HPE公司表示,其Zerto數據保護功能可實時檢測針對各種數據類型的勒索軟體加密,並將數據恢復至攻擊前的狀態。
此次最新發布的Zerto 10採用香農熵檢測器,HPE高級傑出技術專家Dimitris Krekoukias還在博文中專門介紹了其具體細節(https://recoverymonkey.org/2023/07/25/hpe-ransomware-detection-and-recovery-in-zerto-10-sophistication-that-works/)。他寫道,「現代勒索軟體檢測機制,需要能夠動態區分合法的主機活動和現代勒索軟體,而不再像過去那樣單純依賴固定閾值或者數據類型假設。」
HPE的Zerto可提供持續的數據保護與災難恢復功能。Zerto產品副總裁Deepak Verma在宣傳影片中介紹稱,「我們在Zero 10中嵌入了新的檢測器,這是一組以數據塊層面檢測加密的算法。因此無論您使用什麼樣的作業系統,它都能以分批形式檢測出單一數據塊是否已被加密。」
Zerto的虛擬複製設備(VRA)在主機伺服器中運行時,會複製正被遷往存儲的寫入數據,並將其複製到目標HPE/Zerto系統。複製的數據會在生產數據流之外接受分析,從而避免產生延遲。Zerto將在VRA複製目標層級上嵌入內聯勒索軟體檢測器,用於分析複製的數據塊。
但Krekoukias也提到,由於IT系統也涉及對數據進行合法加密、且需要保護的數據類型多種多樣,所以準確識別由勒索軟體引發的加密往往頗具挑戰。傳統的勒索軟體檢測方法,往往會在一組數據塊內搜索高香農熵水平,意外變化則表明存在異常活動。但由於該方法依賴於固定閾值,因此存在一定局限性。
根據Krekoukias的解釋,固定閾值之所以可能引發問題,是因為最合理的評判值往往會因數據類型、數據壓縮和是否使用Base64等數據編碼方法而有所不同。這些都可能導致加密數據的熵偏低,從而阻礙固定閾值檢測系統的有效性。
相比之下,Zerto 10的檢測器則憑藉其動態數據類型感知而能產生更準確的結果。Krekoukias寫道,「為了進一步提高準確性,該解決方案還會進行自我訓練。該訓練會流式自動完成,可有效提升準確度。」
一旦檢測到勒索軟體加密,就可以停止加密過程並恢復受影響的數據,直至檢測確認勒索軟體攻擊中止。Krekoukias指出,「這有助於識別出哪些伺服器/文件首先開始被加密,之後將其回滾到勒索軟體開始加密之前、最後一次已知寫入操作之後的狀態。這樣就能讓企業以最佳方式實現對數據的恢復和隔離,並把成本投入、風險和破壞程度控制在最低。」
他告訴我們,「這項功能可與Zerto支持的任何對象配合使用——包括各種虛擬機管理程序、容器以及雲服務環境。」但Acropolis不在其中,Krekoukias認為該平台對這方面功能需求不高。
備註
IBM也在其Storage Virtualize勒索軟體檢測工具當中,使用了香農熵方法。
