我們所處的時(shí)代充斥著無(wú)情的網(wǎng)絡(luò)威脅。為了保護(hù)寶貴的數(shù)據(jù)資產(chǎn),企業(yè)不斷探索強(qiáng)大、智能的解決方案,以應(yīng)對(duì)不斷演化的復(fù)雜形勢(shì)。專注數(shù)據(jù)領(lǐng)域近30年,Commvault為現(xiàn)代世界打造數(shù)據(jù)保護(hù),以單個(gè)統(tǒng)一平臺(tái)確保數(shù)據(jù)的安全、防御和恢復(fù)。Commvault不斷對(duì)該平臺(tái)進(jìn)行創(chuàng)新,提升自身保護(hù)能力以適應(yīng)外部環(huán)境。在最近的更新中,Commvault推出了Threat Scan功能,采用AI和機(jī)器學(xué)習(xí)方法幫助企業(yè)發(fā)現(xiàn)惡意軟件和被感染的數(shù)據(jù),協(xié)助企業(yè)應(yīng)對(duì)勒索軟件事件。
早期可疑活動(dòng)檢測(cè):利用AI進(jìn)行主動(dòng)防御
高效網(wǎng)絡(luò)安全的實(shí)現(xiàn)需要企業(yè)及時(shí)發(fā)現(xiàn)潛在的勒索軟件漏洞。越早發(fā)現(xiàn)勒索軟件漏洞的跡象,就有越多時(shí)間做好應(yīng)對(duì)準(zhǔn)備。
勒索軟件攻擊者通常以數(shù)據(jù)保護(hù)平臺(tái)為目標(biāo),試圖破壞訪問(wèn)密鑰或刪除重要的備份副本,從而阻礙未來(lái)的恢復(fù)工作。Commvault采用先進(jìn)的AI和機(jī)器學(xué)習(xí)技術(shù)來(lái)應(yīng)對(duì)這一挑戰(zhàn),其系統(tǒng)一絲不茍地監(jiān)控備份環(huán)境中的事件,并利用AI算法分析事件時(shí)間線。
在發(fā)現(xiàn)諸如異常登錄活動(dòng)、登錄嘗試失敗和非典型數(shù)據(jù)刪除請(qǐng)求等異常情況上,該系統(tǒng)的表現(xiàn)非常出色,其中,對(duì)數(shù)據(jù)的智能時(shí)間序列分析發(fā)揮著核心作用。企業(yè)可以使用Commvault平臺(tái)監(jiān)控一段時(shí)間內(nèi)的事件,并對(duì)該時(shí)間序列的數(shù)據(jù)應(yīng)用機(jī)器學(xué)習(xí)方法,識(shí)別趨勢(shì)和規(guī)律,從而標(biāo)記出偏離既定模式的數(shù)據(jù)點(diǎn),提示潛在的勒索軟件活動(dòng)。這樣就形成了一個(gè)由機(jī)器學(xué)習(xí)驅(qū)動(dòng)的警戒機(jī)制,它可以區(qū)分常規(guī)活動(dòng)和非正常活動(dòng),為主動(dòng)防御勒索軟件提供了預(yù)警系統(tǒng)。
發(fā)現(xiàn)惡意軟件:備份中AI驅(qū)動(dòng)的惡意軟件檢測(cè)
當(dāng)勒索軟件滲透到系統(tǒng)防御中時(shí),惡意軟件也非常有可能滲透到備份中。如果不在啟動(dòng)數(shù)據(jù)恢復(fù)之前識(shí)別并清除備份中的惡意軟件,就會(huì)面臨恢復(fù)后再次感染的風(fēng)險(xiǎn)。傳統(tǒng)的惡意軟件檢測(cè)工具在生產(chǎn)工作負(fù)載上運(yùn)行,無(wú)法接觸到備份副本。因此,數(shù)據(jù)保護(hù)軟件需要嵌入惡意軟件檢測(cè)功能,以便在數(shù)據(jù)恢復(fù)時(shí)帶回安全和經(jīng)過(guò)消毒的數(shù)據(jù)。
