近日，美國最大成品油管道運營公司遭遇勒索軟件攻擊，被迫全面暫停運營，造成大范圍供油短缺，汽油期貨直接飆升至三年新高。據(jù)悉，該公司也向黑客支付了500萬美元的巨額贖金。需要注意的是，此次事件僅僅是近年來勒索病毒攻擊的冰山一角，據(jù)深信服云腦數(shù)據(jù)統(tǒng)計，深信服在2020年已應急響應了數(shù)千起勒索事件。勒索攻擊影響為何如此之大？防御手段為何頻頻失效？數(shù)據(jù)安全防護又該何去何從？

數(shù)據(jù)安全依賴前端系統(tǒng)防護，缺失最后的兜底機制

提到對勒索病毒的防御，第一時間想到的往往是網(wǎng)絡邊界防護和終端系統(tǒng)防護，而對于存放核心數(shù)據(jù)的存儲區(qū)卻缺乏有效的防護手段。

由于原先存儲架構(gòu)的定制化專有系統(tǒng)無法部署有效的數(shù)據(jù)防護軟件，在關(guān)鍵的數(shù)據(jù)存儲區(qū)往往門戶大開，毫無防護措施，在病毒進入后暢通無阻，存儲區(qū)面對病毒毫無抵抗能力，重要業(yè)務數(shù)據(jù)迅速被加密勒索，造成巨大損失。

深信服EDS存儲構(gòu)建“保護核心業(yè)務數(shù)據(jù)”的閉環(huán)防御體系

面對勒索病毒攻擊鏈路的復雜性，想要對業(yè)務數(shù)據(jù)進行更好地保護，在存儲層同樣需要建立防護體系。深信服分布式存儲EDS基于數(shù)據(jù)讀取寫入全流程，從預防和防護（Prevent）、檢測(Detect）、處置（Response）等不同階段對病毒進行全方面防御，在不影響數(shù)據(jù)存取效率的前提下，有效保護數(shù)據(jù)安全。

1.四層勒索入侵防御（Prevent）

數(shù)據(jù)存儲區(qū)如果想“拒敵于門外”，單層的防御往往是不夠的，用戶需要的是更多維度的防護。深信服EDS存儲通過SMB協(xié)議防暴力破解、數(shù)據(jù)強制保護、訪問管控和人工智能SAVE引擎進行4層勒索入侵防御，提前識別系統(tǒng)脆弱面，并封堵勒索病毒攻擊入口，預防勒索入侵給業(yè)務系統(tǒng)帶來的安全隱患。

（1）SMB協(xié)議防暴力破解

攻擊者想要進入數(shù)據(jù)存儲區(qū)，暴力破解賬號密碼是常見的手段，深信服EDS根據(jù)密碼錯誤次數(shù)、用戶名錯誤次數(shù)及對非法終端連接和非法文件后綴的識別，可以對暴力破解進行有效防御。

（2）數(shù)據(jù)強制保護

對存儲區(qū)已處于保護狀態(tài)的數(shù)據(jù)，不可修改和刪除，只能讀取。

（3）數(shù)據(jù)訪問管控

針對不同用戶和終端進行權(quán)限控制，不允許越權(quán)和匿名訪問。

（4）人工智能SAVE引擎

對于多變種或新型病毒，深信服基于多年自研的人工智能SAVE引擎，對數(shù)億維病毒原始特征進行分析，并轉(zhuǎn)換成高維特征進行深度學習，與EDS進行深度融合，防范未知的勒索病毒。

2.AI勒索反加密檢測(Detect）

如今勒索病毒的變種層出不窮，防護識別失敗就會“中招”。存儲區(qū)一旦被入侵，查殺和文件修復也會耗費大量時間，即用戶的存儲不僅需要抵御病毒的變種，也要避免查殺、修復過程造成的業(yè)務停擺。深信服EDS存儲深度集成終端防護軟件，無需額外安裝，即可享受安全高效低成本文件檢測。

（1）漏斗式檢測，檢測速度快

當有外部文件進入存儲區(qū)，EDS存儲內(nèi)置的漏斗式檢測機制，讓90%文件可被第一層引擎過濾，無需所有引擎并發(fā)檢測，檢測速度快，性能消耗低。同時，結(jié)合深信服安全云腦引擎的大數(shù)據(jù)分析，實現(xiàn)一臺發(fā)現(xiàn)威脅，全網(wǎng)感知，快速檢測出惡性病毒。

（2）基于AI引擎的泛化能力，病毒檢測準

作為“大后方”的安全防線，存儲對病毒識別準確率的要求需要更加嚴苛。深信服EDS通過結(jié)合SAVE安全智能檢測引擎，利用深度學習技術(shù)，擁有強大的泛化能力。經(jīng)賽可達實驗室對10198個流行病毒進行查殺測試，在誤報率為零的前提下，病毒檢出率高達99.86%。

（3）基于代碼層級的細粒度修復，修復效果好

對于存儲區(qū)的業(yè)務數(shù)據(jù)，要最大程度地保障修復過程中數(shù)據(jù)的可用性。EDS根據(jù)各類惡性病毒的特點，精確識別被感染文件中的惡意代碼行，并進行針對性的修復，由于只是處置病毒文件本身，而不改變原文件，原文件可繼續(xù)使用，不影響業(yè)務的連續(xù)性。

3.三項勒索響應（Response）

除了多維的防御機制，用戶的存儲層也需要對勒索做出及時有效的響應，最大程度地規(guī)避病毒攻擊造成的損失。深信服EDS存儲通過數(shù)據(jù)快照，存儲數(shù)據(jù)回收站，文件行為審計切實保障勒索的持續(xù)檢測與響應。

（1）數(shù)據(jù)快照

可以手動或定時進行數(shù)據(jù)快照，支持LUN級快照（塊存儲）、目錄級快照（文件存儲）和秒級快照，按照不同時間點對數(shù)據(jù)進行保留，讓數(shù)據(jù)恢復更加便捷。

（2）存儲數(shù)據(jù)回收站

被刪除的文件（人為誤刪，勒索病毒惡意刪除）會進入回收站，支持找回，超過保留時間后才會真正刪除，為用戶數(shù)據(jù)的找回創(chuàng)造更多的空間。

（3）文件行為審計

根據(jù)法律法規(guī)合規(guī)性要求及GRPD，當共享文件服務被惡意攻擊時能夠有效地追溯攻擊源和提供電子取證憑據(jù)。

同時，深信服EDS存儲內(nèi)置終端防護模塊以124項的攻擊技術(shù)覆蓋面，通過賽可達實驗室的ATT&CK威脅檢測能力測評，能準確的識別各種攻擊行為，為數(shù)據(jù)存儲提供可靠的防護能力。

目前，深信服EDS存儲已扎根各行業(yè)為用戶的數(shù)據(jù)安全存儲提供解決方案，包括北京廣播電視臺4K文件素材高效入網(wǎng)檢測、中國農(nóng)業(yè)電影電視中心外采素材病毒防御、襄陽市第一人民醫(yī)院PACS系統(tǒng)病毒查殺、海通期貨核心業(yè)務數(shù)據(jù)安全防護等。

層出不窮的勒索病毒攻擊，復雜的攻擊鏈路對現(xiàn)有防護體系提出嚴峻挑戰(zhàn)，業(yè)務數(shù)據(jù)安全不僅限于網(wǎng)絡邊界防護和終端系統(tǒng)防護,基于數(shù)據(jù)存儲的安全防護同樣是重要一環(huán)，融合了深信服二十多年安全能力的EDS存儲將幫助用戶更從容地面對數(shù)據(jù)安全挑戰(zhàn)。