當(dāng)前，AI技術(shù)蓬勃發(fā)展，智能化轉(zhuǎn)型已成為企業(yè)發(fā)展的必由之路。各企業(yè)紛紛投身其中，在企業(yè)運(yùn)營(yíng)中不斷創(chuàng)造出更多的數(shù)字資產(chǎn)。這些數(shù)字資產(chǎn)如同企業(yè)的“黃金寶藏”，已成為企業(yè)至關(guān)重要的生產(chǎn)要素。然而，一旦重要數(shù)據(jù)遭勒索加密，不僅會(huì)造成財(cái)產(chǎn)損失，更可能導(dǎo)致業(yè)務(wù)系統(tǒng)嚴(yán)重癱瘓，給企業(yè)帶來難以估量的損失。

為提升企業(yè)對(duì)勒索攻擊防護(hù)韌性，華為推出星河AI融合SASE解決方案。該方案集成自研勒索回滾技術(shù)，通過建立動(dòng)態(tài)備份機(jī)制，即便遭遇勒索病毒加密，也能快速調(diào)取歷史備份數(shù)據(jù)完成無損恢復(fù)，就像為企業(yè)的重要數(shù)據(jù)文件再上一份“保險(xiǎn)”， 為企業(yè)數(shù)字資產(chǎn)筑牢安全防線。

勒索攻擊成為頭號(hào)網(wǎng)絡(luò)威脅

近年來，隨著AI技術(shù)與網(wǎng)絡(luò)攻擊的深度耦合，勒索攻擊事件呈爆發(fā)式增長(zhǎng)態(tài)勢(shì)，勒索攻擊事件頻繁曝出，勒索贖金屢創(chuàng)新高。勒索攻擊憑借高收益、易發(fā)發(fā)起的特點(diǎn)，已成為企業(yè)面臨的頭號(hào)網(wǎng)絡(luò)威脅。

勒索加密速度快：

勒索病毒加密文件速度加快。LockBit可以在4分鐘內(nèi)加密10萬個(gè)文件，平均每分鐘2.5萬文件。當(dāng)檢測(cè)出勒索事件的時(shí)候, 用戶文件可能已遭受重大損失。

勒索攻擊損失大：

黑客利用AI大模型，催生出了WormGPT、FraudGPT等一大批惡意AI工具（BadGPT），這使得勒索攻擊的成本大幅降低，數(shù)量呈幾何級(jí)數(shù)增長(zhǎng)。2024年，全球因勒索軟件攻擊所遭受的損失高達(dá)420億美元。平均每次勒索攻擊會(huì)導(dǎo)致企業(yè)業(yè)務(wù)中斷長(zhǎng)達(dá)21天，直接經(jīng)濟(jì)損失達(dá)273萬美元，給企業(yè)的正常運(yùn)營(yíng)帶來沉重打擊。

加密數(shù)據(jù)恢復(fù)難：

數(shù)據(jù)顯示，只有4%的企業(yè)在繳納贖金后，數(shù)據(jù)能夠得到完整恢復(fù)。這意味著大多企業(yè)在遭遇勒索攻擊后，只能眼睜睜地看著自己的數(shù)據(jù)被“綁架”，卻無能為力。

如何防御勒索攻擊已成為企業(yè)網(wǎng)絡(luò)安全建設(shè)的核心關(guān)切問題。

華為獨(dú)家勒索回滾技術(shù)，給文件上“保險(xiǎn)”

為應(yīng)對(duì)勒索攻擊的挑戰(zhàn)，華為從全新的視角出發(fā)，創(chuàng)新性地推出了“勒索回滾技術(shù)”，為企業(yè)的文件安全再上一份“保險(xiǎn)”。這項(xiàng)技術(shù)的核心在于，即使數(shù)據(jù)被勒索病毒加密，也能通過提前備份的文件，幫助客戶恢復(fù)數(shù)據(jù)，為客戶對(duì)勒索防護(hù)提供“兜底”預(yù)案，提升企業(yè)面對(duì)勒索攻擊對(duì)抗韌性。

