以下是現場速記。
戴爾科技集團 數據保護部門首席架構師 劉慶宇
劉慶宇:大家好,我是戴爾科技的劉慶宇。剛才蔡總給我們做了非常震撼的演講,我們可以看到我們的水利部在數字化轉型所支撐的智慧防汛的體系下,當我們面對1998年以來最大的汛情,我們將災害降低到最小,將死亡人數也大幅降低了90%。
提起數字化轉型,戴爾科技作為目前世界上最大的數據中心的解決方案供應商,我們提供了從服務器到存儲,從虛擬化到私有云到公有云,從iaas到paas的解決方案,在這里今天我不想分享我們的解決方案,我想講的是非常重要的但往往又被我們企業所忽視的一個挑戰。
2020年最大的事件就是新冠病毒,圍繞新冠病毒各個新聞媒體進行了各個角度的報道。首先有的媒體說新冠病毒是一個黑天鵝事件,也有的媒體說新冠病毒是個灰犀牛事件。
我們看什么是黑天鵝?黑天鵝來自于古羅馬的諷刺詩人朱文納爾,最早引用黑天鵝概念說明在金融交易體系里這種小概率的事件是無法預測和預防的,但同時可以利用它賺錢。在2001年9.11事件前,2008年次貸危機之前坐空了美股,獲得了巨大的利益。他提出的黑天鵝是說雖然不能預測,但是可以利用它獲利。
灰犀牛是由米歇爾渥克女士提出。她的灰犀牛理論是灰犀牛非常龐大,一旦啟動勢不可擋。但是灰犀牛是可以預見的,也就是說我們在面對灰犀牛事件的時候,我們是可以有行動的。
2016年TED演講上比爾蓋茨預測到將有一款病毒會流行全球,他是基于歷史的種種的病毒的爆發來做的這個預測。他希望各國政府,包括聯合國能夠做好防御對策。
這位女士是武漢病毒研究所實證例研究員,她在2017年到2018年連續發表多篇論文,主要是圍繞她對非典等溯源過程,她提到冠狀病毒一定會以某種程度卷土而來。不幸的時候,她剛提完2020年初在武漢發現了新冠病毒。
通過以上兩個演講和論文我們就知道,新冠病毒對我們來說并不是一個黑天鵝事件,它是有很多的跡象來表征的,但是因為我們不知道它何時發生,所以各國政府都沒有做好準備。
除了去年我們在現實世界里,這個對我們身體對社會造成巨大危害的新冠病毒以外。在座的各位CIO更關心的是我們在虛擬世界,在數字化領域的病毒那就是勒索病毒。
首先來回顧一下勒索病毒近五年的發展歷程:
2015年最有名的勒索病毒叫特斯拉,它攻擊的是游戲,它會鎖死游戲玩家的裝備、道具,然后發起勒索。
2015年還有一個病毒是Chimera這個病毒并不是很著名,但它開啟了一個模式叫勒索即服務。什么叫勒索即服務?也就是說病毒或者黑客攻擊的制作者并不發起攻擊,而是交由我的各級代理商你們發起攻擊,一旦獲得贖金分成,這就叫勒索即服務。
2016年勒索病毒增長了60倍,贖金增加到10億美元,57%的被攻擊者是個人系統。勒索病毒技術發展特別快從linux到蘋果系統,商業模式也是有了變本加厲,如果你不支付贖金隔天翻倍,或者每60分鐘刪除一個文件夾。
2017年我相信在座的各位CIO都印象深刻,2017年5月12日全球74個國家數千萬電腦遭到了勒索病毒攻擊,在中國中石油兩萬多個加油站停止了加油服務,我們高校是重災區,論文不可以讀取、調閱,食堂飯卡停用。這不是黑天鵝事件,2016年影子經紀人組織在網上搞眾籌,一旦籌到1萬個比特幣我就把我開發出來的勒索工具公布在網上供大家下載,兩次眾籌他都失敗了,2017年4月他再度在社交媒體發布說“我公布美國國家級安全系統,我拿到美國國家級內部軟件工具,我發布到網上”,這其中有一個工具他可以攻破70%的windows系統,這就是著名的永恒之來。進入到2018年永恒之來繼續發展,臺積電損失11億。
