一直以来,“安全”都是备受全人类关注的话题,生命安全让我们得以安居乐业,而数据安全则让数字经济时代平稳运行。然而,勒索事件仍然在数字世界层出不穷,这让各行各业的发展都受到了威胁。
据第三方统计,2022年全网发生了高达3583万次勒索攻击软件,相较2021年,增加了1300多万次。其中不乏大型恶性勒索事件。
我们先来认识一下什么是勒索病毒。勒索病毒也称为勒索软件,是一种特殊的恶意软件,与其他病毒最大的不同在于攻击手段伴随着有针对性有组织的网络威胁攻击和以勒索赎金为目的的加密数据行为。
勒索病毒的攻击过程通常有如下阶段:
1、侦查探测(侦查阶段)
这个阶段攻击者对攻击目标的在互联网中的主机进行探测,例如进行主动漏洞扫描,发现哪些主机存在未修复的、可被勒索软件利用的漏洞。一旦发现漏洞,则开始攻击。
2、攻击植入(传播阶段)
这个阶段攻击者可能向攻击目标的邮箱等设施发送含病毒的邮件或钓鱼网站等方式,或者利用扫描发现的漏洞,向攻击目标的生产主机或存储系统中植入勒索病毒。
3、启动运行(侧移和加密阶段)
1)当勒索病毒植入成功后,就会启动运行,从攻击者的勒索软件密钥服务器获取加密文件的密钥,并探测攻击目标的网络进行横向侧移,将勒索软件扩散到尽可能多的主机中。一些具有“双重勒索”模式的勒索病毒,还会将攻击目标的关键数据上传到攻击者的服务器。这个阶段对攻击目标的业务使用没有显著的影响,不易察觉。
2)当勒索病毒获取到加密密钥并扩散后,会对主机可访问的文件(包括本地文件和挂载的网络存储中文件)进行大规模的加密操作。一些高级的勒索病毒还可以探测存储系统中的备份数据,主动删除备份数据来阻止攻击目标恢复。
勒索实施完成后,会给攻击目标明显的提示,要求支付赎金。
传统网络安全解决方案主要在侦查和传播阶段防护。随着远程办公、移动终端接入、供应链生态系统对接、业务上云等,企业边界变得越来越模糊化,整个IT架构已经没有单一的、易于识别的边界,导致基于边界的网络安全、数据安全在制定策略时面临越来越大的挑战,因为一旦勒索病毒等网络威胁攻击行为突破边界,横向移动将畅通无损。面对勒索病毒攻击,一方面,需要提高网络侧的防护能力,减少被攻破的可能性;另一方面,需要提升数据安全的韧性能力,当网络侧漏防,能够做到:
1)有效防止数据被加密;
2)及时预警勒索病毒攻击行为;
3)当数据遭到加密后可提供一份完整且干净的数据副本及时有效的恢复业务系统。
作为数据载体,存储是数据安全的最后一道防线、华为OceanStor Pacific分布式存储针对勒索病毒等网络威胁攻击行为,通过数据加密、数据防篡改、侦测分析能力,并引入AirGap安全隔离区,在存储侧应对勒索病毒攻击时,实现可预防、可感知、可恢复,大幅提升数据的韧性能力。
下面,我们细数下华为OceanStor Pacific分布式存储防勒索方案中所涉及到的一些关键技术点。
加密是防止原始数据被窃取之后导致其中敏感信息泄露的典型手段,如果数据经过加密,则即使黑客拿到了数据,也会因为无法解密而保护原始信息不被泄露。OceanStor Pacific的数据加密分为存储加密和传输加密。其中,存储加密防止物理攻击(如存储被物理窃取、硬盘被盗),而传输加密能够有效防止数据在传输过程中遭到拦截、窃取、泄露和篡改。
防篡改作为OceanStor Pacific存储防勒索方案中重要的组成部分,除了可以实现非结构化数据一次写入、多次读取的场景下的防篡改,还可实现在修改写场景下的快照级别防篡改。
非结构化数据WORM (Write Once Read Many)意味着数据只能一次写入,多次读取,用户可以为文件设置保护期,在保护期内,文件只能读取,不能修改或删除,保护期到期后可以删除文件。
安全快照和普通快照中数据都是只读的,二者最大的区别是安全快照生成后有保留周期属性,在保留期之内,即使管理员也没有权限删除该快照。到期后可以选择手动或者自动删除该安全快照。
非结构化数据WORM和安全快照中均使用了WORM时钟。集群的WORM时钟只允许设置一次,且WORM 时钟具备以下特点:当 WORM 时钟大于系统时钟,校正为系统时钟;WORM 时钟小于系统时钟,每小时增加的 WORM 时间值最大不能超过 138s。这样避免攻击者通过修改WORM时钟或系统时钟来绕过非结构化数据WORM和安全快照保护。
