深信服EDS存儲：以全自研深度融合存儲殺毒方案應(yīng)對勒索攻擊

近日，美國最大成品油管道運(yùn)營公司遭遇勒索軟件攻擊，被迫全面暫停運(yùn)營，造成大范圍供油短缺，汽油期貨直接飆升至三年新高。據(jù)悉，該公司也向黑客支付了500萬美元的巨額贖金。需要注意的是，此次事件僅僅是近年來勒索病毒攻擊的冰山一角，據(jù)深信服云腦數(shù)據(jù)統(tǒng)計，深信服在2020年已應(yīng)急響應(yīng)了數(shù)千起勒索事件。勒索攻擊影響為何如此之大?防御手段為何頻頻失效?數(shù)據(jù)安全防護(hù)又該何去何從?

數(shù)據(jù)安全依賴前端系統(tǒng)防護(hù)，缺失最后的兜底機(jī)制

提到對勒索病毒的防御，第一時間想到的往往是網(wǎng)絡(luò)邊界防護(hù)和終端系統(tǒng)防護(hù)，而對于存放核心數(shù)據(jù)的存儲區(qū)卻缺乏有效的防護(hù)手段。

由于原先存儲架構(gòu)的定制化專有系統(tǒng)無法部署有效的數(shù)據(jù)防護(hù)軟件，在關(guān)鍵的數(shù)據(jù)存儲區(qū)往往門戶大開，毫無防護(hù)措施，在病毒進(jìn)入后暢通無阻，存儲區(qū)面對病毒毫無抵抗能力，重要業(yè)務(wù)數(shù)據(jù)迅速被加密勒索，造成巨大損失。

深信服EDS存儲構(gòu)建“保護(hù)核心業(yè)務(wù)數(shù)據(jù)”的閉環(huán)防御體系

面對勒索病毒攻擊鏈路的復(fù)雜性，想要對業(yè)務(wù)數(shù)據(jù)進(jìn)行更好地保護(hù)，在存儲層同樣需要建立防護(hù)體系。深信服分布式存儲EDS基于數(shù)據(jù)讀取寫入全流程，從預(yù)防和防護(hù)(Prevent)、檢測(Detect)、處置(Response)等不同階段對病毒進(jìn)行全方面防御，在不影響數(shù)據(jù)存取效率的前提下，有效保護(hù)數(shù)據(jù)安全。

1.四層勒索入侵防御(Prevent)

數(shù)據(jù)存儲區(qū)如果想“拒敵于門外”，單層的防御往往是不夠的，用戶需要的是更多維度的防護(hù)。深信服EDS存儲通過SMB協(xié)議防暴力破解、數(shù)據(jù)強(qiáng)制保護(hù)、訪問管控和人工智能SAVE引擎進(jìn)行4層勒索入侵防御，提前識別系統(tǒng)脆弱面，并封堵勒索病毒攻擊入口，預(yù)防勒索入侵給業(yè)務(wù)系統(tǒng)帶來的安全隱患。

(1)SMB協(xié)議防暴力破解

攻擊者想要進(jìn)入數(shù)據(jù)存儲區(qū)，暴力破解賬號密碼是常見的手段，深信服EDS根據(jù)密碼錯誤次數(shù)、用戶名錯誤次數(shù)及對非法終端連接和非法文件后綴的識別，可以對暴力破解進(jìn)行有效防御。

(2)數(shù)據(jù)強(qiáng)制保護(hù)

對存儲區(qū)已處于保護(hù)狀態(tài)的數(shù)據(jù)，不可修改和刪除，只能讀取。

(3)數(shù)據(jù)訪問管控

針對不同用戶和終端進(jìn)行權(quán)限控制，不允許越權(quán)和匿名訪問。

(4)人工智能SAVE引擎

對于多變種或新型病毒，深信服基于多年自研的人工智能SAVE引擎，對數(shù)億維病毒原始特征進(jìn)行分析，并轉(zhuǎn)換成高維特征進(jìn)行深度學(xué)習(xí)，與EDS進(jìn)行深度融合，防范未知的勒索病毒。

2.AI勒索反加密檢測(Detect)

如今勒索病毒的變種層出不窮，防護(hù)識別失敗就會“中招”。存儲區(qū)一旦被入侵，查殺和文件修復(fù)也會耗費(fèi)大量時間，即用戶的存儲不僅需要抵御病毒的變種，也要避免查殺、修復(fù)過程造成的業(yè)務(wù)停擺。深信服EDS存儲深度集成終端防護(hù)軟件，無需額外安裝，即可享受安全高效低成本文件檢測。

