當(dāng)前，AI技術(shù)蓬勃發(fā)展，智能化轉(zhuǎn)型已成為企業(yè)發(fā)展的必由之路。各企業(yè)紛紛投身其中，在企業(yè)運營中不斷創(chuàng)造出更多的數(shù)字資產(chǎn)。這些數(shù)字資產(chǎn)如同企業(yè)的“黃金寶藏”，已成為企業(yè)至關(guān)重要的生產(chǎn)要素。然而，一旦重要數(shù)據(jù)遭勒索加密，不僅會造成財產(chǎn)損失，更可能導(dǎo)致業(yè)務(wù)系統(tǒng)嚴(yán)重癱瘓，給企業(yè)帶來難以估量的損失。

為提升企業(yè)對勒索攻擊防護韌性，華為推出星河AI融合SASE解決方案。該方案集成自研勒索回滾技術(shù)，通過建立動態(tài)備份機制，即便遭遇勒索病毒加密，也能快速調(diào)取歷史備份數(shù)據(jù)完成無損恢復(fù)，就像為企業(yè)的重要數(shù)據(jù)文件再上一份“保險”， 為企業(yè)數(shù)字資產(chǎn)筑牢安全防線。

勒索攻擊成為頭號網(wǎng)絡(luò)威脅

近年來，隨著AI技術(shù)與網(wǎng)絡(luò)攻擊的深度耦合，勒索攻擊事件呈爆發(fā)式增長態(tài)勢，勒索攻擊事件頻繁曝出，勒索贖金屢創(chuàng)新高。勒索攻擊憑借高收益、易發(fā)發(fā)起的特點，已成為企業(yè)面臨的頭號網(wǎng)絡(luò)威脅。

勒索加密速度快：

勒索病毒加密文件速度加快。LockBit可以在4分鐘內(nèi)加密10萬個文件，平均每分鐘2.5萬文件。當(dāng)檢測出勒索事件的時候, 用戶文件可能已遭受重大損失。

勒索攻擊損失大：

黑客利用AI大模型，催生出了WormGPT、FraudGPT等一大批惡意AI工具（BadGPT），這使得勒索攻擊的成本大幅降低，數(shù)量呈幾何級數(shù)增長。2024年，全球因勒索軟件攻擊所遭受的損失高達420億美元。平均每次勒索攻擊會導(dǎo)致企業(yè)業(yè)務(wù)中斷長達21天，直接經(jīng)濟損失達273萬美元，給企業(yè)的正常運營帶來沉重打擊。

加密數(shù)據(jù)恢復(fù)難：

數(shù)據(jù)顯示，只有4%的企業(yè)在繳納贖金后，數(shù)據(jù)能夠得到完整恢復(fù)。這意味著大多企業(yè)在遭遇勒索攻擊后，只能眼睜睜地看著自己的數(shù)據(jù)被“綁架”，卻無能為力。

如何防御勒索攻擊已成為企業(yè)網(wǎng)絡(luò)安全建設(shè)的核心關(guān)切問題。

華為獨家勒索回滾技術(shù)，給文件上“保險”

為應(yīng)對勒索攻擊的挑戰(zhàn)，華為從全新的視角出發(fā)，創(chuàng)新性地推出了“勒索回滾技術(shù)”，為企業(yè)的文件安全再上一份“保險”。這項技術(shù)的核心在于，即使數(shù)據(jù)被勒索病毒加密，也能通過提前備份的文件，幫助客戶恢復(fù)數(shù)據(jù)，為客戶對勒索防護提供“兜底”預(yù)案，提升企業(yè)面對勒索攻擊對抗韌性。

