基于块的主存储系统的勒索病毒防护报告

Source: Max Mortillaro, Arjan Timmerman, GigaOm Sonar Report for Block-Based Primary Storage Ransomware Protection, Sep 7, 2022

1.总结

勒索病毒是一种特定类型的恶意软件，用于加密主存储系统（包括文件共享、数据库、磁盘分区、数据卷、备份系统和存储库）上的数据资产，除非受害者支付勒索费，否则无法访问这些资产。勒索病毒经过高度优化，可通过类似于特洛伊木马攻击的方法在网络、组织和基础设施系统中传播。勒索病毒有效负载嵌入在看似合法的文件中，并由毫无戒心的用户打开受感染文件触发。通常，它将通过利用用户凭据以及记录和未记录的漏洞利用来绕过用户的有限访问范围，从而在整个环境中传播。因此，勒索病毒防护是跨组织的横向跨堆栈主题。

勒索病毒攻击可能会影响基于文件和基于块的主存储解决方案，如下所示：

• 基于文件的勒索病毒攻击是最普遍的。基于文件的高级勒索病毒实施使用多种技术的组合来保持不被注意并悄无声息地传播。例如，它们在系统被渗透几周或几个月后开始加密活动，或者它们首先针对长时间未被访问的休眠文件。

• 基于块的勒索病毒攻击虽然不太常见，但可能更具破坏性。在这种情况下，勒索病毒会加密整个数据量，从而使恢复比基于文件的攻击更加困难。必须恢复整个卷，与基于文件的恢复活动相比，它提供的粒度更少，恢复优先级选项更少。但是，这些攻击更快，更容易检测，因为一旦卷被加密，所有读/写操作都变得不可能。

本报告重点介绍可用于基于块的主存储系统的勒索病毒防护解决方案。

尽管存在专用的带外勒索病毒保护解决方案，但组织不应低估块存储解决方案中嵌入的带内勒索病毒保护功能的优势。最有效的缓解措施包括带内和带外功能的组合，但对于小型企业或注重成本的组织，块存储勒索病毒保护解决方案构成了重要的第一道防线。

对块存储进行勒索病毒防护的好处包括：

• 与备份还原相比，从勒索病毒攻击中恢复的速度更快，通常以分钟为单位，而不是以小时或天为单位，这要归功于快照。这对于无法承受长时间停机的任务关键型应用程序尤其重要。

• 更易于使用，因为恢复到健康的快照比从数据保护平台识别和编排数据恢复要少得多。

• 经济高效的保护和恢复操作：块存储勒索病毒防护解决方案通常免费提供，并提供非常有效的保护层。此外，从恢复时间和人力的角度来看，从勒索病毒中快速本地恢复比从数据保护系统恢复更便宜。此外，组织在从云还原时避免支付任何潜在的出口转移费用。

勒索病毒攻击已成为所有行业和规模企业中所有组织的普遍和持续性威胁。虽然这些攻击在几年前经常成为头条新闻，但现在它们已经变得如此普遍，以至于今天的新闻介质只提到了规模最大的案例。

组织通过评估事件发生的可能性并将此概率与影响（可能的损害程度）相关联来评估业务风险，通常通过风险评估矩阵。影响可以是多种多样的，从微不足道到广泛，但无论物理表现如何，结果通常分为三类：财务（收入损失），监管（增加审查，罚款，最终失去受监管企业的许可）和声誉（失去客户的信任）。

勒索病毒对组织来说尤其令人担忧，因为它将发生的可能性很高，不仅在受影响的位置和系统方面，而且在损害方面。勒索病毒可能会使企业和政府机构陷入瘫痪，迫使他们要么支付巨额赎金，要么冒着在数周甚至数月内失去生产能力和收入的风险。

勒索病毒不区分基础设施层；一旦进入，它将尝试加密组织的所有资产，这就是为什么访问和网络的正确分割很重要的原因。组织通常实施多个数据保护层，包括数据保护（备份和灾难恢复）、网络层的安全性以及用于减少攻击面的身份验证机制。但是，应避免仅依赖备份，原因如下：