(1)漏斗式檢測，檢測速度快

當(dāng)有外部文件進(jìn)入存儲區(qū)，EDS存儲內(nèi)置的漏斗式檢測機(jī)制，讓90%文件可被第一層引擎過濾，無需所有引擎并發(fā)檢測，檢測速度快，性能消耗低。同時，結(jié)合深信服安全云腦引擎的大數(shù)據(jù)分析，實(shí)現(xiàn)一臺發(fā)現(xiàn)威脅，全網(wǎng)感知，快速檢測出惡性病毒。

(2)基于AI引擎的泛化能力，病毒檢測準(zhǔn)

作為“大后方”的安全防線，存儲對病毒識別準(zhǔn)確率的要求需要更加嚴(yán)苛。深信服EDS通過結(jié)合SAVE安全智能檢測引擎，利用深度學(xué)習(xí)技術(shù)，擁有強(qiáng)大的泛化能力。經(jīng)賽可達(dá)實(shí)驗(yàn)室對10198個流行病毒進(jìn)行查殺測試，在誤報率為零的前提下，病毒檢出率高達(dá)99.86%。

(3)基于代碼層級的細(xì)粒度修復(fù)，修復(fù)效果好

對于存儲區(qū)的業(yè)務(wù)數(shù)據(jù)，要最大程度地保障修復(fù)過程中數(shù)據(jù)的可用性。EDS根據(jù)各類惡性病毒的特點(diǎn)，精確識別被感染文件中的惡意代碼行，并進(jìn)行針對性的修復(fù)，由于只是處置病毒文件本身，而不改變原文件，原文件可繼續(xù)使用，不影響業(yè)務(wù)的連續(xù)性。

3.三項勒索響應(yīng)(Response)

除了多維的防御機(jī)制，用戶的存儲層也需要對勒索做出及時有效的響應(yīng)，最大程度地規(guī)避病毒攻擊造成的損失。深信服EDS存儲通過數(shù)據(jù)快照，存儲數(shù)據(jù)回收站，文件行為審計切實(shí)保障勒索的持續(xù)檢測與響應(yīng)。

(1)數(shù)據(jù)快照

可以手動或定時進(jìn)行數(shù)據(jù)快照，支持LUN級快照(塊存儲)、目錄級快照(文件存儲)和秒級快照，按照不同時間點(diǎn)對數(shù)據(jù)進(jìn)行保留，讓數(shù)據(jù)恢復(fù)更加便捷。

(2)存儲數(shù)據(jù)回收站

被刪除的文件(人為誤刪，勒索病毒惡意刪除)會進(jìn)入回收站，支持找回，超過保留時間后才會真正刪除，為用戶數(shù)據(jù)的找回創(chuàng)造更多的空間。

(3)文件行為審計

根據(jù)法律法規(guī)合規(guī)性要求及GDPR，當(dāng)共享文件服務(wù)被惡意攻擊時能夠有效地追溯攻擊源和提供電子取證憑據(jù)。

同時，深信服EDS存儲內(nèi)置終端防護(hù)模塊以124項的攻擊技術(shù)覆蓋面，通過賽可達(dá)實(shí)驗(yàn)室的ATT&CK威脅檢測能力測評，能準(zhǔn)確的識別各種攻擊行為，為數(shù)據(jù)存儲提供可靠的防護(hù)能力。

目前，深信服EDS存儲已扎根各行業(yè)為用戶的數(shù)據(jù)安全存儲提供解決方案，包括北京廣播電視臺4K文件素材高效入網(wǎng)檢測、中國農(nóng)業(yè)電影電視中心外采素材病毒防御、襄陽市第一人民醫(yī)院PACS系統(tǒng)病毒查殺、海通期貨核心業(yè)務(wù)數(shù)據(jù)安全防護(hù)等。

層出不窮的勒索病毒攻擊，復(fù)雜的攻擊鏈路對現(xiàn)有防護(hù)體系提出嚴(yán)峻挑戰(zhàn)，業(yè)務(wù)數(shù)據(jù)安全不僅限于網(wǎng)絡(luò)邊界防護(hù)和終端系統(tǒng)防護(hù),基于數(shù)據(jù)存儲的安全防護(hù)同樣是重要一環(huán)，融合了深信服二十多年安全能力的EDS存儲將幫助用戶更從容地面對數(shù)據(jù)安全挑戰(zhàn)。