我們來看下勒索回滾文件恢復(fù)流程。勒索病毒入侵系統(tǒng)后，會執(zhí)行一系列“特殊操作”，如遍歷系統(tǒng)文件、篡改系統(tǒng)配置文件、執(zhí)行危險命令如vssadmin.exe等。華為HiSec Endpoint智能終端防護系統(tǒng)通過內(nèi)核級監(jiān)控，精準(zhǔn)捕捉勒索病毒對文件實施的各類細(xì)粒度動作。一旦察覺異常進程對文件執(zhí)行刪除、加密等異常操作，便會即刻觸發(fā)文件備份機制，在病毒實施加密前完成文件備份。與此同時，HiSec Endpoint會對勒索病毒展開查殺，待惡意病毒被清除后，通過提前備份的文件對機密文件進行恢復(fù)，實現(xiàn)無損回滾。

圖1：勒索文件恢復(fù)流程圖

華為事件觸發(fā)式勒索回滾技術(shù)優(yōu)勢

華為克服高難度的內(nèi)核態(tài)開發(fā)挑戰(zhàn)，在內(nèi)核層監(jiān)控勒索病毒對文件的所有細(xì)粒度動作，并抽象到備份邏輯，融入驅(qū)動程序，實現(xiàn)勒索病毒監(jiān)測和備份，相比業(yè)界有如下優(yōu)勢：

基于事件觸發(fā)式備份，保障備份有效數(shù)據(jù)

華為勒索回滾技術(shù)采用事件觸發(fā)備份進行備份。只有當(dāng)重要文件被異常修改時，才會將該文件備份到保護區(qū)內(nèi)。與業(yè)界普遍采用的全量備份方式相比，華為的事件觸發(fā)備份方式占用的存儲資源?。煌瑫r，全量備份可能會把已經(jīng)被入侵、污染的數(shù)據(jù)備份進去，而華為的事件觸發(fā)備份方式是在病毒文件加密前，進行備份，有效避免備份“問題”數(shù)據(jù)。

圖2：備份方式對比

全面檢測勒索病毒進程行為，保障恢復(fù)文件版本無差異

除全量備份外，業(yè)界不少廠商采用定時備份，除了容易備份已經(jīng)被加密的文件，還容易導(dǎo)致周期間文件未備份而丟失。華為勒索回滾技術(shù)全面檢測勒索病毒多進程加密行為，內(nèi)置復(fù)雜精細(xì)化文件回滾順序機制。當(dāng)可疑進程修改文件時，HiSec Endpoint會暫停修改文件操作并實時備份，因此可將文件精準(zhǔn)恢復(fù)至勒索加密前版本，實現(xiàn)無差異恢復(fù)。

圖3：恢復(fù)文件版本對比

如上圖，業(yè)界采用5分鐘周期備份，若文件12:05被加密且備份后，僅能用12:00的文件恢復(fù)，導(dǎo)致恢復(fù)文件版本有差異；華為事件觸發(fā)式備份可實時備份，將加密文件恢復(fù)至最新版本。

備份區(qū)文件被攻破，造成丟失

業(yè)界很多廠商采用Windows原生的VSS（Volume Shadow Copy Service，卷影復(fù)制服務(wù)）快照功能做數(shù)據(jù)備份恢復(fù)。但勒索軟件常刪除系統(tǒng)卷影副本，導(dǎo)致恢復(fù)失效。華為備份方案不依賴系統(tǒng)VSS，采用獨立本地備份管理技術(shù)，備份文件位置可由用戶指定，默認(rèn)受內(nèi)核態(tài)驅(qū)動保護，除HiSec Endpoint自身程序外，其他程序均無法讀取修改，即便勒索軟件破壞VSS卷影，用戶仍能通過華為備份恢復(fù)文件。

圖4：備份方式對比

在數(shù)字化轉(zhuǎn)型的洶涌浪潮中，企業(yè)的數(shù)據(jù)安全是重中之重。華為勒索回滾技術(shù)的出現(xiàn)，無疑為企業(yè)的文件安全上了一份“保險”，讓企業(yè)的數(shù)據(jù)資產(chǎn)得到了更加可靠、全面的保障。相信隨著華為勒索回滾技術(shù)的不斷推廣和應(yīng)用，將有越來越多的企業(yè)從中受益，在數(shù)字化轉(zhuǎn)型的道路上走得更加穩(wěn)健、更加安全。