• 主存储数据是组织中可用的最新数据存储库。大型企业在生产数据和数据备份之间可能存在显著的增量，尤其是在数据更改率较高的情况下。

• 丢失主存储数据并必须从数据保护平台还原它是一个耗时的过程，受备份介质吞吐量和网络带宽的限制，尤其是在受保护的数据驻留在云中时。

• 对于基于云的数据保护，数据检索可能会产生出口传输费用，随着需要恢复更多的数据和系统，这些费用可能会迅速增加。

• 由于主存储数据是勒索病毒攻击的第一个影响点，因此建议实施包含勒索病毒保护的主存储解决方案。从财务、法规和声誉的角度来看，及时识别、警报和缓解比处理勒索病毒攻击的后果及其严重影响更可取。

2.概述

简而言之，主存储勒索病毒保护解决方案的出现是为了应对勒索病毒攻击日益普遍和破坏性的影响。这些攻击的重点是加密驻留在主存储系统上的静态数据，包括文件共享、数据库、数据卷和磁盘分区，例如虚拟机（VM）中的数据。最复杂的勒索病毒也更进一步，并积极针对备份系统和存储库，以造成最大的损害。

此报告重点介绍基于块的主存储中存在的勒索病毒防护功能。

即使块存储系统不是勒索病毒传播的主要媒介，它们仍然是勒索病毒的目标：

• 数据块存储通常服务于大型虚拟化环境和任务关键型应用程序。

• 在块存储上运行的虚拟机可能会在操作系统层受到勒索病毒的影响，卷被加密并变得不可读。

• 使用凭据盗窃的侧攻击可以使攻击者获得对块存储的访问权限，从而允许他们删除快照，从而剥夺组织恢复到正常状态的能力。

如果没有适当的控制（例如，数据分段、最小特权访问和严格的权限），块存储库很容易成为勒索病毒不受控制地传播的目标。

主要部件

主存储上的勒索病毒防护的目标是通过缓解威胁并确保主存储数据受到保护来充当第一道防线，从而确保操作的连续性。主存储解决方案可以通过各种方式提供勒索病毒保护，从非常简单的功能到最先进的实施。

不可变快照提供最基本的保护级别。这些允许管理员在数据受到勒索病毒破坏时恢复到正常状态。虽然勒索病毒防护是基础，但此功能是被动的，不能提供主动的见解。只有在环境受到攻击并检测到勒索病毒之后，管理员才能使用不可变的快照从攻击中恢复。

将不可变快照与其他技术（如复制）相结合，可提供中间级别的保护。在这种情况下，快照数据将复制到专用的隔离系统或云中。还可能包括其他功能，如基本检测和快照恢复业务流程。

最先进的实现提供使用人工智能和机器学习（AI/ML）模型训练的复杂勒索病毒识别算法。他们能够分析广泛的模式和异常行为，并将看似孤立的事件关联起来，以识别潜在的有害情况。这些检测模式包括给定地理区域的常规活动时间、通常访问的数据类型（包括用户访问模式）以及跨文件夹和共享的大规模文件操作。此外，高级解决方案还实施了主动缓解策略，例如识别作为这些更改来源的系统和帐户，撤销可能受影响的用户和系统的访问权限的能力，以及切断对部分或全部受影响文件系统的访问的可能性。最后，这些解决方案与监控和人工智能操作（AIOps）平台集成，提供全面的警报和主动缓解选项。

勒索病毒创建者实施各种技术来避免立即检测。例如，勒索病毒可以进入组织环境，但会休眠数周或数月。它还可以执行交错的活动，一次只影响几个文件，通常是那些几个月或几年没有访问过的文件。但是，这种对旧文件的关注，不被人类注意到，对于存储平台来说很容易识别。

随着勒索病毒保护解决方案的增长和对主动监控的日益关注，首先以不加区分的方式加密旧文件的概念正在失去其吸引力，并可能为更难识别的随机模式腾出空间。另一方面，基于AI的勒索病毒保护解决方案会定期更新和培训，以赶上新的威胁模型并识别它们。

市场细分

为了更好地了解市场和供应商的定位，我们评估了具有集成勒索病毒防护的基于块的主存储解决方案在服务特定细分市场方面的表现。请注意，我们仅关注主存储供应商提供的勒索病毒功能，而不是专用的独立勒索病毒防护解决方案。

