以下是现场速记。
戴尔科技集团 数据保护部门首席架构师 刘庆宇
刘庆宇:大家好,我是戴尔科技的刘庆宇。刚才蔡总给我们做了非常震撼的演讲,我们可以看到我们的水利部在数字化转型所支撑的智慧防汛的体系下,当我们面对1998年以来最大的汛情,我们将灾害降低到最小,将死亡人数也大幅降低了90%。
提起数字化转型,戴尔科技作为目前世界上最大的数据中心的解决方案供应商,我们提供了从服务器到存储,从虚拟化到私有云到公有云,从iaas到paas的解决方案,在这里今天我不想分享我们的解决方案,我想讲的是非常重要的但往往又被我们企业所忽视的一个挑战。
2020年最大的事件就是新冠病毒,围绕新冠病毒各个新闻媒体进行了各个角度的报道。首先有的媒体说新冠病毒是一个黑天鹅事件,也有的媒体说新冠病毒是个灰犀牛事件。
我们看什么是黑天鹅?黑天鹅来自于古罗马的讽刺诗人朱文纳尔,最早引用黑天鹅概念说明在金融交易体系里这种小概率的事件是无法预测和预防的,但同时可以利用它赚钱。在2001年9.11事件前,2008年次贷危机之前坐空了美股,获得了巨大的利益。他提出的黑天鹅是说虽然不能预测,但是可以利用它获利。
灰犀牛是由米歇尔渥克女士提出。她的灰犀牛理论是灰犀牛非常庞大,一旦启动势不可挡。但是灰犀牛是可以预见的,也就是说我们在面对灰犀牛事件的时候,我们是可以有行动的。
2016年TED演讲上比尔盖茨预测到将有一款病毒会流行全球,他是基于历史的种种的病毒的爆发来做的这个预测。他希望各国政府,包括联合国能够做好防御对策。
这位女士是武汉病毒研究所实证例研究员,她在2017年到2018年连续发表多篇论文,主要是围绕她对非典等溯源过程,她提到冠状病毒一定会以某种程度卷土而来。不幸的时候,她刚提完2020年初在武汉发现了新冠病毒。
通过以上两个演讲和论文我们就知道,新冠病毒对我们来说并不是一个黑天鹅事件,它是有很多的迹象来表征的,但是因为我们不知道它何时发生,所以各国政府都没有做好准备。
除了去年我们在现实世界里,这个对我们身体对社会造成巨大危害的新冠病毒以外。在座的各位CIO更关心的是我们在虚拟世界,在数字化领域的病毒那就是勒索病毒。
首先来回顾一下勒索病毒近五年的发展历程:
2015年最有名的勒索病毒叫特斯拉,它攻击的是游戏,它会锁死游戏玩家的装备、道具,然后发起勒索。
2015年还有一个病毒是Chimera这个病毒并不是很著名,但它开启了一个模式叫勒索即服务。什么叫勒索即服务?也就是说病毒或者黑客攻击的制作者并不发起攻击,而是交由我的各级代理商你们发起攻击,一旦获得赎金分成,这就叫勒索即服务。
2016年勒索病毒增长了60倍,赎金增加到10亿美元,57%的被攻击者是个人系统。勒索病毒技术发展特别快从linux到苹果系统,商业模式也是有了变本加厉,如果你不支付赎金隔天翻倍,或者每60分钟删除一个文件夹。
2017年我相信在座的各位CIO都印象深刻,2017年5月12日全球74个国家数千万电脑遭到了勒索病毒攻击,在中国中石油两万多个加油站停止了加油服务,我们高校是重灾区,论文不可以读取、调阅,食堂饭卡停用。这不是黑天鹅事件,2016年影子经纪人组织在网上搞众筹,一旦筹到1万个比特币我就把我开发出来的勒索工具公布在网上供大家下载,两次众筹他都失败了,2017年4月他再度在社交媒体发布说“我公布美国国家级安全系统,我拿到美国国家级内部软件工具,我发布到网上”,这其中有一个工具他可以攻破70%的windows系统,这就是著名的永恒之来。进入到2018年永恒之来继续发展,台积电损失11亿。
