以下是現場速記。
戴爾科技集團數據保護產品首席架構師 劉慶宇
劉慶宇:我先給各位領導自我介紹一下,我叫劉慶宇,數據保護從業經驗大概20年時間。今天在這里給大家分享一下這20年來,我對數據保護的一些見解和經驗。
剛才國家數據中心的李總,從國家高度、法律高度給大家講了《數據安全法》,我今天給大家所分享的是數據安全這個大的框架之內的數據保護的點。
可能在座的各位會問,戴爾EMC做筆記本、存儲,你們還做數據保護嗎?這個問題我們先放在這里,容我繼續講下去。
數據,自古以來對于國家、企業甚至對于我們個人來說都是一項重要的資產。那么對于數據的保護,自古就有制。我們知道我們現在所處的這個地方,這里發現大概有1500米的巖畫,它記錄了遠古時代人們的狩獵和居家生活等等,這就是一個數據,它通過巖畫的形式保存了下來為我們研究古代歷史、古代進化提供有力證據和依托。
《四庫全書》是清朝乾隆年間花費巨大人力物力由紀曉嵐主編的歷史巨著,全套書有800多億,相當于200多套《阿里波特》巨著。在這套歷史巨著編纂的同時期,甚至比它早一些時期,在西方有個《大百科全書》,它開啟了西方文明的啟蒙時代,由此西方文明的發展路線大家有目共睹。
《四庫全書》作為乾隆時間開發的一部宏觀歷史巨著,也是得到了重要的一個保護的要求。乾隆,大家都知道他對浙江的天一閣非常崇拜、感興趣,所以他為了保護這個《四庫全書》,在北方修了四座書樓用于安放《四庫全書》的四個副本,他又在江南的揚州、鎮江、杭州又修建四個書樓,分別存放另外三個版本,這就有了七閣藏書。事實證明,七閣藏書非常重要。很快太平天國運動火燒了鎮江、揚州書院,最終下來七套《四庫全書》只保留下來了兩套。
當然現如今我們面對的數據的安全的威脅,并不來自于戰火,也不來自于自然災害,更多的來自于數字化的威脅。這個威脅,從它的威脅目的分為三類:
第一類,以竊取為主。
第二類,以破壞為主。
第三類,以賺錢為主的勒索病毒。
我們回顧一下2019年,從開年全球最大的鋁制品公司遭受勒索病毒威脅,造成全球鋁制品市場的震動。接著國內著名的網約車企業被勒索病毒威脅報警。美國佛羅里達州兩個城市提供110萬美元的贖金,用于解鎖它的數據。之后從航空制造企業到電視臺都紛紛受到了勒索病毒的威脅和贖金的索要。
即使我們認為對安全保護最高的銀行系統,這個是加拿大兩大銀行同樣受到了勒索病毒的要挾和勒索,支付了上百萬美元的贖金,2019年勒索病毒貫穿全年,這只是冰山一角。
最沖擊人心的是這個,這家組織叫GandCrab,2019年高宣布他們用一年半時間通過勒索病毒獲取了高達20多億美元的贖金,人均創收1.5億美元。他們說我們現在有了這筆巨額的贖金洗手不干了,但是他洗手不干,并不代表數據領域就安全了。有更多的這種非法的組織,以他們為榜樣,展開更多的勒索病毒的威脅。
我們再看2020年,從開年伊始有微盟的刪庫跑路事件,造成市值短短一天損失10幾億,后來本田生產被加密,生產急劇下降。思科前員工承認,從AWS云上非法刪除了大量的數據,給思科帶來了巨大的損失。2020年9月智利最大國家銀行被勒索病毒勒索造成全國銀行的停業。德國一家醫院被勒索病毒勒索,造成了病人的死亡,這是一個非常惡劣的事件。