2018年GandGrab勒索家族首次出現,2019年他聲明說收手勒索,收回所有密鑰,因為他一年多時間賺了20多億贖金,人均創收1.5億美元。同時在CyberEdge統計2019年45%的被勒索者支付了贖金,比去年39%有一個大幅提高,到2020年這個數字已經達到了58%,也就是說更多的勒索者選擇支付贖金。
2020年新冠肆虐的情況下,我們可以看到更多的大企業本田、佳能、富士康等著名大企業都被勒索病毒定點攻擊。同時有很多的勒索病毒巨頭組織活躍在黑色的市場上。
通過以上五年回顧,我相信在座CIO和我一樣都可以得到一個結論,也就勒索病毒是灰犀牛,它正在趕來的路上。通過這直觀的分析,我們對勒索病毒有個了解。
接下來看一組統計數據:
比特幣在2016年均價是700美元,到了去年的四季度它的均價是2萬美元,大家知道現在更高,我說的是均價。當然了它在四年時間里漲了28倍,這是非常好的投資。我知道咱們在座的央企里面有一位員工通過炒比特幣,剛剛辭職他賺了3個億。
但是比他更夸張的還有COVEWARE發布了權威的調查報告,我們可以看到深藍色的部分是平均的贖金的金額,金額最高達到了將近25萬美元,這是平均贖金。淺藍色的是贖金的中位數,也就是大部分的被勒索者所支付的贖金的數量是在5萬美元左右。根據這個統計數字,可以看到2016年勒索病毒的贖金平均的金額是一個比特幣,基本是700美元左右。如果參照這個數據,達到15萬美元,這個增幅是220倍。
有的人會說他的數據會不會不準?我們再看到著名的防火墻企業Palo Alto給到的是30萬美元的結論。
Median Size報告顯示受害者企業中位員工數,這是什么意思?看企業的規模,2016年57%的被勒索者是個人客戶,但現在這個中位數落在了將近250人。250人對于企業來說就是中大型的企業。所以看到這個曲線是非常陡峭的,也就是說勒索者把目標越來越集中于中大型企業,而勒索也正從原來的漫無目的通過漏洞自然擴散的方式變成定點攻擊。
插一個題外話:很多中小企業只要把數據備上來,按需付款按流量或者按保存數據量付款。非常可惜的是,至今這個模式也沒有被市場認可。我們可以看到2015年開始勒索即服務的模式已經廣泛的被現在的勒索者所運用。由此可見,這個黑色產業里面蘊藏著巨大的利潤空間。
數字化轉型,我們企業我們水利部為什么要做數字化轉型?那是因為我們業務要求,我們水利部要降低災害,降低死亡率,所以我們要做數字化轉型來做我們的智慧防汛。正是因為我們應用的升級,應用需求的迭代,它才催生了我們數字化轉型,反過來數字化轉型又拉動了技術的進步。
我們現在有分布式的,有云的,有混合云的等等AI大技術的進步。技術的進步同時推動了我們需求的提升。針對勒索病毒這個應用或者這個黑色產業來說,它的發展無億是所有產業里最快的。這些黑客一定會更積極的擁抱和利用高科技手段、高科技技術,甚至說他們會創造更多的黑科技。
在面對這么強大的對手的情況下,我們該如何去做?這里我再引用米歇爾的一句話,如果你想避免出現黑天鵝事件,那你一定要處理好灰犀牛事件。
首先我們企業會找到安全公司,我們國內有很多頂尖安全公司他們有非常好的技術。安全公司會利用它的技術、它的產品為我們的IT架構搭建一套安全體系,同時會制定一套內部的安全流程。除此之外,安全公司還會給我們很多建議。在這里我收集了國內安全公司的建議,大家可以看到數據備份都赫然在列,也就是說數據備份已經成為安全策略里面最不可或缺的一塊。
這是國家互聯網安全中心的建議,他要求我們把數據經常備份到不同的介質當中。我已經搭建了安全體系,有了安全流程,也有了備份,是不是就可以高枕無憂了?我們繼續往下看。
