扒勒索病毒史,聊真CDP与准CDP

聊CDP之前,先聊勒索病毒

据公开资料显示,全球最早的勒索病毒雏形诞生于1989年,由Joseph Popp编写,该木马程序以“艾滋病信息引导盘”的形式进入系统。

中国大陆第一个勒索软件——Redplus勒索木马(Trojan/Win32.Pluder)出现在2006年,该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。

根据勒索病毒攻击计算机的方式和部件,勒索病毒大概的类型主要包括如下种类。

病毒种类 代表
锁屏加密勒索病毒(锁定屏幕、加密文件) CryptoLocker、WinLocker
MBR勒索病毒(加密磁盘) Petya、NotPetya
服务器勒索病毒(“无文件”式入侵服务器) Master、wallet、Greystars
文件加密勒索病毒(加密文件数据) WannaCry、Aleta

除此之外,攻击移动设备的勒索软件需要引起大家的关注。2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。在移动用户感染的方式上,浏览非法淫秽网站和点击下载不信任程序(如二维码生产链接)成为两种最大被感染的渠道。

在支付方式上,最早是通过弹出窗口提示系统中毒者向指定邮件或银行账号支付等形式。2013年随着比特币市场的疯狂炒作,勒索赎金的支付方式开始转向更加难以追踪的虚拟货币为主。

事实表明,采用更加复杂的RSA加密方案,以及虚拟货币(如比特币)的出现,加速了勒索软件的泛滥。所以,WannaCry永恒之蓝的全球肆虐不是偶尔,区块链作为当前信息化领域炙手可热的技术,藏着魔鬼的一面。

CDP能够恢复勒索病毒加密的数据 

防范勒索病毒,应该从两个维度分析:

一是防范抵抗病毒攻击,需要杀毒软件、网络和数据库防火墙,以及对系统和应用补丁及时更新和修正。

二是系统和文件等被病毒感染后,如何快速恢复数据和业务,以前是需要事先对系统和文件进行备份,现在更流行的方案是采用CDP技术进行数据保护。

备份是一种传统的备份方式,可以分为定期备份和实时数据同步。定期备份与CDP相比存在两大劣势:一是备份需要时间窗口,对于很多24小时业务运行的机构,线上业务不允许有过多系统停机进行数据备份;二是定期备份无法保证数据丢失最少,即RPO值趋近于零的要求。

例如,医院定期备份策略是每周一晚12点备份一次,但是在下一个备份时间到来之前,如本周五医院发生勒索病毒攻击事件,那么周二至周五的数据将会被加密,进而会丢失。

实时数据同步可以解决备份窗口和备份周期存在的问题,但是存在一个缺点——勒索病毒对生产端的破坏会同步到备份端,严重时会造成整个灾备策略的失效。

持续数据保护(CDP)技术能够很好地解决这个问题,它极大地减少了RPO值。CDP底层的技术原理比较抽象,从实现手段分析,CDP是对数据进行自动监控,连续捕获和备份数据变化,只要数据发生变化,便实时、准确的备份下来。我们可以理解为基本上是在备份端以最接近实时的节点生成一份独立数据,以确保有最新的数据进行恢复,而这份数据是没有被勒索病毒感染的。

目前,主流的CDP有很多维度,包括基于存储数据块的,存储快照的,操作系统IO层的,采取不同的技术维度,所获得的数据还原细粒度也有所差别,根据恢复的细粒度的大小,业界将CDP分为真CDP(True CDP)和准CDP(Near CDP)。

真CDP技术是持续不间断的监控并备份数据变化,可以恢复到过去任意时间点,是真正的实时备份,不会造成数据的丢失。准CDP是指接近持续数据保护,数据备份存在延时,也就是意味着存在部分数据丢失的风险。根据用户对RPO的要求以及灾备策略的不一样,CDP技术方案选择有很大自主性,但是随着数据量的增长和业务信息化的加快,未来的趋势将是以真CDP为主。

在市场方面,真CDP技术方案的厂家凤毛麟角,上海英方是其中的代表。英方CDP技术是一种在不影响主要数据运行的前提下,将变化的数据实时复制到灾备中心的同时也将数据的任何变化以日志方式记录下来,实现对数据变化的可回溯性;也可在任何情况下依据数据变化日志,快速定位需要恢复的时间点,并将数据一键式恢复到异常点之前。

在专业的灾备领域,CDP技术的应用不仅仅是为了防止勒索病毒对数据的加密,还要防止人为误操作、系统崩溃、系统升级失败等潜在威胁事件的发生。在此基础上,很多行业会因为等保要求对重要数据进行本地或异地容灾,对灾备项目的RTO与RPO进行严格的划分。

对于CDP在RTO与RPO两个重要灾备考核指标的表现,业界一直都有争论,主流的观点认为在普遍成本接受的范围内,RTO与RPO是鱼和熊掌不可兼得,只能在两者中找到最佳平衡时间点。

当前CDP也存在很多技术难点,例如虽然在高成本投入下,直接将异或运算固化在芯片中,但是对于要解决高频写操作数据的CDP压缩RTO的难题,业界仍在探索中。