數(shù)據安全如同懸在企業(yè)頭頂?shù)摹斑_摩克利斯之劍”，隨著新技術的飛速發(fā)展，企業(yè)運營愈發(fā)依賴網絡與數(shù)據，然而這也為網絡威脅和攻擊敞開了大門，特別是勒索軟件攻擊，作為其中極具破壞力的一種攻擊方式，也正以驚人的速度肆虐全球。

第三方數(shù)據顯示，勒索軟件攻擊后的平均停機時間高達24天；而且超過75%的攻擊是通過身份、信任關系或者網絡漏洞實現(xiàn)的；此外，高達94%的勒索軟件攻擊嘗試破壞企業(yè)的備份系統(tǒng)，其中的得手率也達57%。

這些數(shù)據都反映了這樣一個事實，那就是勒索軟件攻擊給企業(yè)造成的損失正在加劇，而現(xiàn)有的數(shù)據保護方案，已難以應對惡意軟件和勒索軟件帶來的危險。特別是不少企業(yè)認為有備份就可以防住勒索軟件攻擊，或者在遭受勒索軟件攻擊后仍能夠恢復企業(yè)數(shù)據，其實都是抱有極大的“僥幸”心理的。

原因在于，當前備份數(shù)據已成為黑客攻擊的主要目標，其核心目的就是讓企業(yè)無法還原數(shù)據，最終只能被迫接受贖金的支付，且即使是企業(yè)“甘愿”支付贖金，也未必能夠贖回所有的數(shù)據。

這也意味著進入到數(shù)智化時代之后，一家企業(yè)或組織的安全“生命線”就在于是否能夠隔離數(shù)據并確保數(shù)據可用性，以支持網絡攻擊后的業(yè)務連續(xù)性戰(zhàn)略和恢復操作，而這就亟待構建一套“數(shù)據避風港”的安全防范框架和方案。

那么，什么是“數(shù)據避風港”的安全框架？其究竟有何特殊的“魔力”，能夠讓企業(yè)客戶在面臨勒索軟件攻擊時實現(xiàn)“獨善其身”的？更為關鍵的是，面對勒索軟件攻擊的肆虐，企業(yè)的數(shù)據保護策略和方案又應該如何“與時俱進”的進化與升級呢？

重塑威脅漏斗

以“3I+R”構建企業(yè)網絡彈性

隨著企業(yè)數(shù)智化轉型的加速，越來越多企業(yè)的基礎架構進行了重構，導致目前企業(yè)數(shù)據和網絡資產的數(shù)量和復雜性前所未有的增加，攻擊面極具擴大的同時，攻防不對稱也在加劇，再“疊加”上勒索軟件的攻擊，可以說當下企業(yè)面臨的安全威脅是“毀滅性”的。

對此，企業(yè)當前急需重塑安全威脅漏斗，可以把它稱之為數(shù)據安全防護的“三部曲”，首要的就是從主動防御角度看，企業(yè)的核心任務是減少攻擊面，并提供更安全的數(shù)據管控；在主動防御之后，企業(yè)仍然需要對數(shù)據進行“加固”，包括需要有一整套的數(shù)據整合機制，以及在發(fā)生災難后的數(shù)據響應機制等等，而最終的目標就是實現(xiàn)數(shù)據的恢復能力，由此才能實現(xiàn)完整的數(shù)據安全保護。

在此背景之下，基于NIST安全框架的防勒索解決方案——即數(shù)據避風港的理念和方案“應運而生”。

換句話說，企業(yè)對于任何數(shù)據都需要進行主動防御與“加固”數(shù)據本身，同時通過實現(xiàn)端到端的安全性，才能夠最大程度降低企業(yè)安全風險，增強網絡彈性，讓企業(yè)的數(shù)據保護“更安全、更完整、更可用”。

在此過程中，企業(yè)則是需要基于“3I+R”的安全防護指標以及體系架構來構建數(shù)據避風港方案，所謂“3I+R”是指，隔離(Isolation)、不可篡改(Immutability)、智能(Intelligence)以及斷網隔離(AirGap)，具體而言：

一是隔離(Isolation)，指的是數(shù)據避風港方案能夠以完全整合和全自動化控制的AirGap，幫助企業(yè)建立獨立、隔離的數(shù)據保護庫，且保護庫能夠完全“隱身”于企業(yè)的IT之中，由此能夠有效避免勒索軟件的攻擊。

二是不可篡改(Immutability)，指的是數(shù)據避風港方案能夠以最嚴格的技術鎖定備份資料或數(shù)據，使其不被刪除、加密，因此可抵御外部和內部的攻擊，強化數(shù)據的安全性和保護性。