Commvault利用先進(jìn)的威脅檢測(cè)引擎對(duì)數(shù)據(jù)進(jìn)行更深入的檢查,以檢測(cè)惡意軟件。企業(yè)可以使用Commvault平臺(tái)對(duì)備份執(zhí)行定期掃描、抽查,以查找惡意軟件的蛛絲馬跡。這些掃描同時(shí)檢查文件數(shù)據(jù)和元數(shù)據(jù),對(duì)數(shù)百個(gè)特征進(jìn)行分析,并將其輸入智能引擎來(lái)搜索惡意軟件的蹤跡。該惡意軟件檢測(cè)引擎由AI支持,并且會(huì)不斷更新最新的威脅情報(bào),確保使用最新的惡意軟件定義進(jìn)行檢測(cè)。
值得一提的是,這種分析是在隔離的安全環(huán)境中進(jìn)行的,不會(huì)影響生產(chǎn)工作負(fù)載。因此這種方法主動(dòng)、安全,既能掃描惡意軟件,又不會(huì)帶來(lái)額外風(fēng)險(xiǎn)。
數(shù)據(jù)恢復(fù)的藝術(shù):AI加強(qiáng)的被感染數(shù)據(jù)檢測(cè)
在仔細(xì)地將惡意軟件從備份副本中刪除后,我們的關(guān)注重點(diǎn)就轉(zhuǎn)移到了錯(cuò)綜復(fù)雜的數(shù)據(jù)恢復(fù)過(guò)程。該過(guò)程的核心是識(shí)別受到勒索軟件影響的數(shù)據(jù)。這是一項(xiàng)技術(shù)性很強(qiáng)的任務(wù),需要一定的精確性,才能順利地在恢復(fù)過(guò)程中確保數(shù)據(jù)的完整性。
為了實(shí)現(xiàn)這一目標(biāo),Commvault采用的方法結(jié)合了AI和機(jī)器學(xué)習(xí)的先進(jìn)技術(shù)。Commvault平臺(tái)以文件異常檢測(cè)作為主要過(guò)濾器來(lái)啟動(dòng)該流程,力求識(shí)別文件數(shù)據(jù)何時(shí)發(fā)生重大和潛在的惡意更改。通過(guò)機(jī)器學(xué)習(xí),平臺(tái)可以跟蹤宏觀指標(biāo),如文件更改、文件刪除和文件數(shù)據(jù)大小更改的數(shù)量。這種方法使Commvault的系統(tǒng)能夠區(qū)分常規(guī)數(shù)據(jù)行為和可疑活動(dòng),并大致確定此類活動(dòng)的發(fā)生時(shí)間和持續(xù)時(shí)間。
為了對(duì)文件數(shù)據(jù)進(jìn)行更深入的檢查,企業(yè)可以通過(guò)Commvault平臺(tái)轉(zhuǎn)向?qū)ξ募?shù)據(jù)進(jìn)行微觀分析,檢查更細(xì)粒度的屬性,如文件MIME類型的不規(guī)則性、通過(guò)SimHash比較的文件簽名相似性,甚至文件中的內(nèi)容,以確定文件是否被勒索軟件修改過(guò)。無(wú)論是人工生成的還是機(jī)器生成的,大多數(shù)文件通常都會(huì)呈現(xiàn)出可預(yù)測(cè)的變化,但在被勒索軟件加密后,其內(nèi)容會(huì)發(fā)生不可預(yù)測(cè)的變化,從而導(dǎo)致熵(不相似性)增加。Commvault AI驅(qū)動(dòng)的算法可以精準(zhǔn)比較文件版本,衡量它們的相似性或“熵”。這讓Commvault可以精準(zhǔn)定位被感染的文件。
綜合來(lái)看,Commvault平臺(tái)圍繞三個(gè)目標(biāo)采取行動(dòng):識(shí)別威脅的早期跡象以在威脅爆發(fā)前采取行動(dòng)、在備份中檢測(cè)惡意軟件以避免再次感染、區(qū)分備份中的被感染數(shù)據(jù)以推進(jìn)大規(guī)模自動(dòng)恢復(fù)干凈數(shù)據(jù)。隨著勒索軟件攻擊風(fēng)險(xiǎn)的不斷升級(jí),這種防患于未然的方法,可以幫助企業(yè)提高網(wǎng)絡(luò)彈性,有效應(yīng)對(duì)網(wǎng)絡(luò)威脅。此外,Commvault還在持續(xù)創(chuàng)新以滿足客戶需求。11月9日,Commvault將舉辦SHIFT全球網(wǎng)絡(luò)發(fā)布會(huì),帶來(lái)Commvault首款真正的云數(shù)據(jù)安全平臺(tái)。