我們可以看到這是騰訊關于2020年上半年勒索病毒的報告,可以看到高發地區都是經濟發達的地區,北、上、廣、深、浙江。受勒索的領域從金融制造能源到教育和醫療。我們知道有很多勒索病毒組織宣稱自己不會對教育、醫療這種公益性的機構發起勒索病毒的威脅,但實際上我們在國內走訪了很多的客戶,發現醫療和教育實際上是勒索病毒的重災區。
說到勒索病毒,在座每個企業首先想到的是我要找安全公司幫我解決問題。我們可以看一看安全公司提供了什么樣的建議?這是一家安全公司提供的建議。首先是說,你要養成良好的備份的習慣,這是另一家安全公司提出的建議,除了備份以外最好把備份服務器隔離開來。這么多安全公司不光打補丁、升級密碼,都不約而同的提到了數據備份,因為沒有一家安全公司可以保證您的IT系統不被黑客所入侵。
我們知道中國有個護網行動,在9月開始的護網行動。在護網行動之前可以看到很多運營商會發布一些公告,因為業務升級、系統升級會關閉某些端口停止某些服務,這是給我們護網行動里的目標客戶打了一個補丁,這樣進入企業通道變少,安全性會提高很多。起事這樣在今年一開局,這些目標企業紛紛被攻破,造成護網行動一度停滯。
有了備份解決方案,是否足夠對抗勒索病毒?我們看一下我們的黑客通過什么樣的流程進入到我們企業內部的?
首先,它可以通過互聯網,通過很多的接口,通過很多的APP、服務端口進入到企業內部植入木馬。它這個木馬,首先要找到的不是生產,是我們的備份服務器。為什么這么說?因為如果它一開始就對生產加密發起勒索要挾的時候,我們的企業可以通過我們的備份服務器把數據進行恢復,它的勒索就失敗了。
我們前兩年我去一個客戶那解決問題,這個客戶實際上是安全等級非常高的安全類的客戶。我們在解決問題的時候發現,它的備份服務器里的木馬潛伏了30天以上,這是什么意思?意思是說每天做的備份都是被加密的,他的備份介質里所有數據都是加密的,他只能恢復30天以前的數據,當然他生產已經被加密了。他丟了30天的數據,這對于任何企業來說都是一個巨大的事故或者損失。
所以說他先會在備份服務器里安裝他的木馬病毒,然后把每天的備份數據進行一個加密。因為我們有備份的異地保護,這些被加密的數據通過廣域網傳到了異地,不管是本地的數據備份數據還是異地數據中心的備份數據都被加密了。當他覺得火候成熟的時候對生產進行加密,同時發起勒索要挾。這個時候作為企業來說他已經沒有退路了,無論生產數據、備份數據都已經被加密了。
講到這里,大家可以看到,我相信在座的各個企業都應該有備份系統,即使有了備份系統并不足以讓我們對抗更高級的黑客攻擊和勒索病毒威脅。
這里有沒有更好的解決辦法?是有這樣的解決辦法,我們還是有更好的一些解決方案。我剛開始做銷售的時候,我跟客戶講的是講更多產品性能、產品指標和產品特點。有一次講完以后,有一個CIO事后跟我說,他問我講得好不好?我當時謙虛的說講得還湊合。他說每家廠商講得都差不多,都宣稱自己的產品怎么好,但你們很少關注我們的業務和我們的流程,如何結合我們的場景告訴我們你能幫我做什么,這才是我們所關注的。從此以后我就總結出,對于我們的企業用戶來說,流程是應用實現的一個保障,所以這里我講的不是產品而是流程。
那么如何應對勒索病毒的威脅?