三是智能(Intelligence)，指的是數(shù)據避風港方案加持了智能分析功能，能夠提供已被惡意軟件訓練過的ML/AI技術掃描、分析、識別，確保被保護的資料或數(shù)據是干凈未受感染的，同時還可自動識別干凈版本的時間點，快速還原企業(yè)的商業(yè)運作。

四是斷網隔離(AirGap)，指的是數(shù)據避風港方案中的“AirGap”功能，或者說“空氣閘”能力，它提供了與其他系統(tǒng)或網絡之間的物理或邏輯隔離，以防止?jié)B透數(shù)據、系統(tǒng)或應用程序的可能性。同時，利用存儲區(qū)方法，能夠將受保護的數(shù)據副本復制到另一個區(qū)域，并斷開兩個數(shù)據副本之間的網絡連接，防止任何人接觸復制的數(shù)據。

為什么需要構建“3I+R”的安全防護體系架構呢？最直接的原因是，企業(yè)面臨的勒索攻擊手段日趨多樣化，不僅有針對備份數(shù)據的攻擊，如果企業(yè)僅依賴備份而缺乏相應的防護機制，一旦備份服務器被加密，所有數(shù)據都會“加鎖”，無法及時恢復業(yè)務。

此外，也有很多針對備份刪除動作的網絡攻擊，甚至是針對平臺級的攻擊。這種情況下，即使企業(yè)用部署的備份服務器或備份介質存放在虛擬化環(huán)境下，所有的數(shù)據也同樣會被黑客“加密”。

更嚴重的是，有些黑客還會對底層的BIOS進行攻擊，如果這時沒有有效隔離手段或不可篡改的抵御方式，那么企業(yè)的數(shù)據照樣會被破壞。

甚至有更可怕的潛伏性黑客攻擊，雖然企業(yè)每天都在備份，但備份數(shù)據卻早就被污染了，因此當企業(yè)需要進行數(shù)據恢復時，卻無法找到一份“干凈”的數(shù)據，這時即便是企業(yè)的數(shù)據此前就行了隔離，同樣也會“無濟于事”。

不難看出，當前的勒索軟件攻擊可謂是“防不勝防”的，僅僅只進行數(shù)據的備份是難以勝任企業(yè)安全防護的，但基于數(shù)據避風港方案構建和打造的“3I+R”的安全防護體系架構，則能夠讓企業(yè)面臨“最壞情況”發(fā)生時，也可迅速對數(shù)據進行隔離、清洗、掃描，最終讓企業(yè)的核心業(yè)務“起死回生”。

從三個關鍵詞

深入讀懂戴爾數(shù)據避風港方案

作為全球數(shù)據保護領域的“先行者”和“引領者”，戴爾科技早在2015年就基于NIST安全框架打造出了數(shù)據避風港(Cyber Recovery，CR)方案。

該方案起源于美國的金融行業(yè)，不僅是實實在在來源于業(yè)務需求所沉淀出來的解決方案，也是全球第一個能夠提供定制部署服務的“隔離”恢復解決方案，更是擁有廣泛和豐富最佳落地“實戰(zhàn)”經驗的解決方案。

戴爾科技的數(shù)據避風港方案，是完全符合“3I+R”的體系架構的，其整個工作過程如下：

● 其能夠將生產中心的備份數(shù)據快速復制到“金庫”，即Vault區(qū)，復制后網絡自動斷開，實現(xiàn)彈性隔離；

●在此基礎上，對復制到Vault區(qū)的數(shù)據快速進行拷貝，并對拷貝版本加鎖，在鎖定期，數(shù)據不允許刪除和修改；

●最后是在Vault區(qū)構建沙箱，同時在沙箱內對拷貝版本進行智能掃描分析，而且是基于原始格式的勒索行為分析，不僅能夠驗證數(shù)據是否完好，也能第一時間發(fā)現(xiàn)問題。

同樣，這樣一套基于“3I+R”的體系架構打造的戴爾科技數(shù)據避風港方案也是非常有意義和價值的——它能夠實現(xiàn)企業(yè)生產環(huán)境的“無感知”，其工作過程并不是通過生產備份軟件來抓取數(shù)據，而是通過隔離區(qū)里備份存儲之間的數(shù)據“抽拉”，同時其所有管控都在隔離區(qū)內，并有專門的三個軟件進行有效的控制。

尤為重要的是，其“鎖定”也并不依托于任何的操作系統(tǒng)進行數(shù)據的“防篡改”，而是基于底層硬件進行“防篡改”。在此基礎上，戴爾科技還加入了“零信任”架構，能夠實現(xiàn)多因素的認證，如底層硬件的時鐘防篡改、iDRAC賬號聯(lián)動等諸多其他特性，進一步提升整個環(huán)境的安全度。

此外，其專業(yè)的防勒索智能分析軟件是基于行為的，而非僅基于特征庫，加上該軟件還會嵌入AI大模型的預判能力，這樣就能夠更有效地提升整個數(shù)據的準確率，減少誤判。