我們來看下勒索回滾文件恢復(fù)流程。勒索病毒入侵系統(tǒng)后，會(huì)執(zhí)行一系列“特殊操作”，如遍歷系統(tǒng)文件、篡改系統(tǒng)配置文件、執(zhí)行危險(xiǎn)命令如vssadmin.exe等。華為HiSec Endpoint智能終端防護(hù)系統(tǒng)通過內(nèi)核級(jí)監(jiān)控，精準(zhǔn)捕捉勒索病毒對(duì)文件實(shí)施的各類細(xì)粒度動(dòng)作。一旦察覺異常進(jìn)程對(duì)文件執(zhí)行刪除、加密等異常操作，便會(huì)即刻觸發(fā)文件備份機(jī)制，在病毒實(shí)施加密前完成文件備份。與此同時(shí)，HiSec Endpoint會(huì)對(duì)勒索病毒展開查殺，待惡意病毒被清除后，通過提前備份的文件對(duì)機(jī)密文件進(jìn)行恢復(fù)，實(shí)現(xiàn)無損回滾。

圖1：勒索文件恢復(fù)流程圖

華為事件觸發(fā)式勒索回滾技術(shù)優(yōu)勢(shì)

華為克服高難度的內(nèi)核態(tài)開發(fā)挑戰(zhàn)，在內(nèi)核層監(jiān)控勒索病毒對(duì)文件的所有細(xì)粒度動(dòng)作，并抽象到備份邏輯，融入驅(qū)動(dòng)程序，實(shí)現(xiàn)勒索病毒監(jiān)測(cè)和備份，相比業(yè)界有如下優(yōu)勢(shì)：

基于事件觸發(fā)式備份，保障備份有效數(shù)據(jù)

華為勒索回滾技術(shù)采用事件觸發(fā)備份進(jìn)行備份。只有當(dāng)重要文件被異常修改時(shí)，才會(huì)將該文件備份到保護(hù)區(qū)內(nèi)。與業(yè)界普遍采用的全量備份方式相比，華為的事件觸發(fā)備份方式占用的存儲(chǔ)資源小；同時(shí)，全量備份可能會(huì)把已經(jīng)被入侵、污染的數(shù)據(jù)備份進(jìn)去，而華為的事件觸發(fā)備份方式是在病毒文件加密前，進(jìn)行備份，有效避免備份“問題”數(shù)據(jù)。

圖2：備份方式對(duì)比

全面檢測(cè)勒索病毒進(jìn)程行為，保障恢復(fù)文件版本無差異

除全量備份外，業(yè)界不少?gòu)S商采用定時(shí)備份，除了容易備份已經(jīng)被加密的文件，還容易導(dǎo)致周期間文件未備份而丟失。華為勒索回滾技術(shù)全面檢測(cè)勒索病毒多進(jìn)程加密行為，內(nèi)置復(fù)雜精細(xì)化文件回滾順序機(jī)制。當(dāng)可疑進(jìn)程修改文件時(shí)，HiSec Endpoint會(huì)暫停修改文件操作并實(shí)時(shí)備份，因此可將文件精準(zhǔn)恢復(fù)至勒索加密前版本，實(shí)現(xiàn)無差異恢復(fù)。

圖3：恢復(fù)文件版本對(duì)比

如上圖，業(yè)界采用5分鐘周期備份，若文件12:05被加密且備份后，僅能用12:00的文件恢復(fù)，導(dǎo)致恢復(fù)文件版本有差異；華為事件觸發(fā)式備份可實(shí)時(shí)備份，將加密文件恢復(fù)至最新版本。

備份區(qū)文件被攻破，造成丟失

業(yè)界很多廠商采用Windows原生的VSS（Volume Shadow Copy Service，卷影復(fù)制服務(wù)）快照功能做數(shù)據(jù)備份恢復(fù)。但勒索軟件常刪除系統(tǒng)卷影副本，導(dǎo)致恢復(fù)失效。華為備份方案不依賴系統(tǒng)VSS，采用獨(dú)立本地備份管理技術(shù)，備份文件位置可由用戶指定，默認(rèn)受內(nèi)核態(tài)驅(qū)動(dòng)保護(hù)，除HiSec Endpoint自身程序外，其他程序均無法讀取修改，即便勒索軟件破壞VSS卷影，用戶仍能通過華為備份恢復(fù)文件。

圖4：備份方式對(duì)比

在數(shù)字化轉(zhuǎn)型的洶涌浪潮中，企業(yè)的數(shù)據(jù)安全是重中之重。華為勒索回滾技術(shù)的出現(xiàn)，無疑為企業(yè)的文件安全上了一份“保險(xiǎn)”，讓企業(yè)的數(shù)據(jù)資產(chǎn)得到了更加可靠、全面的保障。相信隨著華為勒索回滾技術(shù)的不斷推廣和應(yīng)用，將有越來越多的企業(yè)從中受益，在數(shù)字化轉(zhuǎn)型的道路上走得更加穩(wěn)健、更加安全。