臺灣知名的計算機制造商宏碁（Acer）近日遭到了REvil勒索軟件的攻擊。黑客團伙通過在網(wǎng)站公開泄露數(shù)據(jù)的方式，證明了入侵宏碁的真實性，并索要贖金5000萬美元，約合人民幣3．25億元。

法國 OVH 數(shù)據(jù)中心大火硝煙未散，針對 VMware VSphere 的病毒還未走遠，宏碁又被 REvil病毒勒索巨額贖金，最近的數(shù)據(jù)保護市場可謂草木皆兵。

狡猾的 REvil 病毒勒索團隊

REvil 病毒以攻擊知名機構(gòu)而聞名。2020 年 5 月，紐約市一家服務(wù)于全球影視娛樂巨星的律師事務(wù)所成為 REvil 病毒攻擊的受害者，包括 LadyGaga、埃爾頓·約翰、羅伯特·德尼羅和麥當娜等全球大牌音樂和電影明星的私人法律事務(wù)面臨被曝光的風險。

雖然沒有證據(jù)表明攻擊來自同一個團伙，但事實證明這撥人很狡猾。

根據(jù)報道，在攻擊上述事務(wù)所時，黑客團伙一開始要求受害者以比特幣（Bitcoin）支付贖金，但后來改為門羅幣（XMR）——更具匿名性的虛擬貨幣。門羅幣是一個創(chuàng)建于2014年4月開源匿名貨幣，其交易金額、交易時間、地址、發(fā)送方和接收方等信息完全隱匿，司法部門很難追蹤和查詢。

除了收取贖金的方式狡猾多變，黑客處理數(shù)據(jù)的手段也更加多樣。傳統(tǒng)的黑客手段，一般是加密數(shù)據(jù)，如果受害者繳納贖金，黑客通過發(fā)送私鑰恢復(fù)數(shù)據(jù)（通常不一定能夠恢復(fù)）。但是黑客現(xiàn)在通過公開部分商業(yè)數(shù)據(jù)，脅迫受害者趕快支付贖金。更有甚者，連備份數(shù)據(jù)一起加密，讓受害者沒有可恢復(fù)的數(shù)據(jù)。

EDR ＋ CDP會是最優(yōu)解嗎？

勒索病毒是一種以釣魚郵件、程序木馬、網(wǎng)頁掛馬的形式進行傳播的病毒。該病毒利用加密算法對文件進行加密，被感染的數(shù)據(jù)一般無法解密，必須拿到私鑰才有可能破解。

勒索病毒的危害極大，企業(yè)用戶的文件數(shù)據(jù)一旦被加密，可能會遭受經(jīng)濟、名譽、監(jiān)管等方面的多重打擊。

如何安全有效地應(yīng)對病毒攻擊，我們需要從底層邏輯開始思考。

黑客利用病毒勒索企業(yè)機構(gòu)，目的是加密或泄露數(shù)據(jù)。如果把企業(yè)比喻成一間房子，數(shù)據(jù)就是房子里的財產(chǎn)。在房子周邊，我們通過網(wǎng)絡(luò)安全防護的各類產(chǎn)品構(gòu)建起堅固的防線，抵擋勒索病毒的攻擊。在房子里面，我們通過備份、轉(zhuǎn)移的方式，對數(shù)據(jù)進行多重保護，確保外防的網(wǎng)絡(luò)被攻破后，還有數(shù)據(jù)可用來恢復(fù)業(yè)務(wù)。

防勒索病毒的軟件并不少，從360殺毒軟件到火絨，但很多時候，這種免費的殺毒軟件，有其局限性。它們更多在端點進行防御，即在臺式機、服務(wù)器、移動設(shè)備和嵌人式設(shè)備等進行被動式防御，如果病毒庫更新或發(fā)現(xiàn)不及時，隨時可能遭到入侵。

EDR 是一種更為主動和智能的殺毒軟件，全稱端點檢測與響應(yīng)（（Endpoint Detection and Response），不同于端點被動防御，EDR 是過云端威脅情報、機器學習、異常行為分析、攻擊指示器等方式，主動發(fā)現(xiàn)來自外部或內(nèi)部的安全威脅，并進行智能的阻止、取證、補救和溯源，從而有效對端點進行防護。

這有點像導(dǎo)彈反導(dǎo)攔截技術(shù)，普通的殺毒軟件像是一種未段反導(dǎo)攔截技術(shù)，EDR 是一種中段反導(dǎo)攔截技術(shù)。EDR 更具主動性和安全性。

但是再牛的攔截技術(shù)，也可能會出現(xiàn)漏網(wǎng)之魚。這個時候，就需要另外一種技術(shù)保護房子里的數(shù)據(jù)。

備份（Backup）是經(jīng)常被用來保護數(shù)據(jù)的災(zāi)備軟件。備份通常分為冷備、溫備和熱備，隨著用戶對數(shù)據(jù)實時性的要求越來越高，持續(xù)數(shù)據(jù)保護 CDP（Continuous Data Protection）技術(shù)正在被用戶所接受。

CDP 技術(shù)兼具數(shù)據(jù)備份與恢復(fù)的功能，可以提供百萬分之一秒的數(shù)據(jù)保護顆粒度。當企業(yè)級數(shù)據(jù)被病毒加密時，用戶可以根據(jù)需要，將數(shù)據(jù)恢復(fù)至任意歷史時間點。

CDP 防范病毒感染的方式包括備端設(shè)置多個文件目錄和主備端采用不同操作系統(tǒng)等，讓勒索病毒無法感染備端的數(shù)據(jù)，或無法感染所有的備份數(shù)據(jù)。

外配 EDR，內(nèi)置 CDP，這對于很多用戶對數(shù)據(jù)保護的基礎(chǔ)要求，綽綽有余，所以這對 CP 可能是目前解決勒索病毒的最優(yōu)解。

從“互聯(lián)網(wǎng)＋”到“Data＋”

從“互聯(lián)網(wǎng)＋”到“Data＋”，數(shù)據(jù)保護市場在增長

過去十年，互聯(lián)網(wǎng)技術(shù)推動了生產(chǎn)方式的變革，“互聯(lián)網(wǎng)＋”的發(fā)展模式，極大地提高了企業(yè)的生產(chǎn)經(jīng)營效率，給人們的生活帶來了便捷。

進入數(shù)字經(jīng)濟時代，數(shù)據(jù)成為了新的生產(chǎn)要素。萬物互聯(lián)以數(shù)據(jù)為基礎(chǔ)，通過數(shù)據(jù)采集、價值挖掘和大數(shù)據(jù)應(yīng)用，賦能各行各業(yè)的數(shù)字化轉(zhuǎn)型升級，在“互聯(lián)網(wǎng)＋”的基礎(chǔ)之上，進一步助力企業(yè)增效降本。

我們可以稱之為“Data＋”，一個以數(shù)據(jù)為核心進行生產(chǎn)的新發(fā)展理念。

而未來建立在數(shù)據(jù)應(yīng)用基礎(chǔ)之上的生產(chǎn)力體系，在面對勒索病毒等安全挑戰(zhàn)時，必然促使用戶采取措施加大對數(shù)據(jù)的保護力度。那么，企業(yè)級數(shù)據(jù)保護包括的容災(zāi)、備份、歸檔這三大應(yīng)用領(lǐng)域，將會在“Data＋”時代形成一個可持續(xù)增長的數(shù)據(jù)產(chǎn)業(yè)市場。

這也是我們從最近不斷發(fā)生的數(shù)據(jù)安全事件中，對未來的市場較為直觀的判斷。