也正因此，盡管當前市場上出現(xiàn)了很多類似的數(shù)據保護解決方案，但戴爾科技數(shù)據避風港方案的技術能力和最佳實踐經驗依然獨具優(yōu)勢，可以從三個“關鍵詞”做進一步的觀察和解讀：

作為數(shù)據避風港方案中的關鍵能力，“AirGap”的能力可以說至關重要。當前，對于“AirGap”的能力，絕大部分廠商是通過第三方單向防火墻或者VPN來構建“隔離區(qū)”。

也有的廠商通過生產端備份軟件來控制隔離的，控制信息和數(shù)據信息分開，控制信息是常連接，AirGap只能控制數(shù)據信息，但并不能保證生產端和“金庫區(qū)”（Vault區(qū)）是完全斷開的，換句話說，黑客可以通過生產端的備份服務器發(fā)現(xiàn)Vault區(qū)的存在。

除此之外，也有部分廠商使用人工服務由命令腳本方式控制網絡端口來創(chuàng)建AirGap解決方案或者通過其他廠商Flex手動設定AirGap容器隔離機制與防篡改機制來廣義實現(xiàn) AirGap，但這種方式由于AirGap的控制策略由外面的備份服務器確定，往往也存在著很大的風險性。

而戴爾科技數(shù)據避風港方案中的AirGap能力與一般數(shù)據保護方案最大的不同是：企業(yè)在生產環(huán)境中對Vault區(qū)是完全“無感知”的，所有的管理操作都在Vault區(qū)實現(xiàn)，生產端不能發(fā)現(xiàn)“隔離數(shù)據”的存在。此外，其AirGap并沒有持久鏈接，數(shù)據有復制時連通，沒有復制的時候斷開，這樣數(shù)據時刻處于“隔離狀態(tài)”。

與此同時，生產的備份服務器上index/catalog沒有記錄這份數(shù)據，黑客突破了企業(yè)的備份數(shù)據也發(fā)現(xiàn)不了這份數(shù)據的存在。也就是說，數(shù)據是單向的，只允許從Vault區(qū)控制復制，從Vault區(qū)拉數(shù)據，而并不是從生產端推數(shù)據。

其次，數(shù)據防篡改，是不是真的能夠實現(xiàn)防篡改？在防纂改能力方面，可以看到一部分廠商的防篡改功能是通過加固的linux系統(tǒng)來實現(xiàn)WORM的；而大部分廠商是通過用戶權限的方式來實現(xiàn)WORM鎖定機制的，而當系統(tǒng)都被攻破的時候，用戶權限也就沒有了任何意義。

也有一部分廠商是通過備份一體機上啟用虛擬機或者容器的方式，通過賦予不同虛機和容器角色來控制只讀權限的，但這種方式同樣也有很大的風險，如必須結合特定型號設備支持，而且基于容器的方式，性能難以保證。

此外，F(xiàn)lex中的WORM防篡改可以被禁用，這也意味著內部人員可以刪除關鍵備份，更為嚴重的是，如果虛擬機和容器可以被刪除，那么虛擬機和容器中的不可篡改功能也就完全失效了。

反觀戴爾科技數(shù)據避風港方案中的防纂改能力，則是通過專有硬件設備實現(xiàn)全堆棧的防篡改，從底層硬件到系統(tǒng)到應用的全面防篡改；此外，具有專利的DIA數(shù)據無損架構，提供最嚴格的法規(guī)遵從的不可篡改技術，數(shù)據保護期內可確保無法篡改等等。另外，戴爾科技早在2012年就推出了防篡改的功能，具有非常成熟的實踐和應用經驗。

最后，偵測分析掃描，是不是只是等同于殺毒軟件？在偵測分析掃描能力方面，可以發(fā)現(xiàn)當前大部分廠商提供的功能都類似于殺毒軟件，通過已有病毒庫和病毒特征來查殺病毒；同時，即使部分廠商擁有通過Data insight和Alta Analytics日志報表分析工具，但同樣也只能分析自己的備份軟件生成的數(shù)據。

而戴爾科技數(shù)據避風港方案中專業(yè)防勒索智能分析軟件CyberSense則具有十分強大的能力，它可以不用還原數(shù)據，而是直接對備份數(shù)據進行分析；支持元數(shù)據+ 200多個基于全內容分析點（文件熵、擴展名及其他）；支持文件、虛機、數(shù)據庫等；基于AI/ML，能靈活識別變種勒索軟件；還可檢測復雜的網絡攻擊，且具有99.997%正確率等，可以說其具有“全內容”的檢測能力，是市場上唯一支持對數(shù)據庫內部隱藏損害進行數(shù)據完整性分析掃描的產品。

