臺(tái)灣知名的計(jì)算機(jī)制造商宏碁（Acer）近日遭到了REvil勒索軟件的攻擊。黑客團(tuán)伙通過在網(wǎng)站公開泄露數(shù)據(jù)的方式，證明了入侵宏碁的真實(shí)性，并索要贖金5000萬(wàn)美元，約合人民幣3．25億元。

法國(guó) OVH 數(shù)據(jù)中心大火硝煙未散，針對(duì) VMware VSphere 的病毒還未走遠(yuǎn)，宏碁又被 REvil病毒勒索巨額贖金，最近的數(shù)據(jù)保護(hù)市場(chǎng)可謂草木皆兵。

狡猾的 REvil 病毒勒索團(tuán)隊(duì)

REvil 病毒以攻擊知名機(jī)構(gòu)而聞名。2020 年 5 月，紐約市一家服務(wù)于全球影視娛樂巨星的律師事務(wù)所成為 REvil 病毒攻擊的受害者，包括 LadyGaga、埃爾頓·約翰、羅伯特·德尼羅和麥當(dāng)娜等全球大牌音樂和電影明星的私人法律事務(wù)面臨被曝光的風(fēng)險(xiǎn)。

雖然沒有證據(jù)表明攻擊來自同一個(gè)團(tuán)伙，但事實(shí)證明這撥人很狡猾。

根據(jù)報(bào)道，在攻擊上述事務(wù)所時(shí)，黑客團(tuán)伙一開始要求受害者以比特幣（Bitcoin）支付贖金，但后來改為門羅幣（XMR）——更具匿名性的虛擬貨幣。門羅幣是一個(gè)創(chuàng)建于2014年4月開源匿名貨幣，其交易金額、交易時(shí)間、地址、發(fā)送方和接收方等信息完全隱匿，司法部門很難追蹤和查詢。

除了收取贖金的方式狡猾多變，黑客處理數(shù)據(jù)的手段也更加多樣。傳統(tǒng)的黑客手段，一般是加密數(shù)據(jù)，如果受害者繳納贖金，黑客通過發(fā)送私鑰恢復(fù)數(shù)據(jù)（通常不一定能夠恢復(fù)）。但是黑客現(xiàn)在通過公開部分商業(yè)數(shù)據(jù)，脅迫受害者趕快支付贖金。更有甚者，連備份數(shù)據(jù)一起加密，讓受害者沒有可恢復(fù)的數(shù)據(jù)。

EDR ＋ CDP會(huì)是最優(yōu)解嗎？

勒索病毒是一種以釣魚郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播的病毒。該病毒利用加密算法對(duì)文件進(jìn)行加密，被感染的數(shù)據(jù)一般無(wú)法解密，必須拿到私鑰才有可能破解。

勒索病毒的危害極大，企業(yè)用戶的文件數(shù)據(jù)一旦被加密，可能會(huì)遭受經(jīng)濟(jì)、名譽(yù)、監(jiān)管等方面的多重打擊。

如何安全有效地應(yīng)對(duì)病毒攻擊，我們需要從底層邏輯開始思考。

黑客利用病毒勒索企業(yè)機(jī)構(gòu)，目的是加密或泄露數(shù)據(jù)。如果把企業(yè)比喻成一間房子，數(shù)據(jù)就是房子里的財(cái)產(chǎn)。在房子周邊，我們通過網(wǎng)絡(luò)安全防護(hù)的各類產(chǎn)品構(gòu)建起堅(jiān)固的防線，抵擋勒索病毒的攻擊。在房子里面，我們通過備份、轉(zhuǎn)移的方式，對(duì)數(shù)據(jù)進(jìn)行多重保護(hù)，確保外防的網(wǎng)絡(luò)被攻破后，還有數(shù)據(jù)可用來恢復(fù)業(yè)務(wù)。

防勒索病毒的軟件并不少，從360殺毒軟件到火絨，但很多時(shí)候，這種免費(fèi)的殺毒軟件，有其局限性。它們更多在端點(diǎn)進(jìn)行防御，即在臺(tái)式機(jī)、服務(wù)器、移動(dòng)設(shè)備和嵌人式設(shè)備等進(jìn)行被動(dòng)式防御，如果病毒庫(kù)更新或發(fā)現(xiàn)不及時(shí)，隨時(shí)可能遭到入侵。