首先,我們要建立一個隔離區域。剛才有一個安全廠商也提到過要把備份的數據隔離開來。隔離區域里有和生產系統里一樣的備份介質、磁盤介質,有了這個隔離區域整個控制器,它是它的大腦,有它的AI,我們第一個引入了AI偵測服務器,同時要有跟生產領域一樣的備份服務器還有一個砂箱做恢復驗證。整個的流程是如何展開工作的?我們可以看到這個隔離區域和我們的生產系統是通過一個叫Air Gap(網關)去連接的,它把我們的隔離系統和生產系統通過這個Air Gap斷開或者連接。就好比我有一個房子,這個房子里面有個密室,密室和房子中間通過一個書柜擋住的,小偷進來只能看到書柜看不到密室,他可以偷走屋子里其他的東西,但拿不走密室里的東西。
這個流程,首先我們是要通過我們的大腦主控服務器,打開這個Air Gap,房子和書柜就連接起來了,這個開關一定要放在隔離區域。如果我放在生產區域,就會被黑客所找到。打開以后我們需要復制到隔離區域的核心數據。剛才李總講我們要做數據分級,這里對抗勒索病毒我們首先要做的也是數據分離,我們最關鍵核心的數據要進來。數據進來以后,同樣我們的大腦會告訴Air Gap斷開,我們的區域又跟生產完全隔離了。
接著就是把備份復制進來的數據加鎖,這個鎖跟其他的鎖不太一樣,加上以后沒有人有權限去打開它,就算劉慶宇加了這個鎖,你拿到劉慶宇的權限也不能刪除它,不能篡改它。這時候有人會問,這個數據會一直在里面嗎?不會的,它會根據備份策略自然過期消除。
接著AI服務器對新復制進來的數據進行一個分析,它這個分析比對從兩個維度。第一個維度它對新進來的數據進行一個算法,拿出一個特征值,和以前進來數據算法的特征值相比對,如果發現異常,它會告警。同時另一個維度會跟我收集了幾百種勒索病毒加密特征的特征數據庫去比對,如果發現比對相似或者成功,也會發出告警。然后由我們的更高權限的管理員進行恢復、驗證,來看它是否是被勒索病毒所加密?這個就是我們一個完整的對抗勒索病毒的流程。我們給它總結了五個字叫:斷(斷外王網)、舍(舍棄不重要的數據)、離(遠離風險、遠離黑客病毒)、鎖(鎖住新進來的數據,讓其不可篡改、不可刪除)、偵(率先的引入了AI智能算法,使我們備份數據是可以被AI分析、比對的)。
這個時候,有的客戶會問,如果這個黑客事先知道了我有這個備份隔離區怎么辦?如果一個物理環境,小偷知道有書柜擋著,他可以把書柜砸爛進入密室。這些是數據化攻擊,物理斷開,他無法進來。他甚至知道有備份隔離區,他會放棄對你的攻擊。
剛才講到2020年有很多數據事件是我們內部人員的惡意刪除或者誤操作也好,我們這個系統有兩個權限,在生產里的備份權限可以交給我們的備份管理員,但是在備份隔離區里的權限是掌控在CIO手里,只有在關鍵時候才會啟用這個權限,即使內部人員也很難拿到這個權限進行更高操作。它同時避免內部人員的誤操作和惡意操作。
還有CIO問這個系統看起來蠻復雜,是否適合我?能不能建起來和用起來?廠商的解決方案再好如果對于用戶來說不能落地也是空中閣樓、紙上談兵。就好像爬山一樣,爬到一半的時候,前面有兩條路,一條路更陡但可以更快上山頂,另外一條路可能跟原來的路差不多緩慢一些,但會花更長的時間,你選擇哪條路?如果你有足夠的體力、足夠好的裝備,你會選擇更陡的路快速到達山頂。但是如果沒有這么好的體力和裝備,可能在選擇陡峭山路的時候中間會遇到危險你可能會失敗。同樣針對這個流程來說也是這樣,我們可以看到,我們的流程不改變原有的生產備份的體系和架構,什么意思?原來你用什么樣的備份軟件還用什么備份軟件,所以說它對我們原來的體系流程是沒有改變的,而它是一個非常易用的系統,因為它的易用,所以我們才榮幸的被這個避風港計劃所選用。
