如何重新定义数据保护的安全关

2023年注定将成为中国数据发展历史上特殊的一年，国家战略层面成立了国家数据局，浙江省成为第四个全省推行企业首席数据官的省份。IDC预测中国数据量规模在2027年将达到76.6ZB。在数据量呈几何级数上涨的同时，数据的价值也开始得到自上而下的认同，国内由此进入了数据治理的新时代。

但同样在2023年，被称为2022年第一威胁的勒索软件攻击将增长40%，并且情况还会持续恶化，预计到2031年，勒索软件攻击将上升到2秒发生一次。因此，数据治理首先要过的，就是需要重新定义数据保护的安全关。

变局的缘起

数据保护需要被重新定义，是由多方面因素决定的。这不仅因为用户端的数据量快速增长，与业务紧密结合而让数据的价值提升，还因为用户IT基础设施的变化，以及黑客攻击手法的翻新。不变的就只有一点，那就是勒索软件攻击的破坏力在持续上升，目前最高的勒索赎金已达7000万美金。

从用户层面来看，海量数据已经不止存于数据中心，而更多地开始向云端和边缘端迁移。当用户在多云、混合云的环境下进行防保，数据备份就成了他们最后一道防线。而一直寻找系统弱点的黑客恰好也看准了这最后一道防线。当入侵成功之后，造成用户数据无法恢复时，在业务、商誉损失面前，用户往往会选择忍让，但这却并不是一个明智之举。

 

Commvault大中国区及东南亚区域技术总监陈伟俊表示：“勒索病毒在发展初期，黑客们只是进行恶意破坏，后来发现由此可以收获赎金，就导致了大集团的操纵，大量资金被输入进来。加密货币的流行，加速了勒索软件攻击的进程。但用户需要特别注意的一点，是数据显示只有4%的受感染者支付了赎金后能够拿回全部数据。”

 

Commvault大中国区及东南亚区域副总裁蔡志斌则强调：“勒索软件攻击会攻击所有的行业，只要你的数据有价值，就可能成为黑客攻击的目标。类似于金融行业的大企业，数据安全防护做得比较好，黑客攻击虽然收益大，但相应付出的成本也高。而很多中小企业，因为黑客入侵的门槛低，所以也很容易受到攻击。”

 

作为深耕数据保护行业20多年的资深技术人，Commvault中国区技术总监董剑波则表示：“数据备份用户的观念其实一直在发生变化。2000年时，用户的关注点在能不能备份，通过什么方式去备份数据。到了2010年，用户更多关注系统一旦出现问题，数据能不能被恢复，恢复时间是多长。在2018年以后，用户的关注点变成了备份系统是不是足够强壮，能不能应付黑客的攻击，数据恢复是不是安全的恢复，其中有没有恶意代码，会不会面临二次攻击等新问题。”

由此可见，数据保护被重新定义，其缘起正是用户的需求。这是一场不分行业和规模的、企业必须打赢的数据保卫战，而胜利的前提则是有力的武器保障。

体系的力量

重新定义数据保护并非只是在数据备份之中加入保护这么简单，安全防护从来都是一项系统性工程。目前，全球有超过61%的企业在保障数据安全时，都会遵循NIST安全框架去加固自己的IT系统。Commvault的业界唯一能为生产和备份数据提供数据防御功能的解决方案，正是构建在NIST安全框架上的。

NIST安全框架包括了识别、保护、监控、响应、恢复五个部分，每一部分都有相应的标准。作为用户，首要工作是识别出重要的数据在哪里，在此基础之上，再去提供一个完善的保护方案，对系统进行加固，确保备份数据不被篡改。NIST安全框架提供了安全控制、零信任架构两个标准，这两个标准与资产识别和保护一起，被看作是最先的安全部署阶段。

接下来，负责安全监控的监控和负责事件处理的响应，构成了NIST安全框架中的防御部分。监控包括了一系列的保护方案和流程，承担着监测出系统中漏洞和风险的责任。但任何保护措施都无法保证100%的数据安全，当攻击发生时就需要做出快速响应和快速处理，做到第一时间告警和溯源。

NIST安全框架的最后一个部分是安全恢复阶段，它不仅涉及能否实现数据恢复，还需要避免二次攻击和感染，将IT系统恢复到一个安全、干净的状态，同时还要尽量缩短恢复时间。

如此复杂的一个体系，显然跟人们原来理解的简单备份恢复有着天壤之别。此外，需要特别注意的是，NIST安全框架中的每一部分都非常重要，因为它们直接关系着整体防护的效果。

