扒勒索病毒史,聊真CDP與準CDP

格伯納發表於2018-05-07

扒勒索病毒史,聊真CDP與準CDP


CDP之前,先聊勒索病毒


據公開資料顯示,全球最早的勒索病毒雛形誕生於1989年,由Joseph Popp編寫,該木馬程式以“愛滋病資訊引導盤”的形式進入系統。


中國大陸第一個勒索軟體——Redplus勒索木馬(Trojan/Win32.Pluder)出現在2006年,該木馬會隱藏使用者文件和包裹檔案,然後彈出視窗要求使用者將贖金匯入指定銀行賬號。


根據勒索病毒攻擊計算機的方式和部件,勒索病毒大概的型別主要包括如下種類。


病毒種類

代表

鎖屏加密勒索病毒(鎖定螢幕、加密檔案)

CryptoLockerWinLocker

MBR勒索病毒(加密磁碟)

PetyaNotPetya

伺服器勒索病毒(無檔案式入侵伺服器)

MasterwalletGreystars

檔案加密勒索病毒(加密檔案資料)

WannaCryAleta


除此之外,攻擊移動裝置的勒索軟體需要引起大家的關注。2018年3月,國家網際網路應急中心透過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程式變種。該類病毒透過對使用者手機鎖屏,勒索使用者付費解鎖,對使用者財產和手機安全均造成嚴重威脅。在移動使用者感染的方式上,瀏覽非法淫穢網站和點選下載不信任程式(如二維碼生產連結)成為兩種最大被感染的渠道。


在支付方式上,最早是透過彈出視窗提示系統中毒者向指定郵件或銀行賬號支付等形式。2013年隨著比特幣市場的瘋狂炒作,勒索贖金的支付方式開始轉向更加難以追蹤的虛擬貨幣為主。


事實表明,採用更加複雜的RSA加密方案,以及虛擬貨幣(如比特幣)的出現,加速了勒索軟體的泛濫。所以,WannaCry永恆之藍的全球肆虐不是偶爾,區塊鏈作為當前資訊化領域炙手可熱的技術,藏著魔鬼的一面。


CDP能夠恢復勒索病毒加密的資料

防範勒索病毒,應該從兩個維度分析:


一是防範抵抗病毒攻擊,需要防毒軟體、網路和資料庫防火牆,以及對系統和應用補丁及時更新和修正。


二是系統和檔案等被病毒感染後,如何快速恢復資料和業務,以前是需要事先對系統和檔案進行備份,現在更流行的方案是採用CDP技術進行資料保護。


備份是一種傳統的備份方式,可以分為定期備份和實時資料同步。定期備份與CDP相比存在兩大劣勢:一是備份需要時間視窗,對於很多24小時業務執行的機構,線上業務不允許有過多系統停機進行資料備份;二是定期備份無法保證資料丟失最少,即RPO值趨近於零的要求。


例如,醫院定期備份策略是每週一晚12點備份一次,但是在下一個備份時間到來之前,如本週五醫院發生勒索病毒攻擊事件,那麼週二至週五的資料將會被加密,進而會丟失。


實時資料同步可以解決備份視窗和備份週期存在的問題,但是存在一個缺點——勒索病毒對生產端的破壞會同步到備份端,嚴重時會造成整個災備策略的失效。


持續資料保護(CDP)技術能夠很好地解決這個問題,它極大地減少了RPO值。CDP底層的技術原理比較抽象,從實現手段分析,CDP是對資料進行自動監控,連續捕獲和備份資料變化,只要資料發生變化,便實時、準確的備份下來。我們可以理解為基本上是在備份端以最接近實時的節點生成一份獨立資料,以確保有最新的資料進行恢復,而這份資料是沒有被勒索病毒感染的。


目前,主流的CDP有很多維度,包括基於儲存資料塊的,儲存快照的,作業系統IO層的,採取不同的技術維度,所獲得的資料還原細粒度也有所差別,根據恢復的細粒度的大小,業界將CDP分為真CDP(True CDP)和準CDP(Near CDP)。


真CDP技術是持續不間斷的監控並備份資料變化,可以恢復到過去任意時間點,是真正的實時備份,不會造成資料的丟失。準CDP是指接近持續資料保護,資料備份存在延時,也就是意味著存在部分資料丟失的風險。根據使用者對RPO的要求以及災備策略的不一樣,CDP技術方案選擇有很大自主性,但是隨著資料量的增長和業務資訊化的加快,未來的趨勢將是以真CDP為主。


在市場方面,真CDP技術方案的廠家鳳毛麟角,上海英方是其中的代表。英方CDP技術是一種在不影響主要資料執行的前提下,將變化的資料實時複製到災備中心的同時也將資料的任何變化以日誌方式記錄下來,實現對資料變化的可回溯性;也可在任何情況下依據資料變化日誌,快速定位需要恢復的時間點,並將資料一鍵式恢復到異常點之前。


在專業的災備領域,CDP技術的應用不僅僅是為了防止勒索病毒對資料的加密,還要防止人為誤操作、系統崩潰、系統升級失敗等潛在威脅事件的發生。在此基礎上,很多行業會因為等保要求對重要資料進行本地或異地容災,對災備專案的RTO與RPO進行嚴格的劃分。


對於CDP在RTO與RPO兩個重要災備考核指標的表現,業界一直都有爭論,主流的觀點認為在普遍成本接受的範圍內,RTO與RPO是魚和熊掌不可兼得,只能在兩者中找到最佳平衡時間點。


當前CDP也存在很多技術難點,例如雖然在高成本投入下,直接將異或運算固化在晶片中,但是對於要解決高頻寫運算元據的CDP壓縮RTO的難題,業界仍在探索中。




你是否也是CDP技術的探究者,是否也對CDP能夠恢復勒索病毒的測試感興趣,歡迎關注明天英方真CDP測試WannaCry勒索病毒的文章。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31509949/viewspace-2154129/,如需轉載,請註明出處,否則將追究法律責任。

相關文章