IBM在新的存儲解決方案中引入了AI增強功能,希望藉此增強數據抵禦勒索軟體及其他網路威脅的能力。面對仍在持續且不斷升級的網路攻擊現實風險,IBM的此項增強功能可謂恰逢其時。
新功能以IBM第四代FlashCore Module技術為中心,同時配合IBM Storage Defender的最新更新版本,強調通過直接檢測數據路徑中的異常以改進威脅檢測及響應效果。
為了解整套防護方案的基本原理,我們邀請到了IBM Flash Storage首席技術官兼IBM研究員Andy Walls。他的主要工作是為IBM存儲業務制定技術支持願景,包括以全新方式運用FlashCore Module技術解決數據面對的迫切安全挑戰。
在本次訪談中,Andy首度公開了IBM如何使用FlashCore Module的計算存儲功能,努力在數據被寫入閃存的過程中查看勒索軟體熵以實現威脅檢測。
IBM FlashCore Module
Andy將FlashCore描述為一種計算存儲設備。具體來講,FlashCore Module(簡稱FCM——將用於持久存儲的NAND閃存、作為緩存的RAM內存和大量板載計算資源結合起來,由此實現比傳統SSD更為強大的功能。
FCM能夠為存儲陣列分擔一部分繁重的計算工作,例如壓縮,即直接在驅動器上完成處理。IBM FlashSystem現在也可藉此發現象徵存在勒索軟體的數據異常。
檢測數據路徑中的勒索軟體
IBM的全新勒索軟體檢測功能可在I/O層級上實現實時數據監控,依靠機器學習模型在一分鐘之內檢測出象徵存在勒索軟體的異常情況。其工作百折不回如下圖所示:
IBM FlashSystem產品在數據寫入過程中,會以塊級粒度掃描所有傳入數據。整個過程將涉及內聯數據損壞檢測軟體以及雲端AI方案,藉此識別出可能象徵網路攻擊(包括勒索軟體)的異常情況。依託於此類早期檢測機制,管理員可以立即採取響應以緩解攻擊影響。
第四代FCM技術支持IBM Storage FlashSystem系列中的AI功能,即使用機器學習模型持續監控從每項輸入/輸出(I/O)操作中收集到的統計數據。
IBM訓練的這些模型能夠檢測出包括勒索軟體行為在內的多種異常情況。IBM公司蘇黎世研究團隊負責協助維護勒索軟體I/O簽名資料庫,這套資料庫將幫助系統持續對齊不斷變化的威脅形勢。
FCM將實時捕捉並匯總關於每項I/O操作的詳細統計數據。利用機器學習模型,系統即可區分正常行為與勒索軟體/惡意軟體間的模式差異,從而立即採取糾正措施以保護數據安全。
IBM FlashSystem還會分析數據的可壓縮性與隨機性(熵)等參數,並將這部分資訊傳遞給IBM Storage Insights軟體。這款軟體能夠在檢測到工作負載異常時向運維人員發出警報。例如,假定勒索軟體開始對應用程序數據執行加密,則系統將根據數據特徵的變化檢測出這種異常行為。
IBM Storage Defender集成
IBM數據保護的核心,正是經過升級的IBM Storage Defender軟體。新版本採用AI驅動的傳感器,將FlashSystem檢測與跨多種IT環境(包括虛擬機、資料庫、應用程序和容器)的廣泛威脅檢測功能整合了起來。
新版本還引入了工作負載與存儲庫管理功能,以幫助組織將自身資產納入業務連續性計劃,確保可在遭遇攻擊後快速恢復。該軟體還能與其他IBM存儲及安全解決方案、乃至第三方數據平台相集成,建立起端到端數據彈性體系。
新版本中的主要創新,包括存儲管理員能夠創建用於自動備份的保護組,也可利用不受威脅簽名影響的不可變數據副本還原至多個位置。IBM還集成了用於創建受保護副本快照的設置選項,這些快照同樣具備網路彈性並與生產數據相互隔離,確保在發生數據丟失事件後加快恢復速度。
分析師觀點
在IBM的精心設計之下,存儲解決方案擁有了為網路威脅提供早期預警的能力,可幫助企業更快恢復業務並保障數據的機密性與安全性,免受勒索軟體及其他網路攻擊的侵襲。
數據保護與網路彈性功能正迅速成為企業存儲解決方案中的標準化選項。例如,不可變快照現已成為幾乎所有頂尖存儲供應商解決方案的固有部分。使用熵計算進行快照掃描(例如IBM的異常狀況計算功能)也變得愈發流行。
但大多數存儲解決方案的現行方法,往往面臨著只能在威脅事後進行檢測的現實挑戰。一旦發現快照損壞往往為時已晚,用戶必須儘快回溯才能獲得用於還原的正常數據。
IBM的方法彌補了這一缺失,可在檢測到異常情況後以近實時方式向用戶發出警報。這時受損數據尚未被寫入至快照,因此更加符合企業客戶希望獲得的數據保護預期。
當然,IBM並不是唯一一家將這種級別實時異常檢測直接整合進存儲陣列的存儲方案供應商。NetApp ONTAP產品同樣包含自主勒索軟體檢測功能,並利用熵計算進行異常檢測並發出警報。
與IBM不同,NetApp選擇了在存儲控制器上進行計算,而非直接將處理任務交由底層驅動器執行。NetApp的方法也無法檢測勒索軟體簽名;相反,其方案依賴於熵、文件擴展名與文件寫入活動量。目前,IBM是唯一能夠在存儲層級上提供威脅檢測功能的廠商。
儘管大多數存儲廠商都在投入研究經費,努力在商用伺服器硬體上實現企業級存儲,但IBM仍是少數不斷立足底層平台的全棧視角推動存儲技術創新的中堅力量之一。
IBM的存儲解決方案仍是市面上最先進的技術選項之一,也使其成為保護企業關鍵數據的理想選擇。相信此次全新勒索軟體檢測功能的亮相,將進一步鞏固藍色巨人在領域內的領先地位。
