，我中有你”的環(huán)境，讓安全邊界進(jìn)一步模糊泛化。所以，安全產(chǎn)品和服務(wù)也需要從單一產(chǎn)品，轉(zhuǎn)變?yōu)閰f(xié)同式防護(hù)。

華為MRP的問(wèn)世，源自于華為在多個(gè)技術(shù)領(lǐng)域的深耕和洞察，將網(wǎng)絡(luò)和存儲(chǔ)協(xié)同起來(lái)，進(jìn)行針對(duì)性的技術(shù)突破和方案開發(fā)。

3.全球化洞察。

重塑網(wǎng)絡(luò)安全生態(tài)，構(gòu)建協(xié)同安全，有很多切入點(diǎn)，華為為什么如此看重防勒索安全能力呢？這就要提到華為的全球化視野和洞察。

勒索病毒的每一次爆發(fā)，都會(huì)造成重災(zāi)區(qū)的大規(guī)模淪陷，有的內(nèi)網(wǎng)即使沒(méi)有被勒索病毒感染，也無(wú)法避免成為下一個(gè)感染對(duì)象。華為作為一個(gè)全球布局的企業(yè)，和其他行業(yè)伙伴一樣，生存在勒索病毒的陰影下，有充足的意愿和能力，去打造一個(gè)國(guó)際化、高水準(zhǔn)的數(shù)據(jù)安全解決方案，打消全球各行各業(yè)加速擁抱數(shù)字化的隱憂。

丘吉爾說(shuō)過(guò)，永遠(yuǎn)不要浪費(fèi)一場(chǎng)危機(jī)。從WMC2023上展示的華為安全MRP技術(shù)，我們不僅可以看到安全行業(yè)本身的進(jìn)化方向，更可以發(fā)現(xiàn)數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的大勢(shì)所趨。

讓更多企業(yè)和組織無(wú)懼勒索病毒的挑戰(zhàn)，擁抱數(shù)字經(jīng)濟(jì)浪潮，從裝備一個(gè)硬核的安全盾牌開始。

前往華為官網(wǎng)，了解更多方案詳情。

審核編輯黃宇