-
火蓝备份一体机防勒索解决方案1、面临业务挑战
如今,勒索软件攻击事件可谓是层出不穷,据第三方统计,近几年,每年的全网勒索攻击总次数都超过2000万次。随着新型勒索软件的快速蔓延,企业数据的泄露风险正在不断上升,勒索赎金也攀升到了数百万甚至近亿美元。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。
勒索软件病毒,正在随着时间的推移变得更具危害性。更糟糕的是,最近出现了许多新的勒索软件即服务(RaaS)团伙,例如Mindware、Onyx和Black Basta,而恶名昭著的勒索软件运营商Revil也宣称回归。所有的这些都指向了一个事实:勒索软件的攻击无处不在,任何企业组织都有可能沦为下一个受害者。
在勒索软件攻击的潜在威胁之下,没有组织是绝对安全的。因此,提前制定合适的勒索软件攻击事件响应计划——至关重要。
2、磁带库X火蓝备份软件联合解决方案
方案通过火蓝备份一体机以及虚拟磁带库、物理磁带库设备的组合、火蓝备份软件加密储存,可建立针对勒索病毒攻击的复合防范体系以及风险下的优异保护效果。
2.1、火蓝备份一体机+虚拟磁、物理磁带库设备。
通过火蓝备份一体机的备份技术实现数据中心的本地备份,且可以根据业务系统的重要程度,选择实时或定时备份;实时备份采用的是火蓝字节级复制技术,可以实现关键业务数据的微秒级保护和回退。实时备份的数据会存放在火蓝备份一体机内,而定时备份数据会直接备到虚拟带库设备之中。设定策略会将火蓝备份一体机和虚拟带库设备内的备份数据复制到带库中实现冷备份,实现备份数据的防勒索“绝缘”效果。
利用虚拟磁带库设备的安全快照(Secure Snapshot)技术,可实现备份数据“锁”效果,确保备份数据不会受到任何勒索病毒的感染。安全快照(Secure Snapshot)技术通过独立保存,外界不可删除或修改的特点,实现数据的快速保护与快速恢复;同时DXi设备还拥有可变长度的重复数据删除技术,能够帮助用户节省大量备份空间;此外,该方案中还包含了双向/1:N/N:1 远程复制技术,可实现数据的多份保存,特别是利用AIR Gap架构,在抵御勒索软件攻击的隔绝空间内,单独保存有一份数据,进一步提升了备份数据的安全性。
火蓝备份系统主要是用的是国际公认比较安全的AES加密方案。AES是一个分组密码,属于对称密码范畴,AES算法的模块在对称密码领域特别是分组密码领域常有使用。AES加密算法主要涉及4种操作:字节替代(SubBytes)、行移位(ShiftRows)、列混淆(MixColumns)和轮密钥加(AddRoundKey)。
2.2、火蓝备份自带加密储存
加密算法和解密算法的操作通常都是在一组密钥控制下进行的,分别称为加密密钥和解密密钥。根据加密密钥和解密密钥是否相同,可将现有的加密体制分为两种:一种是私钥或对称加密体制、这种体制的加密密钥和解密密钥相同,其典型代表是美国的数据加密标准(DES):另一种是公钥或非对称加密体制,这种体制的加密密钥和解密密钥不相同并且从其中一个很难推出另一个。加密密钥可以公开,而解密密钥可由用户自己秘密保存,其典型代表是RSA体制。
2.2.1、技术实现
下图给出了AES加解密的流程,从图中可以看出:- 解密算法的每一步分别对应加密算法的逆操作,
- 加解密所有操作的顺序正好是相反的。正是由于这几点(再加上加密算法与解密算法每步的操作互逆)保证了算法的正确性。加解密中每轮的密钥分别由种子密钥经过密钥扩展算法得到。算法中16字节的明文、密文和轮子密钥都以一个4x4的矩阵表示。
2.2.2、行移位
行移位是一个4x4的矩阵内部字节之间的置换,用于提供算法的扩散性。
正向行移位
正向行移位用于加密,其原理图如下。其中:第一行保持不变,第二行循环左移8比特,第三行循环左移16比特,第四行循环左移24比特。
假设矩阵的名字为state,用公式表示如下:state’[i][j] = state[i][(j+i)%4];其中i、j属于[0,3]。
b 逆向行移位
逆向行移位即是相反的操作,即:第一行保持不变,第二行循环右移8比特,第三行循环右移16比特,第四行循环右移24比特。
用公式表示如下:state’[i][j] = state[i][(4+j-i)%4];其中i、j属于[0,3]。
3、恢复流程描述1:通过AIR Gap架构(网闸),构建独立的防勒索区域,在此空间中的磁带库设备中,保留有多份备份拷贝,用户可以选择其中的任何一份来完成关键数据还原。
2:如果确认生产环境是安全的,且经过验证后,就可以通过本地备份,将生产环境恢复到联机状态;或者只将最关键业务背后的基础架构恢复到联机状态。
3:当整个生产中心都被攻击时,需要先分析判断攻击发生的确切时间点,确定在攻击发生之前创建数据还原点。
4:通过将防勒索空间中的备份基础架构连接到生产网络,创建临时的恢复路径,进而将整体备份存储空间连接到生产网络,准备进行恢复。
A:直接恢复 - 直接从防勒索专区的备份系统中进行数据恢复,而不是将所有数据都移动至生产环境的备份设备中再恢复。火蓝备份一体机,会通过访问磁带库中的数据,将数据集直接恢复到生产环境(注意,此选项还需要创建网络连接)。
B:反向复制 - 适合站点级故障,也是最为直接的恢复流程。该流程可恢复一套已知保存良好的完整备份,然后通过此备份,完成应用程序的恢复。当从防勒索存储区到生产区的工作流完全复原之后,可使用备份软件执行常规的恢复流程。
C:恢复正常运营。在关键应用程序的重建完成之后,就可以断开临时的恢复路径。在确保所有存储区组件就绪的情况下,可即时恢复正常的数据存储空间操作。
