从信息技术发展的那一天起,安全威胁便如影随形,在“道高一尺魔高一丈”的攻防对抗中,越来越多的组织机构发现,安全威胁无法完全避免。而IBM的专家则表示,数据保护方案可降低安全事件可能造成的损失。
说到底,安全威胁会对数据发起攻击,通过造成数据泄露、数据丢失、数据加密等事故,从而影响业务连续性、损伤企业商业信誉,为避免此类情况,被勒索的组织机构有时候不得不向黑客支付巨额赎金。
2022年7月28日,在全球闪存峰会上,IBM公司科技事业部存储产品线经理庞文峥,介绍了IBM是如何帮助企业实现数据“零”丢失,如何帮助企业抵挡安全威胁,深耕企业IT领域多年的IBM凭借在闪存存储以及数据保护方面的技术和实践优势,为企业的发数据保驾护航。
躲也躲不开,难缠的数据安全问题
某研究机构的调研报告显示,一场全球范围的大规模网络攻击造成的经济损失平均达到530亿美元。还有调研发现,大型企业的防范意识在不断增强,但中小企业的数据泄露风险却在不断地加大。
《2021年IBM数据泄露成本报告》的数据显示,2020-2021年间数据泄露的平均总成本增加了10%,提升到了424万美元。其中,业务损失占到数据泄露总成本的38%,业务损失成本包括因系统停机导致的收入损失,以及因声誉下降而导致的成本增加。
恶意攻击是造成数据泄露的主要原因。恶意攻击所造成的数据泄露比例,从2014年的42%,增加到2020年的52%,恶意攻击所造成的数据泄露比例,在六年间增加了近四分之一。
数据泄露的潜伏期和应对周期非常长。有研究数据显示,从确定网络攻击到恢复网络攻击影响的平均时间长达两百八十天,需要七个月之久,通常在发现数据泄露时,已经为时晚矣。
庞文峥表示,从广泛的实践来看,用企业零信任架构来应对网络威胁的做法已经是业内共识,虽然许多厂商都推出了防范网络攻击的解决方案,但“道高一尺,魔高一丈”,被动防御很难防范所有的攻击。
庞文峥认为应该转变思路,思考如何在受到攻击后快速完成快复,这将是企业生存的关键。
庞文峥介绍了遭受网络攻击后的处理流程,以及IBM存储如何帮助企业在受到网络攻击后,快速恢复数据和业务的能力。
如上图所示,当企业受到网络攻击时,大多数企业都不能即时发现,经常是在攻击发生很久后才能被检测到,这时,网络攻击不仅污染了生产数据,也可能污染了远程系统和备份系统。
当企业发现了数据被破坏,首要解决的问题就是如何快速恢复数据,当网络攻击的潜伏时间越长,遭到污染的数据就越多,恢复数据所需要的时间也就越长。
当近线设备数据被污染,用户不得不从具有Air Gap(气隙隔离)的磁带中恢复数据。恢复数据面临两大考验,对此,很多企业用户表示无法接受。
首先,数据恢复过程比较考验用户的耐心,因为通常需要几天甚至半个月。另一方面,也得看运气,因为,只有当恢复完成后才能确认这些数据是否被污染了,如果恢复的数据被污染了就做了无用功。
IBM推出的Cyber Vault可以帮助客户显著降低数据受到攻击破坏所带来的影响和损失。
Cyber Vault可以快速识别最后一份可用的副本,让存储管理员使用类似磁盘快照的技术快速恢复数据,将原本需要数周才能恢复的数据,缩短到几天甚至几个小时。
IBM FlashSystem+IBM全面的数据保护方案=数据“零”丢失
2022年3月,IBM发布了支持第三代闪存模块的FlashSystem新产品,包括FlashSystme 9500和FlashSystme 7300,与此前的FlashSystem 5200构成了完整的FlashSystem产品家庭,新品从容量到性能,都有成倍的提升。
上图显示的性能数据是在16k数据块,7:3混合读写负载,50%缓存命中的情况下的表现,FlashSystem 5200是入门级的,FlashSystem 7300的IOPS达到了60万,最高端的FlashSystem 9500R能达到120万IOPS,性能在成倍增长。
FlashSytem全系列都支持IBM Spectrum Virtualize软件平台,用户可以使用IBM Spectrum Virtualize的所有功能,包括不可更改副本技术,该技术可帮助企业应对网络攻击,也就是说,全系列的FlashSystem都能使用该技术。
