刘鑫 曹京 邵志杰 周跃峰

(1. 华为技术有限公司中国产业发展与生态部，北京 100073； 2.中国信息通信研究院安全研究所，北京 100191；3.华为技术有限公司数据存储与机器视觉产品线，深圳 518129；4. 华为技术有限公司，深圳 518129)

0 引言

勒索病毒持续威胁数字经济发展，网络安全问题中勒索病毒排名第三[1]。2021年，勒索病毒占网络攻击比例为10%，全球大约37%组织表示遭受过勒索病毒攻击，全网总攻击次数高达2 234 万次[2-3]。在攻击目标方面，勒索病毒也从早期的随机选择升级为针对政府、金融、医疗等关键信息基础设施的定点勒索，严重威胁国家安全、经济发展乃至社会稳定。

勒索病毒难以根除的主要原因：一方面勒索病毒传播方式多样，传统网络安全防护技术无法完全覆盖；另一方面安全存储技术体系要求不够完善，数据存储层勒索防护措施应用不足。随着整体数据规模持续增长，制定防勒索标准，建立覆盖网络、存储的全方位的技术防范标准体系是解决勒索病毒威胁的必要途径。本文将以勒索病毒的攻击特征和流程为基础，介绍与之对应的网络安全防护架构，并针对存储安全技术和架构进行论述。

1 勒索病毒攻防介绍

1.1 勒索病毒攻击手段

勒索病毒攻击手段多样，常见的勒索病毒传播方式包括邮件传播、木马传播、系统漏洞、介质传播(如违规U盘使用)、远程桌面协议(Remote Desktop Protocol，RDP)暴力破解攻击等，近两年出现的勒索病毒通过供应链攻击方式进一步提升防护难度。2021年7月，攻击者利用美国软件公司Kaseya的产品进行病毒传播，造成该公司800 ～ 1 500 个企业用户被勒索，赎金要求高达7 000 万美元[4]。与此同时，勒索病毒的攻击可以由网络技术、供应链乃至个人用户实施，传统防火墙、沙箱等网络层安全防护技术无法完全覆盖。

1.2 勒索病毒攻击流程

目前，已知的勒索病毒种类有上百种，攻击流程分为几个阶段：侦查探测→攻击植入→分析感染→扫描备份→文件加密→用户通知→赎金支付(见图1)。

勒索病毒在前三个阶段，主要通过漏洞利用、RDP爆破等方式对目标进行探测直至感染文件，网络安全人员在此期间需要通过静态文件分析、勒索黑名单、文件引诱、监事异常活动等方式进行处置。从第四个阶段开始，病毒会对包括备份系统在内的所有系统进行横向扫描，待确定目标后，从第四个阶段开始进行加密、修改后缀名、删除原始文件以及生成勒索信息等操作。对于攻击者而言，要实现成功拿到赎金，每个阶段操作都必不可少。而对于从事安全的专业人员而言，则需要在前三个阶段发现病毒，一旦勒索病毒跨越了前三个阶段，则需要利用安全备份策略和安全存储相关技术对病毒进行处置。

1.3 勒索病毒加密机理

勒索病毒加密基本步骤为用一个或者多个对称算法加密被攻击者的文件，然后再用非对称算法对密钥进行加密。对称密钥通常在被攻击者的系统上随机生成，非对称密钥可以是本地编码，或者从攻击者控制服务器获取。不同的勒索病毒使用的算法也有所差异，有的病毒使用非对称加密(如WannaCry病毒)，有的使用椭圆曲线加密(如CTB Locker)，无论哪种加密方式，均难以被破解。与此同时，勒索病毒加密速度也对数据安全造成威胁，如LockBit 变体每分钟可加密25 000 个文件[5]，对安全人员的响应和处置速度造成巨大威胁。

2 安全存储技术应对策略

勒索病毒风险主要集中在四个方面：一是文件加密，目前勒索病毒密钥普遍是2 048 bit，一旦文件被加密破解的可能性几乎为零；二是数据泄露，当用户拒绝支付赎金，攻击者会将数据公开；三是横向传播，当病毒进入生产系统之后，会进行横向扫描，造成近端以及远程备份中心的文件感染；四是副本污染，当病毒感染源文件之后，备份文件也会携带病毒。

要解决上述问题，需要安全存储技术实现三个功能，分别为“文件不能篡改”“病毒不能传播”“内容不能破解”。对于存储环境应具备四种技术：首先，通过AIR GAP技术降低勒索病毒攻击面，使其无法扫描、传输到远端系统；其次，通过一写多读(Write Once Read Many，WORM)/安全快照技术实现文件在设定时间内无法被加密；再次，通过存储加密技术保证数据在被盗取之后也无法读出内容；最后，通过存储侧勒索检测提高病毒检出率和检测范围。图2为安全存储技术架构示意图。

