當我們“防患于未然”，到底能省多少事兒

我們所處的時代充斥著無情的網絡威脅。為了保護寶貴的數(shù)據資產，企業(yè)不斷探索強大、智能的解決方案，以應對不斷演化的復雜形勢。專注數(shù)據領域近30年，Commvault為現(xiàn)代世界打造數(shù)據保護，以單個統(tǒng)一平臺確保數(shù)據的安全、防御和恢復。Commvault不斷對該平臺進行創(chuàng)新，提升自身保護能力以適應外部環(huán)境。在最近的更新中，Commvault推出了Threat Scan功能，采用AI和機器學習方法幫助企業(yè)發(fā)現(xiàn)惡意軟件和被感染的數(shù)據，協(xié)助企業(yè)應對勒索軟件事件。

早期可疑活動檢測：利用AI進行主動防御

高效網絡安全的實現(xiàn)需要企業(yè)及時發(fā)現(xiàn)潛在的勒索軟件漏洞。越早發(fā)現(xiàn)勒索軟件漏洞的跡象，就有越多時間做好應對準備。

勒索軟件攻擊者通常以數(shù)據保護平臺為目標，試圖破壞訪問密鑰或刪除重要的備份副本，從而阻礙未來的恢復工作。Commvault采用先進的AI和機器學習技術來應對這一挑戰(zhàn)，其系統(tǒng)一絲不茍地監(jiān)控備份環(huán)境中的事件，并利用AI算法分析事件時間線。

在發(fā)現(xiàn)諸如異常登錄活動、登錄嘗試失敗和非典型數(shù)據刪除請求等異常情況上，該系統(tǒng)的表現(xiàn)非常出色，其中，對數(shù)據的智能時間序列分析發(fā)揮著核心作用。企業(yè)可以使用Commvault平臺監(jiān)控一段時間內的事件，并對該時間序列的數(shù)據應用機器學習方法，識別趨勢和規(guī)律，從而標記出偏離既定模式的數(shù)據點，提示潛在的勒索軟件活動。這樣就形成了一個由機器學習驅動的警戒機制，它可以區(qū)分常規(guī)活動和非正常活動，為主動防御勒索軟件提供了預警系統(tǒng)。

發(fā)現(xiàn)惡意軟件：備份中AI驅動的惡意軟件檢測

當勒索軟件滲透到系統(tǒng)防御中時，惡意軟件也非常有可能滲透到備份中。如果不在啟動數(shù)據恢復之前識別并清除備份中的惡意軟件，就會面臨恢復后再次感染的風險。傳統(tǒng)的惡意軟件檢測工具在生產工作負載上運行，無法接觸到備份副本。因此，數(shù)據保護軟件需要嵌入惡意軟件檢測功能，以便在數(shù)據恢復時帶回安全和經過消毒的數(shù)據。

Commvault利用先進的威脅檢測引擎對數(shù)據進行更深入的檢查，以檢測惡意軟件。企業(yè)可以使用Commvault平臺對備份執(zhí)行定期掃描、抽查，以查找惡意軟件的蛛絲馬跡。這些掃描同時檢查文件數(shù)據和元數(shù)據，對數(shù)百個特征進行分析，并將其輸入智能引擎來搜索惡意軟件的蹤跡。該惡意軟件檢測引擎由AI支持，并且會不斷更新最新的威脅情報，確保使用最新的惡意軟件定義進行檢測。

值得一提的是，這種分析是在隔離的安全環(huán)境中進行的，不會影響生產工作負載。因此這種方法主動、安全，既能掃描惡意軟件，又不會帶來額外風險。

數(shù)據恢復的藝術：AI加強的被感染數(shù)據檢測

在仔細地將惡意軟件從備份副本中刪除后，我們的關注重點就轉移到了錯綜復雜的數(shù)據恢復過程。該過程的核心是識別受到勒索軟件影響的數(shù)據。這是一項技術性很強的任務，需要一定的精確性，才能順利地在恢復過程中確保數(shù)據的完整性。

為了實現(xiàn)這一目標，Commvault采用的方法結合了AI和機器學習的先進技術。Commvault平臺以文件異常檢測作為主要過濾器來啟動該流程，力求識別文件數(shù)據何時發(fā)生重大和潛在的惡意更改。通過機器學習，平臺可以跟蹤宏觀指標，如文件更改、文件刪除和文件數(shù)據大小更改的數(shù)量。這種方法使Commvault的系統(tǒng)能夠區(qū)分常規(guī)數(shù)據行為和可疑活動，并大致確定此類活動的發(fā)生時間和持續(xù)時間。

為了對文件數(shù)據進行更深入的檢查，企業(yè)可以通過Commvault平臺轉向對文件數(shù)據進行微觀分析，檢查更細粒度的屬性，如文件MIME類型的不規(guī)則性、通過SimHash比較的文件簽名相似性，甚至文件中的內容，以確定文件是否被勒索軟件修改過。無論是人工生成的還是機器生成的，大多數(shù)文件通常都會呈現(xiàn)出可預測的變化，但在被勒索軟件加密后，其內容會發(fā)生不可預測的變化，從而導致熵（不相似性）增加。Commvault AI驅動的算法可以精準比較文件版本，衡量它們的相似性或“熵”。這讓Commvault可以精準定位被感染的文件。

綜合來看，Commvault平臺圍繞三個目標采取行動：識別威脅的早期跡象以在威脅爆發(fā)前采取行動、在備份中檢測惡意軟件以避免再次感染、區(qū)分備份中的被感染數(shù)據以推進大規(guī)模自動恢復干凈數(shù)據。隨著勒索軟件攻擊風險的不斷升級，這種防患于未然的方法，可以幫助企業(yè)提高網絡彈性，有效應對網絡威脅。此外，Commvault還在持續(xù)創(chuàng)新以滿足客戶需求。11月9日，Commvault將舉辦SHIFT全球網絡發(fā)布會，帶來Commvault首款真正的云數(shù)據安全平臺。