美國頂尖的安全公司FIRE EYE是為美國政府服務的,幫助政府評估它的安全等級,發現漏洞幫政府提安全建議。它在去年同樣被攻擊,在FIRE EYE里有紅隊和藍隊,紅隊是攻擊隊定期對美國政府安全網站進行壓力測試,正是紅隊經常用的工具在這次攻擊里面被竊取了。剛才我提到永恒之來,那是美國國家安全局工具被外泄了,這個工具會不會造成當年的永恒之來攻擊?這里可以看到即使頂尖的安全公司都不能保證自己百分之百的安全,所以我們現在構建的安全體系雖然能夠起到非常大的作用,但它不能保證百分之百的安全。
剛才我們提到所有的安全公司包括國家互聯網應急中心給我們的建議是要定期做備份,備份非常重要。對于勒索者來說,他要想拿到贖金,備份這套系統就變成它繞不過去的一道坎,他必須干掉備份系統才能拿到贖金。
首先我們看備份系統如何運作?這是典型的企業生產環境,這里有本地數據中心、公有云、烏力吉、混合云等等。我們的核心數據首先要傳到備份服務器的系統上面,備份服務器把它變成備份的格式,備到后面的備份介質里。我們現在都做容災,有異地容災,這也是9.11之后要求異地容災。
備份介質可以把備份進來的數據,通過廣域網也好通過專線也好復制到異地,在這里大家可以看到我的備份服務器和我的生產系統在一起,它也是生產系統的一部分,所以它的安全保障不可能超過我的生產系統。
黑客既然能夠繞過我的安全體系進來,他首先要找到的就是備份服務器。他找到備份服務器
以后會在上面駐留下來。每天把我們的備份數據進行勒索加密,同時勒索加密后的數據傳到異地。我們曾經接過一個緊急情況到用戶現場,這個用戶就是北京的用戶。我們發現他是備到磁帶里,他備到磁帶里30天的數據都是被加密的,也就是說他30天的數據都沒法恢復,他丟了30天數據,他通過各種手段找回來,他的業務也是被鎖死的,損失非常大。黑客把備份系統干掉以后,他敢肆無忌憚的去加密你的生產系統向你索要贖金。
去年7月,大家都知道嘉銘手表是運動手表里最高端的手表,他可以記錄海拔、你的心跳、路線等。去年7月,嘉銘手表用戶發現他們的數據無法上傳,因為嘉銘遭到了勒索病毒的攻擊。除了運動手表,嘉銘還有一塊重要的業務是民航導航系統,在西方的飛行員起飛之前,他需要通過嘉銘系統將這次飛行數據導入飛行中,大家可想而知這個勒索對它的侵害非常大。同時嘉銘系統全球所有的備份都被鎖死,無法恢復。經過嘉銘評估,恢復系統需要幾千萬美元,需要幾周時間,這對他來說是致命的損失,不可承受。所以他選擇白手套公司,因為勒索他的勒索者是美國FBI定性為恐怖組織的黑客組織。作為嘉銘是美國管轄的公司他不能跟恐怖組織進行金融往來,所以他必須要通過白手套公司來完成這筆交易。在這里可以看到他的備份是被鎖死的無法可用。
去年年底富士康在美國工廠被勒索,威脅人稱已加密了約1200臺服務器,并刪除了20-30TB的備份,富士康也無法恢復。
既然安全體系無法保證100%的安全,我們的備份系統也會被勒索者所干掉,那我們應該怎么辦?我也問過很多的CIO,說如果你的系統被勒索了,你怎么辦?他說我先報警,網監,這是要求,然后保護現場。除此之外,我也沒有任何辦法。還有CIO說該做的都做了,我有安全,我有備份,但被攻進來我沒辦法,這不是我的責任。
為什么大家都選擇上述的答案?因為還是米歇爾女士的話,人們不去做一件事情的原因就是他們覺得沒有那么大的力量改變這個事物。也就是說我該做的都已經做了,我沒有別的辦法,這是一種心態,但事實率這樣嗎?真的沒有什么可做的嗎?