虽然OceanStor Pacific具有非结构化数据WORM的能力防止数据被篡改或删除,但有些数据在正常场景也是需要修改的,并不能应用WORM防护,只能使用安全快照来保护数据副本不被删除。在面对勒索病毒攻击时,能及时感知数据被勒索病毒加密,以及确保有一份“干净”的副本数据可用于恢复变得尤为重要。通过对被保护数据的有效及时侦测分析,可以减少数据被勒索病毒加密的范围,以及提高数据恢复的成功率。
OceanStor Pacific & CyberEngine安全一体机组合的勒索软件侦测分析方案,针对勒索病毒攻击实施事前、事中、事后三层防护和检测:
√ 攻击前(传播阶段):拦截已知勒索病毒后缀文件写入;
√ 攻击中(侧移和加密阶段):监控已知类型的勒索加密文件写入,和勒索病毒IO 行为识别并经过机器学习模型确认是否被勒索;
√ 攻击后(勒索完成):对文件系统的快照变化特性提取,从内容角度识别并经过机器学习模型确认是否被勒索。
勒索文件拦截基于OceanStor Pacific的FileBlocking功能,通过拦截已知勒索病毒加密文件的写入,拦截勒索病毒的行为。
√ OceanStor Pacific的接入协议配置中保存一个FileBlocking规则表,可以设置对特定扩展名的文件的特定操作进行拦截,阻止这些文件写入存储系统。
√ CyberEngine安全一体机预置了常用的检测模型,检测模型中预置了已知的勒索文件扩展名。可以通过导入检测模型来更新勒索文件扩展名,也可以通过创建文件扩展名过滤规则来新增要拦截的勒索文件扩展名。
勒索病毒攻击向量具备共性特征,一致高度随机读、加密、写、删除,是勒索软异常I/O件行为检测的理论基础;
√ 它必须读文件,这是加密数据所必需的。
√ 它必须写文件,写字节数与读字节数相似,可以是新创建的文件,也可以重写原文件。
√ 它必须销毁原信息,删除或重写原文件。
√ 读操作和写操作在时间上接近,甚至可能是并行的。
√ 它希望快速执行读写和删除操作。
针对勒索病毒攻击的共性,OceanStor Pacific & CyberEngine构建了反映异常读写行为的异常I/O行为指标和反映文件被加密损坏的指标。采用异常行为快筛和文件损坏深度检测有序结合的检测步骤,实现了存储勒索病毒准确检测的目的,解决了现有存储系统中勒索病毒检测的高置信度、广覆盖率、强及时性、低资源开销、抗极端攻击难题。
√ 异常I/O行为快速筛查
通过分析存储系统的I/O行为,结合异常I/O行为特征识别出异常I/O行为。将异常I/O行为操作对应的文件进行文件损坏深度检测。
√ 文件损坏深度检测
通过文件内容基本特征检测,识别出已损坏的文件,对于未识别出基本特征异常的文件,基于机器学习算法对文件内容进行深度检测,进一步检测文件是否被损坏。
√ 创建安全快照并发送告警
对已损坏的文件所在的文件系统创建安全快照并发送告警,提醒数据保护管理员及时介入,避免勒索病毒影响进一步扩散,减少损失。
一旦系统中有数据被勒索病毒加密,有一份“干净”的副本数据可用于恢复变得尤为重要。OceanStor Pacific & CyberEngine的定期副本勒索检测功能,可以设置每天、甚至每个小时的周期,对命名空间快照的检测,识别命名空间数据是否被勒索病毒感染。如果快照中数据是安全的,则将此快照设置为安全快照,成为“干净”的、不会被勒索病毒删除的可靠的恢复数据源。
快照勒索检测包括:
√ 单快照的已知勒索特征检测
勒索病毒的两种常见行为:在加密文件后添加后缀,留下勒索提示信息文件(blackmail)。对于已知的勒索病毒,可以通过后缀和blackmail两种类型的特征来发现勒索感染的痕迹。
√ 前后快照的数据变化行为的机器学习检测
首先基于快照的元数据特征快速提取若干基础变化特征形成基线模型,根据基线模型判断向后每次快照的变化是否可疑。若被判断为疑似感染,再进一步计算提取可疑快照的全量变化特征,使用机器学习模型进行检测。
华为OceanStor Pacific通过数据加密、数据防篡改、侦测分析,以及将引入的AirGap,构建了传统安全防御体系中长期缺位的数据安全防护层,让组织和企业敢于对勒索说“不”。正所谓道高一尺,魔高一丈,勒索病毒是在不断的迭代变化的,华为OceanStor Pacific也将持续跟进勒索病毒的发展而优化方案,保护客户的数据安全。
在当今时代,数据的生命力在各行各业正大放异彩,数据生产力已凝聚成一股不可或缺的力量,成为了世界发展的发动机和加速器。华为将持续创新,通过数据加密、实时勒索检测、侦测分析、安全快照等手段,用科技筑造一道道防护墙,以此守护数据安全,便是守护各行各业健康稳定的永续发展。