2.1 通过AIR GAP实现数据的传输管理

保障数据安全最有效的方式是物理隔离，这种方式让攻击者不可能访问数据，但会降低机构对于数据的使用效率；在生产系统和备份系统之间需要依靠AIR GAP技术平衡效率与安全。AIR GAP可以自动化、周期性地从生产侧传输数据至备份系统或者隔离区，非复制期间链路断开，副本处于“离线状态”，这种方式通过备份时间与病毒扫描时间差降低某些进入系统后横向扫描勒索病毒感染概率。AIR GAP技术可以通过硬件或者软件实现，硬件方式可以避免传输软件被攻击后造成的风险。对于某些能绕过安全系统且潜伏期较长的病毒，AIR GAP还需要与安全快照或者WORM配合使用。

2.2 通过WORM与安全快照实现文件防篡改

备份侧存储应采用WORM技术，确保写入的数据保持在只读状态，这种方式同时可以满足数据保存与安全性的要求。WORM文件系统可以分为法规遵从模式(Regulatory Compliance WORM，WORM-C)和企业遵从模式(Enterprise WORM，WORM-E)，WORM-C主要用于法律合规，如金融服务行业，WORM 存储可以提供一个安全和准确的记录系统，避免交易记录被篡改；WORM-E则由机构负责权限设置，可以设置某些关键记录不能被篡改，进而避免勒索病毒加密。用户可以根据自身业务场景选择不同的WORM遵从方式。在备份策略方面，WORM备份解决方案需要采用版本控制系统，即每个备份都应该创建一个新版本，而不是增量地添加已存在的更改，可以称之为安全快照，并且可设置保护周期，保护期内快照不可删除，数据不可修改，避免一些长期潜伏的病毒进入WORM系统。

2.3 通过端到端加密技术避免数据泄露

数据在存储过程中需要在存储侧进行加密，用以保证数据在被盗之后内容无法被读出。勒索攻击手段从单纯的“赎金换密钥”演变成“不支付赎金就会公开数据”的双重勒索。通过端到端的存储加密可以保障数据即使泄露也无法读懂内容。除存储加密以外，还要有控制器加密用于保障存储安全。控制器加密需要支持AES256和SM4两种加密算法，针对每一块硬盘进行加密，生成一个密钥；控制器的密钥管理需要支持生成、加密、保存、导入、导出、自动备份；与此同时，对于外置密管服务器可采用KMIP+TLS标准协议传输。通过链路加密和控制器加密，确保即使数据泄露也无法被公开。相比于主机侧加密，存储加密的安全性和完整性更高且性能影响更低。

2.4 备份勒索病毒监测

勒索病毒攻击无法绝对避免，勒索病毒本身或被加密攻击后的生产数据都可能被传输到备份系统，在副本利用或进行数据恢复时会造成二次破坏。因此，需要对生产和备份副本进行勒索检测，确保副本“纯净”。常用的解决方式包括：一是对比前后两次备份副本的元数据，计算特征值，包括文件变化数量(增/删/改)、可疑后缀文件数；二是根据历史数据j建立基线模型，判断副本元数据变化特征值是否有异常；三是对于异常副本，对比前后两次备份副本数据，计算文件的大小变化、熵值、相似度等；四是使用人工智能模型判断文件变化是否属于勒索加密导致，并进行勒索加密标记。

3 勒索病毒防护体系

勒索病毒防护分为网络层防护、生产环境防护以及备份环境防护(见图3)。安全存储技术需要应用在生产环境防护和备份环境防护中。从病毒进入扫描备份阶段开始，基于防火墙IPS、入侵检测系统IDS、沙箱等传统网络安全防护手段效用明显降低，需要制定存储策略并利用相应的安全技术进行数据存储。

生产环境防护方面：在勒索之前，存储需要连接常见的勒索文件后缀，对接杀毒软件进行病毒扫描；在勒索过程中，需要在线监测勒索软件攻击行为特征，如加密等；在勒索后，需要对于网络附属存储(Network Attached Storage，NAS)快照副本进行熵比对识别文件损坏特征；在恢复阶段，需要利用存储区域网络(Storage Area Network，SAN)、NAS安全快照防篡改，用干净的快照副本进行恢复。

备份环境防护方面：在防病毒扫描、勒索后缀识别的基础之上还需要安全快照、备份副本WORM等技术防止数据被篡改；在恢复阶段，则需要AIR GAP复制、勒索离线检测、副本隔离保护，并分析备份副本是否受勒索攻击。针对不同的存储架构，应用的安全存储技术也存在差异，具体如下。