如上图所示,IBM FlashSystem存储系统提供了全面的数据安全解决方案:
IBM存储系统不仅支持同步或异步数据复制,能实现两站点、三站点甚至四站点的远程复制,还能将数据复制到公有云,将公有云做成企业的容灾中心。
IBM的容灾恢复解决方案,能让企业的数据在自然或者人为的局部灾难中幸存下来,让数据丢失很少或根本没有数据丢失,实现零数据丢失。
IBM存储系统还能够实现HyperSwap双活操作。不仅能使得用户的数据在局部灾难中幸存下来,而且用户的应用可以立即访问数据备用副本,而且,过程中不会对业务端造成影响,甚至可能完全感觉不到。
IBM还能通过多达5路的复制来提供增强的高可用性,依靠IBM独有的Stretch Cluster功能,这种能力能扩展到多达500多种不同品牌的存储,远不只是IBM自己的设备。
2021年,IBM发布Safeguarded Copy(受保护的副本)的功能,可以创建不可更改的数据快照。通过提供多达一万五千份不可更改副本以及职责分离的双重安全认证,可以帮助企业应对各种网络攻击,例如勒索软件、 删库跑路等。
如果用户的数据主副本受到感染,Safeguarded Copy副本在逻辑上与主数据保持气隙隔离,并使该副本不可更改,用户可用该副本进行快速数据恢复。IBM存储系统还支持磁盘硬加密,可以防止窥视或物理的数据盗窃。
其中,Safeguarded Copy使用普通的快照技术创建拷贝,但它们存储在特殊的受保护池里,这些池可以防止卷被更改或连接到服务器,当创建后,系统管理员也无法访问,因此勒索软件与黑客也无法访问它们。
受保护的副本根据管理员定义的策略自动创建和删除,这些副本不能映射到主机,也无法改变,无法通过任何应用程序修改和访问,即使是系统管理员也无法做到,从而保证了副本的安全、可靠。
当源数据被污染后,安全管理员可以将这些卷快速地挂载到系统上,然后挂载在数据库上,这些操作只需要几十秒,最多在几分钟即可完成。
IBM在闪存系统中独创了“职责分离”,分成了系统管理员、超级用户与安全管理员三类角色。
系统管理员可以进行常规管理,可以配置(Safeguarded Copy)受保护的副本,但无法访问和删除这些副本或备份池。可以访问和删除受保护的副本或备份池的是安全管理员。
虽然超级用户可以执行任何操作,但实际应用中都会禁用此超级用户,如果想要重新开启超级用户,只能通过IBM支持或通过对存储系统进行物理访问来开启。
通过将系统管理员和安全管理员职责分离,分别设置两个不同的人员管理,可以最大限度地避免内部风险和删库跑路的现象发生。
数据保护以外的安全防护手段
当用户发现或检测到网络威胁时,通常为时已晚,当发现问题时,用户迫切需要马上找出没被污染,可用于恢复的数据副本,而不是盲目尝试恢复。
IBM Security QRadar是一个安全信息和事件管理系统,它可以检查用户数据中心里的活动,并识别可疑行为。
网络攻击者会想办法掩盖行踪,而IBM Security QRadar会努力检测和发现企业中受到的威胁,Qradar通过分析日志事件和网络流数据,在大数据和人工智能技术的帮助下,能实时检测可疑事件,并将相关事件聚合为优先级警报。
当网络攻击者试图以安全管理员的身份进行不良行为,比如,在非正常工作时间登录并试图删除Safeguarded Copy副本,比如同一管理员ID同时从多个位置登录,QRadar可以捕获这些事件,让Safeguarded Copy来创建一份Safeguarded Copy副本,在攻击发生后,优先尝试用该副本来恢复数据。
QRadar带有预先定义的策略和500多个开箱即用的集成功能,IBM存储系统搭配IBM QRadar可以帮助企业更好地应对安全威胁。
写在最后
数据安全涉及的范围很大,而IBM凭借在企业级存储市场的深厚积累,在企业级数据容灾备份领域深耕多年的经验,推出新产品以应对数据安全问题,为企业在应对安全问题时候提供了非常有参考价值的解决之道。