• 中小型企业（SMB）：在此类别中，我们评估解决方案是否能够满足从小型企业到中型公司等组织的需求，包括大型企业中的部门场景。对于这些场景，解决方案应提供适合IT通才的交钥匙体验和完整的功能集。该解决方案应弥补这些组织的有限资源以及专用人员（无论是IT专家还是信息安全专家）的可用性。

• 大型企业：在这里，根据产品支持大型和业务关键型项目的能力来评估产品。此类别中的最佳解决方案将侧重于功能集的深度，以及与现有企业工具（如数据保护解决方案、信息安全工具、AIOps和ITSM平台）的集成。可扩展性和灵活性是成功采用企业的关键。

3.应用的注意事项

用于采用部署在基于块的主存储上的勒索病毒保护的购买驱动因素非常清楚。唯一潜在的缺点是，嵌入高级勒索病毒防护的存储系统可能比没有此类功能的存储系统更昂贵。另一方面，好处是如此巨大，以至于组织应该认真考虑购买没有勒索病毒防护功能的存储解决方案是否有意义。

潜在客户在评估解决方案时应仔细考虑以下事项：首先，主存储勒索病毒防护如何适应其整体安全、威胁和勒索病毒防护状况，其次，解决方案如何与其更广泛的威胁缓解策略集成。

对于已投资高级专用勒索病毒保护解决方案的组织而言，仅提供不可变快照作为勒索病毒保护层的主存储解决方案是可以接受的。但是，这对于无法负担专用勒索病毒解决方案的相同投资的中小企业来说是不够的。

同样，具有异构存储基础结构的大型组织可能会质疑深度集成的高级勒索病毒保护解决方案（该解决方案是单个存储供应商专有的）的好处。

另一个考虑因素是与更广泛的基础设施占用空间相比，给定解决方案的范围。如果客户管理其他存储类型（例如NAS），并且一个供应商的解决方案同时支持文件和数据块系统，则这对组织来说可能是一个有利的选择。

在任何情况下，确定组织的当前安全状况、计划走向何处以及可用预算将有助于进一步完善适当的采用标准。

企业采用的关键特征

在这里，我们将根据某些供应商提供的属性或功能（而不是其他供应商）来探讨可能影响企业采用该技术的关键特征。这些标准将成为组织决定采用哪些解决方案以满足其特定需求的基础。这些关键特征是：

• 架构

• 主动识别

• 缓解和恢复

• 管理

• 许可证

架构

勒索病毒防护解决方案的设计、实施和功能集可能会影响可扩展性、性能和效率。紧密嵌入存储平台中的解决方案将提供即时结果，但缺乏能够更好地识别大规模或特定位置发生的异常模式的全局视图。

主动识别

基本的勒索病毒防护功能（如快照和连续数据保护）现在被认为是理所当然的。IT人员几乎无法察觉勒索病毒感染模式，他们通常只有在反应迟到时才意识到勒索病毒攻击的程度和影响。高级勒索病毒防护系统接受过勒索病毒行为模式的培训，可以通过实时分析文件系统更改来识别异常行为。

缓解和恢复

虽然及时识别感染模式至关重要，但警报是不够的。该解决方案应实现隔离加密数据并控制传播的技术，例如，通过终止与文件系统的活动连接或暂时限制访问。同样，它必须实施轻松恢复受影响数据的方法。

管理

监控和警报功能以及可视化威胁及其影响的能力至关重要。该解决方案应包括具有主动警报功能的管理界面，并与企业系统管理解决方案、AIOps和IT服务管理（ITSM）工具集成。

许可证

无论体系结构和部署模型如何，某些勒索病毒防护功能都免费包含在存储解决方案功能集中，而更高级的解决方案可能会单独获得许可。但是，某些供应商确实将高级保护作为存储系统的一个组成部分提供。

4.GigaOm Sonar报告

GigaOm Sonar报告为新兴或新兴技术领域的供应商解决方案提供了前瞻性分析。它评估每个供应商的创新和架构方法，同时确定每个解决方案在实现快速实现价值（Feature Play）与提供复杂而强大的解决方案（Platform Play）方面所处的位置。