3.1 SAN架构勒索病毒防护

SAN一般需要四种存储技术支持：一是安全快照，安全快照时间可以针对位置不同进行设置，如生产区可以设置为30 min进行一次快照，保存2天，而隔离区可以设置为每天快照一次保存一周；二是在存储服务器需应用加密技术，存储加密在服务器端完成，同时降低生产端的算力消耗；三是建立备份隔离区，隔离区与生产存储使用备份线路并可建立防火墙；四是使用AIR GAP技术降低病毒攻击概率(见图4)。

3.2 NAS架构勒索病毒防护

NAS网络多数技术与SAN类似，差异主要在检测、拦截和端到端加密技术。首先，数据在进入存储区之前，需要建立自身侦测算法进行病毒识别，阵列内置容器安装侦测分析引擎，基于算法分析用户行为和文件损坏特征，产生事件告警并提供客户端信息帮助溯源；其次，可以利用文件拦截技术对于常见的勒索病毒文件后缀名进行识别并锁定；最后，存储可以实现端到端加密，即控制器加密与传输链路加密(见图5)。

3.3 备份架构勒索病毒防护

备份架构需要不同的备份管理软件支持，如Veeam、NetBackup等，在备份过程中，文件格式会发生变换，不同的管理软件功能也有所差异，因此需要备份防勒索和备份管理软件配合使用。备份侧勒索病毒防护主要依赖安全快照和WORM，其中WORM有AUTO LOCK功能，可以设置写入时间，如当数据写入3 h后无新数据写入，设置文件不可更改时间，所设置的时间应与数据有效期一致。对于不支持WORM的备份软件，可以用安全快照方式进行对接，通过隔离区进行恢复验证(见图6)。

4 对策及建议

4.1 建立勒索病毒防护标准体系，提升整体勒索病毒防护落地能力

2022年2月，美国国家标准技术研究院发布《基于NIST网络安全框架爱的勒索软件风险管理内部报告》[6]，对2020年以来勒索攻击事件从技术和管理层面作出整体指导，该报告从识别、保护、检测、响应、恢复五个方面作出具体要求。我国网络安全相关法律、法规逐步完善，而对于勒索病毒的防范主要集中在方向层面。如《勒索软件防范指南》[7]，从分类分级、密码设置等方面作出指导，提出“要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，防止勒索软件横移对备份数据进行加密”的方向性要求，但在实施层面没有实施标准。因此，我国需要建立一套完善的勒索病毒防范标准，提升整体勒索病毒实操防护能力，使其成为等保、防范指南的有效补充。

4.2 加大存储侧勒索防护技术要求，建立网络层与存储层协同防护体系

单一解决方案都无法完全避免数据被勒索，而存储是勒索病毒防护的最后一道防线。对于系统而言，需要结合各种数据保护技术、工具，以抵御不同威胁风险，完整恢复数据：一是在访问数据的客户端需要做好基础防护，如杀毒软件安装、系统及时更新；二是NAS架构需要集成防病毒软件能力；三是本地备份需要有安全快照功能；四是在安全功能基础之后可加入WORM技术，增加对于数据及安全快照的双重保护；五是系统管理员首先确定面临勒索软件暴露风险的数据源如文件共享，制定符合备份规则的策略，然后根据数据重要程度和数据恢复过程，创建或调整数据恢复点目标(Recovery Point Objective，RPO)，以确保定期备份这些数据。

4.3 加强关键信息基础设施保护，基于“3-2-1-1”原则建立存储备份

关键信息基础设施需要按照“3-2-1-1”原则建立备份体系。“3-2-1”法则指数据保留3 份，备份在2 个不同备份介质中，同时还有至少1 个异地容灾数据中心。对于某些病毒成功绕过安全系统的攻击者可以耐心等待数天甚至数月，直到渗透的恶意软件破坏所有备份的情况，在“3-2-1”原则之上还要增加一项AIR GAP技术，通过设定隔离备份策略复制服务等级协议(Service Level Agreement，SLA)，实现自动化、周期性地从生产/备份存储将副本复制到隔离环境保存，以此降低病毒传播概率。

5 结束语

存储侧勒索病毒防护技术与网络层防护技术的融合可以极大地降低勒索病毒攻击概率，但这并不意味着可以根除勒索病毒，对于新型勒索病毒的防御仍然存在一定难度。要实现勒索病毒防护的最优化，需要从管理制度、安全策略和技术支持三方面同时开展。管理制度方面，需要建立一套完整的方勒索病毒标准体系，对现有的等保、勒索病毒防护指南进行补充，提升机构勒索病毒防护能力；安全策略方面，企业应该建立安全的数据容灾、备份体系，尤其对于重要数据、核心数据，进行多层次保护；技术支持方面，加大安全存储技术的应用力度，建立从上层应用到底层存储的全方位勒索病毒技术防范体系。