當我們 “防患於未然” 到底能省多少事
我們所處的時代充斥著無情的網路威脅。為了保護寶貴的數位資產,企業不斷探索強大、智慧的解決方案,以應對不斷演化的複雜形勢。專注資料領域近30年,Commvault為現代世界打造資料保護,以整合的統一平台確保資料的安全、防禦和還原。Commvault不斷對該平台進行創新,提升自身保護能力以適應外部環境。
在最近的更新中,Commvault推出了Threat Scan功能,採用AI和機器學習方法説明企業發現惡意軟體和被感染的資料,協助企業應對勒索軟體事件。
早期可疑活動偵測:利用AI進行主動防禦
高效網路安全的實現需要企業及時發現潛在的勒索軟體漏洞。越早發現勒索軟體漏洞的跡象,就有越多時間做好應對準備。
勒索軟體攻擊者通常以資料保護平台為目標,試圖破壞存取金鑰或刪除重要的備份副本,從而阻礙未來的還原工作。Commvault採用先進的AI和機器學習技術來應對這一挑戰,其系統一絲不苟地監控備份環境中的事件,並利用AI演算法分析事件時間線。
在發現諸如異常登錄活動、登錄嘗試失敗和非典型資料刪除請求等異常情況方面,該系統的表現非常出色,其中,對資料的智慧時間序列分析發揮著核心作用。企業可以使用Commvault平台監控一段時間內的事件,並對該時間序列的資料應用機器學習方法,識別趨勢和規律,從而標記出偏離既定模式的資料點,提示潛在的勒索軟體活動。這樣就形成了一個由機器學習驅動的警戒機制,它可以區分常規活動和非正常活動,為主動防禦勒索軟體提供了預警系統。
發現惡意軟體:備份中AI驅動的惡意軟體偵測
當勒索軟體滲透到系統防禦中時,惡意軟體也非常有可能滲透到備份中。如果不在啟動資料還原之前識別並清除備份中的惡意軟體,就會面臨還原後再次感染的風險。傳統的惡意軟體偵測工具在生產工作負載上運行,無法接觸到備份副本。因此,資料保護軟體需要嵌入惡意軟體偵測功能,以便在資料還原時帶回安全和經過消毒的資料。
Commvault利用先進的威脅偵測引擎對資料進行更深入的檢查,以偵測惡意軟體。企業可以使用Commvault平台對備份執行定期掃描、抽查,以查找惡意軟體的蛛絲馬跡。這些掃描同時檢查檔資料和中繼資料,對數百個特徵進行分析,並將其輸入智慧引擎來搜索惡意軟體的蹤跡。該惡意軟體偵測引擎由AI支援,並且會不斷更新最新的威脅情報,確保使用最新的惡意軟體定義進行偵測。
值得一提的是,這種分析是在隔離的安全環境中進行的,不會影響生產工作負載。因此這種方法主動、安全,既能掃描惡意軟體,又不會帶來額外風險。
資料恢復的藝術:用AI加強資料感染偵測
在仔細地將惡意軟體從備份副本中刪除後,我們的關注重點就轉移到了錯綜複雜的資料還原過程。該過程的核心是識別受到勒索軟體影響的資料。這是一項技術性很強的任務,需要一定的精確性,才能順利地在還原過程中確保資料的完整性。
為了實現這一目標,Commvault採用的方法結合了AI和機器學習的先進技術。Commvault平台以檔案異常偵測作為主要篩檢程式來啟動該流程,力求識別檔案資料何時發生重大和潛在的惡意更改。通過機器學習,平台可以跟蹤宏觀指標,如檔案更改、檔案刪除和檔案資料大小更改的數量。這種方法使Commvault的系統能夠區分常規資料行為和可疑活動,並大致確定此類活動的發生時間和持續時間。
為了對檔案資料進行更深入的檢查,企業可以通過Commvault平台轉向對檔案資料進行微觀分析,檢查更細細微性的屬性,如檔MIME類型的不規則性、通過SimHash比較的檔案簽名相似性,甚至檔案中的內容,以確定檔案是否被勒索軟體修改過。無論是人工生成的還是機器生成的,大多數檔案通常都會呈現出可預測的變化,但在被勒索軟體加密後,其內容會發生不可預測的變化,從而導致熵(不相似性)增加。Commvault AI驅動的演算法可以精準比較檔案版本,衡量它們的相似性或“熵”。這讓Commvault可以精準定位被感染的檔案。
綜合來看,Commvault平台圍繞三個目標採取行動:識別威脅的早期跡象以在威脅爆發前採取行動、在備份中偵測惡意軟體以避免再次感染、區分備份中的被感染資料以推進大規模自動還原乾淨資料。
隨著勒索軟體攻擊風險的不斷升級,這種防患於未然的方法,可以説明企業提高網路彈性,有效應對網路威脅。