2018年GandGrab勒索家族首次出现,2019年他声明说收手勒索,收回所有密钥,因为他一年多时间赚了20多亿赎金,人均创收1.5亿美元。同时在CyberEdge统计2019年45%的被勒索者支付了赎金,比去年39%有一个大幅提高,到2020年这个数字已经达到了58%,也就是说更多的勒索者选择支付赎金。
2020年新冠肆虐的情况下,我们可以看到更多的大企业本田、佳能、富士康等著名大企业都被勒索病毒定点攻击。同时有很多的勒索病毒巨头组织活跃在黑色的市场上。
通过以上五年回顾,我相信在座CIO和我一样都可以得到一个结论,也就勒索病毒是灰犀牛,它正在赶来的路上。通过这直观的分析,我们对勒索病毒有个了解。
接下来看一组统计数据:
比特币在2016年均价是700美元,到了去年的四季度它的均价是2万美元,大家知道现在更高,我说的是均价。当然了它在四年时间里涨了28倍,这是非常好的投资。我知道咱们在座的央企里面有一位员工通过炒比特币,刚刚辞职他赚了3个亿。
但是比他更夸张的还有COVEWARE发布了权威的调查报告,我们可以看到深蓝色的部分是平均的赎金的金额,金额最高达到了将近25万美元,这是平均赎金。浅蓝色的是赎金的中位数,也就是大部分的被勒索者所支付的赎金的数量是在5万美元左右。根据这个统计数字,可以看到2016年勒索病毒的赎金平均的金额是一个比特币,基本是700美元左右。如果参照这个数据,达到15万美元,这个增幅是220倍。
有的人会说他的数据会不会不准?我们再看到著名的防火墙企业Palo Alto给到的是30万美元的结论。
Median Size报告显示受害者企业中位员工数,这是什么意思?看企业的规模,2016年57%的被勒索者是个人客户,但现在这个中位数落在了将近250人。250人对于企业来说就是中大型的企业。所以看到这个曲线是非常陡峭的,也就是说勒索者把目标越来越集中于中大型企业,而勒索也正从原来的漫无目的通过漏洞自然扩散的方式变成定点攻击。
插一个题外话:很多中小企业只要把数据备上来,按需付款按流量或者按保存数据量付款。非常可惜的是,至今这个模式也没有被市场认可。我们可以看到2015年开始勒索即服务的模式已经广泛的被现在的勒索者所运用。由此可见,这个黑色产业里面蕴藏着巨大的利润空间。
数字化转型,我们企业我们水利部为什么要做数字化转型?那是因为我们业务要求,我们水利部要降低灾害,降低死亡率,所以我们要做数字化转型来做我们的智慧防汛。正是因为我们应用的升级,应用需求的迭代,它才催生了我们数字化转型,反过来数字化转型又拉动了技术的进步。
我们现在有分布式的,有云的,有混合云的等等AI大技术的进步。技术的进步同时推动了我们需求的提升。针对勒索病毒这个应用或者这个黑色产业来说,它的发展无亿是所有产业里最快的。这些黑客一定会更积极的拥抱和利用高科技手段、高科技技术,甚至说他们会创造更多的黑科技。
在面对这么强大的对手的情况下,我们该如何去做?这里我再引用米歇尔的一句话,如果你想避免出现黑天鹅事件,那你一定要处理好灰犀牛事件。
首先我们企业会找到安全公司,我们国内有很多顶尖安全公司他们有非常好的技术。安全公司会利用它的技术、它的产品为我们的IT架构搭建一套安全体系,同时会制定一套内部的安全流程。除此之外,安全公司还会给我们很多建议。在这里我收集了国内安全公司的建议,大家可以看到数据备份都赫然在列,也就是说数据备份已经成为安全策略里面最不可或缺的一块。
这是国家互联网安全中心的建议,他要求我们把数据经常备份到不同的介质当中。我已经搭建了安全体系,有了安全流程,也有了备份,是不是就可以高枕无忧了?我们继续往下看。
