原创 HK-WEKA如何为勒索软件保护和业务连续性提供支持？

 2022-8-30 11:19  1157 5 5 分类: 软件与OS 文集: Weka

一、背景介绍

近年来，勒索软件攻击越来越频繁。从石油管道被关闭和汽车公司的数据被锁定，到警察部门和医疗保健组织的计算机和数据被“扣为人质”，攻击者瞄准了几乎所有行业的组织，并造成重大、代价高昂的破坏操作。美国联邦调查局 (FBI)最近报告称，组织损失超过69亿美元。

到2021年的勒索软件攻击——比2020年增长7%。可以肯定的是一个惊人的数字，但当您考虑到企业的真实成本时更是如此，虽然难以量化，但肯定要高得多。勒索软件攻击通常以多种方式影响企业，包括持续的运营停机时间，这可能会减慢甚至停止创收，破坏生产力并削弱客户信心，以及知识产权的损失、声誉的损害，就医疗保健系统而言，甚至会造成人命损失。

二、HK-WEKA概括

数据安全是一个多层次的挑战。组织必须警惕添加有效的保护层以防止勒索软件攻击，并采取措施确保在发生攻击时恢复备份数据。虹科WEKA数据平台提供增强的安全性，以降低勒索软件攻击的风险和潜在范围，具有高级安全功能，例如多租户隔离、经过身份验证的挂载和内联加密，以及受保护的备份，即使在最坏的情况下也能简化恢复。WEKA通过我们的快照到对象功能简化了备份和恢复过程，定期将数据副本发送到不同数据中心或云中的远程 WORM 存储桶（并定期验证它仍然是好的）。

与其他类型的网络威胁一样，仔细规划、正确的工具、员工教育和多层保护都是打击勒索软件攻击的关键——而虹科WEKA的安全和数据保护功能可以在帮助保护组织数据方面发挥重要作用。

三、HK-WEKA勒索软件问题解决方案

勒索软件攻击者通常使用恶意软件来加密组织的数据，其中可能包括运营数据、财务数据、人员或客户数据；在被攻击者解密之前，组织无法访问加密的数据。在某些情况下，攻击者可能会在目标组织之外制作副本并删除原始数据，直到支付赎金，然后他们会恢复全部或部分数据。该组织面临的挑战是检测他们的数据何时被泄露，这很麻烦，因为这些攻击通常需要数周时间才能完全加密和删除数据。另一个挑战是在复杂的攻击中，确定一旦发现漏洞，组织可以使用哪些备份（如果有）从磁带或近线恢复数据。

组织现在正在实施严格的流程和程序来挫败和防止这些类型的攻击，例如频繁的密码更改、双因素身份验证、病毒、恶意软件和网络钓鱼检测机制等等，但在许多情况下，威胁行为者仍然比他们更聪明.。

HK-WEKA 数据平台为组织提供了额外的安全层，使潜在的攻击者更难将用户锁定在他们的数据之外，并有助于确保可以快速轻松地恢复数据，包括：

1.多租户隔离

HK-WEKA数据平台使管理员能够在单个系统上创建多个单独的组织。子组织只允许管理他们自己提供的命名空间；子组织的管理员无法访问整个组织的其他文件系统，从而限制潜在的攻击范围，即使子组织受到威胁。

2.经认证的挂载

Admin可以生成在挂载文件系统之前必须提供的令牌。这些令牌确定客户端是否具有读/写权限以及在验证文件系统上的权限模型之前撤销访问多长时间，这提供了额外的保护层。即使攻击者确实设法以经过批准的用户身份访问客户端系统，没有这些令牌，您将无法挂载任何文件系统。

3.加密

HK-WEKA数据平台支持在线加密和静态加密，因为它落在NVME存储上以及发送到后端对象存储桶时。冒充中间人窃听流量的攻击者将无法破译文件数据。此外，HK-WEKA系统与组织的 Key Management Service 相连，该服务会根据需要不断生成新的密钥，因此没有单一的密钥可以使用解锁所有组织的数据。然后在它登陆对象存储时对其进行加密以实现完全安全。

4.瞬时快照

HK-WEKA支持其所有文件系统的瞬时快照，这在Exabyte规模上是独一无二的。这些快照是不可变的，并且始终可用于在几秒钟内将文件系统即时回滚到之前的状态——甚至无需卸载或重新安装客户端。

5.对齐对象

HK-WEKA数据平台还支持向本地和远程对象存储桶发送不可变快照。这些快照可用于将副本发送到远程版本或一次写入多次读取 ( WORM )存储桶，其中加密或删除数据几乎是不可能的。WORM 存储桶是一个对象存储桶，它是配置使其包含的每个数据集都有一个保留期，一旦将数据集放入存储桶中，在其保留期到期之前就无法删除或更改它。定期挂载这些WORM 远程数据副本并验证数据是否正确以在攻击中捕获威胁参与者非常简单。例如，每周一次，配置一个可以挂载 WORM 远程数据副本并确认其可访问性和有效性的短期HK-WEKA系统。

图 A ：HK-WEKA系统将数据发送到另一个云中的远程 WORM 存储桶

名词解释：

近线：所谓近线存储(Nearline storage)，是随着客户存储环境的细化所提出的一个概念，所谓的近线存储，外延相对较广泛，主要定位于客户在线存储和离线存储之间的应用。就是指将那些并不是经常用到，或者说数据的访问量并不大的数据存放在性能较低的存储设备上。但同时对这些的设备要求是寻址迅速、传输率高。