也正是源于這種強大的技術能力，自戴爾科技數(shù)據避風港(CR)方案發(fā)布至今，全球Cyber Recovery數(shù)據避風港客戶超過2500+，大中華區(qū)Cyber Recovery數(shù)據避風港客戶超過250+，幫助企業(yè)實現(xiàn)了“保護更多、恢復更快、花費更少”，真正讓企業(yè)的關鍵業(yè)務數(shù)據做到“堅如磐石、穩(wěn)如泰山”，不但大幅提升了企業(yè)在數(shù)據管理和保護領域的“新體驗”，更重新定義了網絡彈性的“新標準”。

安全進階之路

構建“三位一體”數(shù)據保護策略

當然，數(shù)據避風港或者說企業(yè)的網絡彈性構建也并不是“一蹴而就”的，數(shù)據避風港的最佳實踐或者說要實現(xiàn)其“連續(xù)性”，是建立在以下三個環(huán)節(jié)之上的，包括全面的數(shù)據保護，加固備份環(huán)境以及構建可信的恢復環(huán)境，總之需要以“防患于未然”的心態(tài)加強網絡安全防御，構筑全新的網絡彈性平臺，以減輕與勒索軟件攻擊相關的風險，才是最佳的企業(yè)數(shù)據保護之道。

為此，戴爾科技打造了“三位一體”的數(shù)據保護策略和方案，即通過“備份(BR)+容災(DR)+數(shù)據避風港(CR)”的全面保護，幫助企業(yè)構建出最為完整且整體的數(shù)據保護策略。

第一，備份(BR)環(huán)節(jié)，能夠幫助企業(yè)做到對數(shù)據的全覆蓋，不管是跨邊緣、核心還是在多云環(huán)境下，各類邏輯錯誤或人為錯誤都可應對。這也是對企業(yè)IT環(huán)境及數(shù)據最基本的保護，并能全面覆蓋所有工作負載，且具有可靠、快速、低成本恢復的優(yōu)勢。

第二，容災(DR)環(huán)節(jié)，則是通過對重要數(shù)據做容災，比如構建兩地三中心，企業(yè)能夠無懼風火雷電等各類自然災害對IT系統(tǒng)的影響，這是增強的數(shù)據保護。

第三，數(shù)據避風港(CR)環(huán)節(jié)，無論是備份還是容災，在面臨AI加持、愈演愈烈的網絡攻擊問題時都會束手無策，而通過在戴爾Cyber Recovery數(shù)據避風港的安全范圍內檢測、診斷和加速數(shù)據恢復，加上AI智能化分析工具給予企業(yè)充分保障，才能夠在網絡攻擊后快速、從容地恢復關鍵的數(shù)據和系統(tǒng)，這樣就做到了完整的數(shù)據保護。

事實上，從網絡彈性成熟度角度來看，越早構建基于“備份(BR)+容災(DR)+數(shù)據避風港(CR)”的數(shù)據保護策略，越能最大限度地減少勒索病毒軟件或者網絡攻擊給企業(yè)帶來的時間、成本等方面的影響。

具體來說，如果僅進行備份，那么當備份遭受攻擊時，企業(yè)將面臨“月級別”的數(shù)據恢復時間。如果對生產環(huán)境進行有效“加固”，并使用專有的備份設備進行安全架構搭建，那么則可以讓恢復時間縮短到“周級別”。如果能夠有效建立數(shù)據隔離區(qū)和集中，那么恢復時間則可以縮短到“天級別”。

而如果企業(yè)有更完整的數(shù)據安全“金庫區(qū)”，且配備了專業(yè)的恢復服務以及完整的恢復手冊(handbook)，那么整個恢復時間將會縮短到“小時級”，而這將大大提升勒索攻擊后的數(shù)據恢復能力，確保企業(yè)正常運作的連續(xù)性，顯著增強企業(yè)遭遇攻擊后的信心和底氣。

結 語

勒索病毒軟件的攻擊和威脅“如影隨形”，不僅會使企業(yè)面臨高額贖金的勒索，更會導致業(yè)務停擺，客戶流失，聲譽受損，甚至威脅到企業(yè)的生存根基。因此，企業(yè)唯有保持高度警惕，持續(xù)優(yōu)化數(shù)據保護策略，不斷提升安全防護能力。

更為關鍵的是，企業(yè)還可以選擇戴爾科技構建的獨具優(yōu)勢的數(shù)據避風港方案，以及“三位一體”（BR+DR+CR）的數(shù)據保護策略，同時依托戴爾科技所具備的豐富網絡彈性實踐經驗，包括實施了數(shù)以百計的網絡彈性項目，以及數(shù)以千計的網絡恢復保險庫等能力，相信基于這樣的數(shù)據保護“硬實力”，企業(yè)將真正能夠在這場沒有硝煙的戰(zhàn)爭中立于“不敗之地”。