EDR 是一種更為主動(dòng)和智能的殺毒軟件，全稱端點(diǎn)檢測(cè)與響應(yīng)（（Endpoint Detection and Response），不同于端點(diǎn)被動(dòng)防御，EDR 是過云端威脅情報(bào)、機(jī)器學(xué)習(xí)、異常行為分析、攻擊指示器等方式，主動(dòng)發(fā)現(xiàn)來自外部或內(nèi)部的安全威脅，并進(jìn)行智能的阻止、取證、補(bǔ)救和溯源，從而有效對(duì)端點(diǎn)進(jìn)行防護(hù)。

這有點(diǎn)像導(dǎo)彈反導(dǎo)攔截技術(shù)，普通的殺毒軟件像是一種未段反導(dǎo)攔截技術(shù)，EDR 是一種中段反導(dǎo)攔截技術(shù)。EDR 更具主動(dòng)性和安全性。

但是再牛的攔截技術(shù)，也可能會(huì)出現(xiàn)漏網(wǎng)之魚。這個(gè)時(shí)候，就需要另外一種技術(shù)保護(hù)房子里的數(shù)據(jù)。

備份（Backup）是經(jīng)常被用來保護(hù)數(shù)據(jù)的災(zāi)備軟件。備份通常分為冷備、溫備和熱備，隨著用戶對(duì)數(shù)據(jù)實(shí)時(shí)性的要求越來越高，持續(xù)數(shù)據(jù)保護(hù) CDP（Continuous Data Protection）技術(shù)正在被用戶所接受。

CDP 技術(shù)兼具數(shù)據(jù)備份與恢復(fù)的功能，可以提供百萬(wàn)分之一秒的數(shù)據(jù)保護(hù)顆粒度。當(dāng)企業(yè)級(jí)數(shù)據(jù)被病毒加密時(shí)，用戶可以根據(jù)需要，將數(shù)據(jù)恢復(fù)至任意歷史時(shí)間點(diǎn)。

CDP 防范病毒感染的方式包括備端設(shè)置多個(gè)文件目錄和主備端采用不同操作系統(tǒng)等，讓勒索病毒無(wú)法感染備端的數(shù)據(jù)，或無(wú)法感染所有的備份數(shù)據(jù)。

外配 EDR，內(nèi)置 CDP，這對(duì)于很多用戶對(duì)數(shù)據(jù)保護(hù)的基礎(chǔ)要求，綽綽有余，所以這對(duì) CP 可能是目前解決勒索病毒的最優(yōu)解。

從“互聯(lián)網(wǎng)＋”到“Data＋”

從“互聯(lián)網(wǎng)＋”到“Data＋”，數(shù)據(jù)保護(hù)市場(chǎng)在增長(zhǎng)

過去十年，互聯(lián)網(wǎng)技術(shù)推動(dòng)了生產(chǎn)方式的變革，“互聯(lián)網(wǎng)＋”的發(fā)展模式，極大地提高了企業(yè)的生產(chǎn)經(jīng)營(yíng)效率，給人們的生活帶來了便捷。

進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)成為了新的生產(chǎn)要素。萬(wàn)物互聯(lián)以數(shù)據(jù)為基礎(chǔ)，通過數(shù)據(jù)采集、價(jià)值挖掘和大數(shù)據(jù)應(yīng)用，賦能各行各業(yè)的數(shù)字化轉(zhuǎn)型升級(jí)，在“互聯(lián)網(wǎng)＋”的基礎(chǔ)之上，進(jìn)一步助力企業(yè)增效降本。

我們可以稱之為“Data＋”，一個(gè)以數(shù)據(jù)為核心進(jìn)行生產(chǎn)的新發(fā)展理念。

而未來建立在數(shù)據(jù)應(yīng)用基礎(chǔ)之上的生產(chǎn)力體系，在面對(duì)勒索病毒等安全挑戰(zhàn)時(shí)，必然促使用戶采取措施加大對(duì)數(shù)據(jù)的保護(hù)力度。那么，企業(yè)級(jí)數(shù)據(jù)保護(hù)包括的容災(zāi)、備份、歸檔這三大應(yīng)用領(lǐng)域，將會(huì)在“Data＋”時(shí)代形成一個(gè)可持續(xù)增長(zhǎng)的數(shù)據(jù)產(chǎn)業(yè)市場(chǎng)。

這也是我們從最近不斷發(fā)生的數(shù)據(jù)安全事件中，對(duì)未來的市場(chǎng)較為直觀的判斷。