美国顶尖的安全公司FIRE EYE是为美国政府服务的,帮助政府评估它的安全等级,发现漏洞帮政府提安全建议。它在去年同样被攻击,在FIRE EYE里有红队和蓝队,红队是攻击队定期对美国政府安全网站进行压力测试,正是红队经常用的工具在这次攻击里面被窃取了。刚才我提到永恒之来,那是美国国家安全局工具被外泄了,这个工具会不会造成当年的永恒之来攻击?这里可以看到即使顶尖的安全公司都不能保证自己百分之百的安全,所以我们现在构建的安全体系虽然能够起到非常大的作用,但它不能保证百分之百的安全。
刚才我们提到所有的安全公司包括国家互联网应急中心给我们的建议是要定期做备份,备份非常重要。对于勒索者来说,他要想拿到赎金,备份这套系统就变成它绕不过去的一道坎,他必须干掉备份系统才能拿到赎金。
首先我们看备份系统如何运作?这是典型的企业生产环境,这里有本地数据中心、公有云、乌力吉、混合云等等。我们的核心数据首先要传到备份服务器的系统上面,备份服务器把它变成备份的格式,备到后面的备份介质里。我们现在都做容灾,有异地容灾,这也是9.11之后要求异地容灾。
备份介质可以把备份进来的数据,通过广域网也好通过专线也好复制到异地,在这里大家可以看到我的备份服务器和我的生产系统在一起,它也是生产系统的一部分,所以它的安全保障不可能超过我的生产系统。
黑客既然能够绕过我的安全体系进来,他首先要找到的就是备份服务器。他找到备份服务器
以后会在上面驻留下来。每天把我们的备份数据进行勒索加密,同时勒索加密后的数据传到异地。我们曾经接过一个紧急情况到用户现场,这个用户就是北京的用户。我们发现他是备到磁带里,他备到磁带里30天的数据都是被加密的,也就是说他30天的数据都没法恢复,他丢了30天数据,他通过各种手段找回来,他的业务也是被锁死的,损失非常大。黑客把备份系统干掉以后,他敢肆无忌惮的去加密你的生产系统向你索要赎金。
去年7月,大家都知道嘉铭手表是运动手表里最高端的手表,他可以记录海拔、你的心跳、路线等。去年7月,嘉铭手表用户发现他们的数据无法上传,因为嘉铭遭到了勒索病毒的攻击。除了运动手表,嘉铭还有一块重要的业务是民航导航系统,在西方的飞行员起飞之前,他需要通过嘉铭系统将这次飞行数据导入飞行中,大家可想而知这个勒索对它的侵害非常大。同时嘉铭系统全球所有的备份都被锁死,无法恢复。经过嘉铭评估,恢复系统需要几千万美元,需要几周时间,这对他来说是致命的损失,不可承受。所以他选择白手套公司,因为勒索他的勒索者是美国FBI定性为恐怖组织的黑客组织。作为嘉铭是美国管辖的公司他不能跟恐怖组织进行金融往来,所以他必须要通过白手套公司来完成这笔交易。在这里可以看到他的备份是被锁死的无法可用。
去年年底富士康在美国工厂被勒索,威胁人称已加密了约1200台服务器,并删除了20-30TB的备份,富士康也无法恢复。
既然安全体系无法保证100%的安全,我们的备份系统也会被勒索者所干掉,那我们应该怎么办?我也问过很多的CIO,说如果你的系统被勒索了,你怎么办?他说我先报警,网监,这是要求,然后保护现场。除此之外,我也没有任何办法。还有CIO说该做的都做了,我有安全,我有备份,但被攻进来我没办法,这不是我的责任。
为什么大家都选择上述的答案?因为还是米歇尔女士的话,人们不去做一件事情的原因就是他们觉得没有那么大的力量改变这个事物。也就是说我该做的都已经做了,我没有别的办法,这是一种心态,但事实率这样吗?真的没有什么可做的吗?