 

陈伟俊介绍说：“数据识别阶段的工作非常重要，因为用户的数据确实都非常重要，但并不是同等级的重要。如果不做数据识别工作，用同等的方法保护数据，那么一旦攻击事件发生，恢复速度就会慢很多。而从Commvault的角度来看，我们会在用户备份数据之前，先按重要性给数据分类，当事件发生时，自动恢复功能会选择最重要的数据优先恢复，让业务流程先跑起来。类似这些方法累积起来，就使得其他厂商的系统可能需要一个月的恢复时间，而Commvault最短的恢复时间只有12个小时。”

也正是因为这个原因，Commvault首先提供的，是安全评估服务。随着用户安全意识的提升，一些用户，特别是被勒索过的用户会主动找上门，通过咨询查找自己系统中做得不到位的地方，而Commvault的工程师则会到用户现场，通过现场调研、数据分析、风险分析，最后提交给用户一个包含问题解决办法的方案文档，明确一条达到NIST五层框架的实现路径。在此基础之上，Commvault再给出端到端的解决方案。

复盘攻防战

以往我们见到了太多勒索软件攻击的结果，却从来没有经历过一场惊心动魄的攻防战。而Commvault从NIST安全框架的安全、防御、恢复三个阶段出发，将数据保护重新划分为事先安全加固、事中及早预警和事后快速响应，我们由此也有机会复盘一次惊险的勒索软件攻击的攻防战。

今天，用户在多云的架构上形成了很多数据孤岛，系统中还隐藏着大量碎片化的数据，而从识别的角度出发，却不仅要保护所有的数据，还要识别出最重要的数据，进而保证备份数据不能被篡改。为此，Commvault研发了很多新技术，利用只能写一次，不能重复修改的WORM副本，实现了数据的不可变存储;进而利用气隙系统实现数据隔离。还通过对生产数据的威胁扫描，识别出生产数据中的敏感数据到底会出现在什么地方。

当勒索软件攻击发生时，Commvault的系统不仅能够利用检测手段快速检测到勒索病毒攻击行为，实现第一时间告警，还可以故意模拟一些弱点，遮挡真正重要的数据存储位置，从而保护最重要的数据不受攻击。再将受攻击的系统隔离，不让攻击范围扩散。与此同时，攻击行为还会被传送到专属的安全平台进行分析，由此得出攻击发起人、攻击类型等信息。根据这些信息，再给出处理方案。目前Commvault与Palo Alto Networks、微软、CyberArk的系统做了紧密的集成，通过分享安全信息，把安全作为统一事件来处理。

如果系统已经被勒索软件攻击攻破，就进入了数据恢复阶段。高明的黑客往往会在数据中留下恶意代码，这样在数据恢复的过程中，可能实现二次攻击。而Commvault在恢复数据中，遇到存在异常的备份数据，会打一个标签，在数据恢复的进程中自动跳过。完成了这项工作之后，通过Commvault一键式的恢复能力，很短的时间内就可以恢复几个TB的数据，从而将用户宕机风险降到最低，实现更快速的恢复和更安全的自动跳转。这样做的实质，就是将数据安全引入数据保护之中，形成一个统一的平台，从而在事前、事中、事后全面保障数据备份这最后一道防线的安全。

 

董剑波介绍说：“除了符合国际安全标准和实践，采用更多自研技术实现更高安全性之外，Commvault还在努力利用AI和机器学习等技术让系统变得更加智能化。我们现在已经采用了一些智能化技术，实现了诱导攻击，未来我们会集成更多生成式AI、GPT能力。比如当用户遇到备份失败或恢复失败的问题时，要花很多时间去处理。而我们经过二十多年的实践，积累了非常多的知识库，我们正计划把它利用生成式AI做成自动化的处理方法，当用户需要时，就自动把类似的能力加到用户的生产系统或测试系统中去。”

接下来，数据量还会呈现出高增长的态势，物联网和边缘计算的流行，也会加剧数据碎片化的状态。同时，由于黑客的世界里没有游戏规则，他们会继续寻找最弱的防线。因此，数据保护注定将进入一个被重新定义的时代。

 

蔡志斌强调：“将数据安全注入数据保护，并不一定意味着成本的增加。由于很多技术都是我们自己研发的，所以安全功能的增长并不代表着采购价格的提升，只有用户需要用到特殊的模块时，才会增加成本。原有用户完全可以通过升级就享受到安全新功能。”

编辑：黄飞