我們可以看到美國華爾街日報2017年的報道,我們的國家互聯網應急中心很快就轉載了該報道。他說的是美國的很多的大銀行正在制定一個秘密計劃來對抗世界末日,這個詞比較夸張,新聞媒體經常會用比較奪眼球的詞。什么叫世界末日?因為對于銀行來說,他丟失了儲戶信息、信用卡信息,他會遭到很大存在,但并不致命。但如果他的業務,如果他的數據被鎖死了,這是致命打擊,他的儲戶無法取錢、轉賬,他的企業用戶無法對外轉賬、收款,關鍵銀行有很多同業交易,這些同業交易會中斷。如果金融系統中斷了,比制造業中斷要大得多,它會引起社會問題。
所以美國銀行界在2017年之前就開始制定這個計劃,這個計劃的名字就叫避風港計劃。為什么叫避風港?它的寓意就是給銀行數據安全可靠的地方。最早這個計劃是A銀行把加分數據加密以后放到B銀行,密鑰在第三方保管。一旦A銀行遭到攻擊通過密鑰將B銀行數據恢復過來。但后來避風港計劃組織者發現勒索者會將備份數據也加密,這時怎么辦?經過兩年的壓力測試和論證,在去年年初,戴爾EMC作為第一個也是到目前唯一的解決方案供應商得到了避風港計劃的認證。
我們的方案究竟是什么?因為時間關系,我快速的給大家介紹一下。剛才大家可以看到,傳統的生產模式、IT架構可以被勒索者入侵,包括干掉它的備份系統。但針對于病毒,最好的辦法是什么?不管是現實的病毒還是數字領域的病毒,最好的辦法就是隔離。但是我們這個隔離對于數據資產來說,它跟有形資產不一樣,它每天在變化,每天在增加,每天在改變,如果我是單純的隔離是不行的,如何讓這些變化,新增的數據也能夠被保護起來?
首先我們要建立一個隔離區叫Cyber Recovery,隔離區首先有它的大腦有它的AI系統,有它的恢復備份。流程是整個對抗勒索功能的保護,它的流程是怎么工作的?我們的大腦先打開一個Air Gap(隔離區與外界唯一相聯的地方),它在平時處于斷開的狀態,它的開關也并不在外面在內部,根據我的策略它去打開這個開關。這個時候外面已經備好的企業核心數據通過硬件底層技術,它是脫離應用以提高它的安全保證性,快速將數據復制到隔離區。
斷開Air Gap,它暴露的時間越短,它的安全指數更高。同時加鎖數據,為什么加鎖?因為有可能這個數據已經是不干凈的了,加鎖以后首先它不可以侵擾我以前的數據,以前的數據也是加鎖的,但是單向鎖。比如我拿到鎖,你拿到我的權限不能解開,只能等它自然過期,任何人無法修改和刪除它。光加鎖不夠,這時我們需要對它進行分析,因為我們無法保證它是否安全。隔離區AI服務器會進行分析它,它有兩個維度,第一個維度跟以前數據進行比對,企業數據日改變量一般來說不會超過10%,經過比對如果超過閥值會告警,同時跟后面加密勒索庫特征庫比對,如果超過罰值依然認為它有可能是不干凈的,這時我們會發起告警,告警是通過電話執行。通過告警以后,管理員會把這可疑的數據在我的沙箱里進行恢復。
每次我講完這個以后,就有很多CIO會問我問題,我總結出來兩種類型的問題:
第一種,你這個流程很簡單,能不能對抗得了勒索病毒?太簡單了。
第二種,你這個流程這么簡單,我相信別人也可以做得到。因為今天時間關系,這里面牽涉很多底層技術不展開。
但是有兩點分享給在座的各位CIO,復雜的、需要過多人工干預的,需要大量開發的這種流程往往是不可落地的,起不到應有效果的流程。而簡單的流程往往會起效果,就像我們現在用的智能手機一樣,以前我們買一個功能機會有這么厚一本說明書,現在我們買智能手機沒有任何說明書就可以操作,這就叫簡單的。
第二點看起來簡單的東西,它的背后是有非常深厚的技術和驗證去支撐的。
我們剛才這套解決方案在全球市場占有率從軟件到硬件都是第一的尤其核心備份軟硬件一體機占有率高達84.4%。
戴爾公司在全國有三大研發中心,上千人的研究人員,剛才我說的解決方案,這三大研發中心都做出了自己的貢獻。
結尾我依然引用灰犀牛的作者米歇爾女士的應對灰犀牛的六個方法作為結尾:
我們不能忽視它要承認它的存在,要給它定性,我們要采取行動,不要浪費危機不要看到別人怎么樣以后,我們熟視無睹。我們要站在順風處。最后我們要成為發現灰犀牛,控制灰犀牛的人。
以上就是我今天給大家帶來的分享,謝謝大家!
京公網安備 11010502049343號