什么是避風港計劃?避風港計劃是美國銀行家協會聯合其他9家美國金融機構和協會一起組織的一個非盈利組織,它的目標是給予美國民眾,給予美國的企業,給予美國的政府以信心。大家知道美國是金融帝國,如果金融數據受到威脅、破壞不能修復,會給整個國家帶來動蕩,所以這就是他們的目的。
避風港計劃更重要的是制定了標準,它制定了一系列的標準。如果你得到了它的認證,得到避風港計劃的認證,說明你符合它的標準,并且可以把你的數據在危機時候進行恢復。
我們之所以能夠加入到避風港計劃,就是因為我剛才提到了我們提供更貼合實際和場景,更易于部署的解決方案。目前我們是唯一加入到避風港計劃的技術解決方案供應商,為什么說我們是唯一的?別人做不了這個流程嗎?這個反過來,我們又要提到一個技術。技術是流程實現的一個保障,針對我們這個對抗勒索病毒的計劃或者流程或者方案也好,它需要一個技術的支撐。
首先我們要基于云原生的備份與恢復的技術,我們未來更多是私有云、公有云、混合云,未來應用基于容器、基于K8,需要基于云原生高效備份。一個備份會占用大量存儲空間,這不是最主要的,云的數據要落地(等保2.0要求),它最大的瓶頸是帶寬,我們數據復制到異地最大的瓶頸也是帶寬。所以你需要把海量數據變得很少,這樣就可以在很小的帶寬里完成數據的傳輸。在中國銀行從北京到上海,招商銀行從深圳到上海都采用我們的數據。
戴爾EMC率先引入了AI分析,我們可以進行比對,也就是說當我們的安全體系出現漏洞的時候,可以通過備份體系第一時間發現遭到勒索病毒,給CIO最快響應時間解決問題。在任何一個企業來講,備份都是最重要的,但同時相反的是,大家在備份上的投資都是最少的,更多的投入到生產、安全領域。
如何在最少的投資領域,保證我的備份的數據可以在關鍵的時候恢復,保證我不丟數。這就需要一個硬件,有一個很高的標準。它需要硬件里面做很多的軟件的算法和硬件去結合,來保證我們的硬件可用率、可靠性達到更高的水平,達到跟生產系統一樣的水平。
這些技術是如何得來的?我們也是依靠這些技術來實現我們的一個流程。這里我就要給大家講一個人。這是阿里達摩院成立時的十人委員會,我今天講的是中間這個人,他叫李凱,他是美國工程院院士、中國科學院外籍院士,大家說這個人很牛,他一定以前受過很好的教育。錯了,他在16歲的時候還是個工人,因為工農兵大學生政策,因為他根紅苗正被保送上大學,他學的計算機,是第一批中國赴海外的大學生。
他在2000年在加州做分布式計算研究的時候,就看到了數據保護未來的發展方向,以及當時數據保護面臨的問題。他創新的提出來,可變長的消除的算法,而且這個算法是分布式的,他創新的提出了各種軟件的解決方案,讓這些軟件和存儲硬件相結合,來提升這個存儲硬件在做備份場景里面的高可用性和高可靠性。他是我們的整個備份數據保護領域的一個創始人和奠基人,后來EMC收購了他的企業。
就是因為他給我們奠定了一個堅實的技術基礎,我們在之后發展里,我們在全球數據保護領域占第一,戴爾數據保護硬件研發在北京,我們在EMC和戴爾合并以后,更大的投入了本地化的數字化保護的研發,提供了更快的更結合本地應用場景的解決方案。我相信我們的解決方案能夠幫助在座的各位CIO,能夠更好的實現數據保護的效果。
今天就是我跟大家的分享,這里是我的聯系方式:電話和郵件。如果大家有興趣,線下可以和我一起交流,謝謝!
京公網安備 11010502049343號