当我们“防患于未然”,到底能省多少事儿
【慧聪通信网】我们所处的时代充斥着无情的网络威胁。为了保护宝贵的数据资产,企业不断探索强大、智能的解决方案,以应对不断演化的复杂形势。专注数据领域近30年,Commvault为现代世界打造数据保护,以单个统一平台确保数据的安全、防御和恢复。Commvault不断对该平台进行创新,提升自身保护能力以适应外部环境。在最近的更新中,Commvault推出了Threat Scan功能,采用AI和机器学习方法帮助企业发现恶意软件和被感染的数据,协助企业应对勒索软件事件。
早期可疑活动检测:利用AI进行主动防御
高效网络安全的实现需要企业及时发现潜在的勒索软件漏洞。越早发现勒索软件漏洞的迹象,就有越多时间做好应对准备。
勒索软件攻击者通常以数据保护平台为目标,试图破坏访问密钥或删除重要的备份副本,从而阻碍未来的恢复工作。Commvault采用先进的AI和机器学习技术来应对这一挑战,其系统一丝不苟地监控备份环境中的事件,并利用AI算法分析事件时间线。
在发现诸如异常登录活动、登录尝试失败和非典型数据删除请求等异常情况上,该系统的表现非常出色,其中,对数据的智能时间序列分析发挥着核心作用。企业可以使用Commvault平台监控一段时间内的事件,并对该时间序列的数据应用机器学习方法,识别趋势和规律,从而标记出偏离既定模式的数据点,提示潜在的勒索软件活动。这样就形成了一个由机器学习驱动的警戒机制,它可以区分常规活动和非正常活动,为主动防御勒索软件提供了预警系统。
发现恶意软件:备份中AI驱动的恶意软件检测
当勒索软件渗透到系统防御中时,恶意软件也非常有可能渗透到备份中。如果不在启动数据恢复之前识别并清除备份中的恶意软件,就会面临恢复后再次感染的风险。传统的恶意软件检测工具在生产工作负载上运行,无法接触到备份副本。因此,数据保护软件需要嵌入恶意软件检测功能,以便在数据恢复时带回安全和经过消毒的数据。
Commvault利用先进的威胁检测引擎对数据进行更深入的检查,以检测恶意软件。企业可以使用Commvault平台对备份执行定期扫描、抽查,以查找恶意软件的蛛丝马迹。这些扫描同时检查文件数据和元数据,对数百个特征进行分析,并将其输入智能引擎来搜索恶意软件的踪迹。该恶意软件检测引擎由AI支持,并且会不断更新最新的威胁情报,确保使用最新的恶意软件定义进行检测。
值得一提的是,这种分析是在隔离的安全环境中进行的,不会影响生产工作负载。因此这种方法主动、安全,既能扫描恶意软件,又不会带来额外风险。
数据恢复的艺术:AI加强的被感染数据检测
在仔细地将恶意软件从备份副本中删除后,我们的关注重点就转移到了错综复杂的数据恢复过程。该过程的核心是识别受到勒索软件影响的数据。这是一项技术性很强的任务,需要一定的精确性,才能顺利地在恢复过程中确保数据的完整性。
为了实现这一目标,Commvault采用的方法结合了AI和机器学习的先进技术。Commvault平台以文件异常检测作为主要过滤器来启动该流程,力求识别文件数据何时发生重大和潜在的恶意更改。通过机器学习,平台可以跟踪宏观指标,如文件更改、文件删除和文件数据大小更改的数量。这种方法使Commvault的系统能够区分常规数据行为和可疑活动,并大致确定此类活动的发生时间和持续时间。
为了对文件数据进行更深入的检查,企业可以通过Commvault平台转向对文件数据进行微观分析,检查更细粒度的属性,如文件MIME类型的不规则性、通过SimHash比较的文件签名相似性,甚至文件中的内容,以确定文件是否被勒索软件修改过。无论是人工生成的还是机器生成的,大多数文件通常都会呈现出可预测的变化,但在被勒索软件加密后,其内容会发生不可预测的变化,从而导致熵(不相似性)增加。Commvault AI驱动的算法可以精准比较文件版本,衡量它们的相似性或“熵”。这让Commvault可以精准定位被感染的文件。
综合来看,Commvault平台围绕三个目标采取行动:识别威胁的早期迹象以在威胁爆发前采取行动、在备份中检测恶意软件以避免再次感染、区分备份中的被感染数据以推进大规模自动恢复干净数据。随着勒索软件攻击风险的不断升级,这种防患于未然的方法,可以帮助企业提高网络弹性,有效应对网络威胁。此外,Commvault还在持续创新以满足客户需求。11月9日,Commvault将举办SHIFT全球网络发布会,带来Commvault首款真正的云数据安全平台。注册参会,敬请移步:https://discover.commvault.com/event-shift-launch-virtual-registration.html。