GigaOm Sonar报告图（图1）根据这三个标准，在同心圆场上绘制了每个解决方案的当前位置，其中设置的解决方案更靠近中心，被认为具有更高的总体价值。供应商的前瞻性进展由箭头进一步描绘，箭头显示了12至18个月的预期发展方向。

图1.用于基于块的主存储勒索病毒防护的GigaOm Sonar报告

如图1中的Sonar报告图表所示，有三组供应商。在Platform Play方面，第一组包含具有战略性长期方法的解决方案。Infinidat通过InfiniGuard网络恢复提供完整而平衡的勒索病毒防护解决方案，可为组织提供卓越的价值。Dell Technologies提供更广泛的解决方案组合，并逐步在其产品中实施勒索病毒防护功能。PowerMax存储平台目前提供了完整的实施，这些功能将渗透到其电源存储和PowerFlex平台。Hitachi Vantara采用不同的方法，基于与其丰富的监控和数据管理软件生态系统的集成。该公司专注于将勒索病毒功能添加到块和对象存储中（尽管对象存储不在本报告的范围之内）。最后，IBM提供了坚实的基础编排和恢复功能，但是，勒索病毒检测功能目前不适用于通用工作负载。

中间是第二组，由具有快速价值实现方法的创新解决方案组成。这些功能的实现速度比第一组更快，但在某些领域，功能的广度目前还不完整。一些接受评估的公司正在采取行动缩小这一差距。Pure Storage凭借其安全模式快照、强大的多因素身份验证（MFA, multifactor authentication）和验证机制在这一领域处于领先地位。基本的主动检测功能通过Pure1提供，但高级功能仍在路线图上。Nutanix提供全面的分析、强化和不可变快照以及即时恢复功能，并专注于网络层的主动检测。StorONE提供了一个平衡的解决方案，并有一个进一步改进其功能集的良好路线图。

在Feature Play方面，第三组由采用以功能为中心的方法的供应商组成。HPE提供强大的基础功能（尤其是Alletra9000），但严重依赖构建块方法。它需要熟练的架构师正确理解HPE产品组合中的特性和功能，并将其集成到全面的解决方案中。NetApp在基于文件的勒索病毒防护方面拥有强大的路线图，但其块存储勒索病毒防护的范围较小，尽管零信任安全性方面的一些创新值得注意。DDN提供一组基本的勒索病毒防护功能，包括不可变的快照和基于云的监控功能，可用于间接观察潜在的勒索病毒活动。

6.近期路线图

在功能方面，评估的解决方案之间存在明显的分歧：许多解决方案已经成熟，因为它们提供了广泛的高级功能，包括基于AI/ML的异常检测和主动修复。

对于提供快照不变性和/或连续数据保护的不太成熟的解决方案，实施主动威胁检测是一个可能的路线图方向，但这在很大程度上取决于每个供应商投入研发资源的能力和意愿。考虑到所涉及的工作量和成本，这些解决方案的功能集更有可能保持不变，而供应商则寻求与完善的通用勒索病毒保护供应商建立战略合作伙伴关系。

同时，先进的解决方案将继续改进其AI/ML检测和训练模型。虽然这些解决方案作为主存储管理堆栈的一部分提供，但它仍将与存储阵列本身相邻，并最终可以扩展以支持异构环境。或者，它们可以作为独立的解决方案剥离出来，可以免费与供应商的存储平台一起使用，但允许与外部存储解决方案一起使用。

7.分析师的看法

尽管勒索病毒防护并不新鲜，但攻击频率的提高使这一学科越来越成为人们关注的焦点。直到最近，数据保护、业务连续性和灾难恢复讨论还是勒索病毒防护解决方案的主要驱动因素。

组织已经意识到需要深入、分层的威胁保护策略，以便在多个级别实施威胁检测和缓解机制。同样，存储供应商也承认勒索病毒存在风险，并且生产数据存储系统通常是主要目标。

通过在主存储系统上实施勒索病毒防护，存储供应商使组织能够通过主动识别和缓解来加强其安全态势。最先进的勒索病毒防护主存储解决方案可确保主存储数据受到勒索病毒攻击的影响最小，从而保证业务运营的正常流动，同时减轻财务、法规和声誉影响的后果。

此外，主存储系统上勒索病毒保护的存在及其成熟度使存储供应商能够在竞争中脱颖而出并创造新的商机。