我们可以看到美国华尔街日报2017年的报道,我们的国家互联网应急中心很快就转载了该报道。他说的是美国的很多的大银行正在制定一个秘密计划来对抗世界末日,这个词比较夸张,新闻媒体经常会用比较夺眼球的词。什么叫世界末日?因为对于银行来说,他丢失了储户信息、信用卡信息,他会遭到很大存在,但并不致命。但如果他的业务,如果他的数据被锁死了,这是致命打击,他的储户无法取钱、转账,他的企业用户无法对外转账、收款,关键银行有很多同业交易,这些同业交易会中断。如果金融系统中断了,比制造业中断要大得多,它会引起社会问题。
所以美国银行界在2017年之前就开始制定这个计划,这个计划的名字就叫避风港计划。为什么叫避风港?它的寓意就是给银行数据安全可靠的地方。最早这个计划是A银行把加分数据加密以后放到B银行,密钥在第三方保管。一旦A银行遭到攻击通过密钥将B银行数据恢复过来。但后来避风港计划组织者发现勒索者会将备份数据也加密,这时怎么办?经过两年的压力测试和论证,在去年年初,戴尔EMC作为第一个也是到目前唯一的解决方案供应商得到了避风港计划的认证。
我们的方案究竟是什么?因为时间关系,我快速的给大家介绍一下。刚才大家可以看到,传统的生产模式、IT架构可以被勒索者入侵,包括干掉它的备份系统。但针对于病毒,最好的办法是什么?不管是现实的病毒还是数字领域的病毒,最好的办法就是隔离。但是我们这个隔离对于数据资产来说,它跟有形资产不一样,它每天在变化,每天在增加,每天在改变,如果我是单纯的隔离是不行的,如何让这些变化,新增的数据也能够被保护起来?
首先我们要建立一个隔离区叫Cyber Recovery,隔离区首先有它的大脑有它的AI系统,有它的恢复备份。流程是整个对抗勒索功能的保护,它的流程是怎么工作的?我们的大脑先打开一个Air Gap(隔离区与外界唯一相联的地方),它在平时处于断开的状态,它的开关也并不在外面在内部,根据我的策略它去打开这个开关。这个时候外面已经备好的企业核心数据通过硬件底层技术,它是脱离应用以提高它的安全保证性,快速将数据复制到隔离区。
断开Air Gap,它暴露的时间越短,它的安全指数更高。同时加锁数据,为什么加锁?因为有可能这个数据已经是不干净的了,加锁以后首先它不可以侵扰我以前的数据,以前的数据也是加锁的,但是单向锁。比如我拿到锁,你拿到我的权限不能解开,只能等它自然过期,任何人无法修改和删除它。光加锁不够,这时我们需要对它进行分析,因为我们无法保证它是否安全。隔离区AI服务器会进行分析它,它有两个维度,第一个维度跟以前数据进行比对,企业数据日改变量一般来说不会超过10%,经过比对如果超过阀值会告警,同时跟后面加密勒索库特征库比对,如果超过罚值依然认为它有可能是不干净的,这时我们会发起告警,告警是通过电话执行。通过告警以后,管理员会把这可疑的数据在我的沙箱里进行恢复。
每次我讲完这个以后,就有很多CIO会问我问题,我总结出来两种类型的问题:
第一种,你这个流程很简单,能不能对抗得了勒索病毒?太简单了。
第二种,你这个流程这么简单,我相信别人也可以做得到。因为今天时间关系,这里面牵涉很多底层技术不展开。
但是有两点分享给在座的各位CIO,复杂的、需要过多人工干预的,需要大量开发的这种流程往往是不可落地的,起不到应有效果的流程。而简单的流程往往会起效果,就像我们现在用的智能手机一样,以前我们买一个功能机会有这么厚一本说明书,现在我们买智能手机没有任何说明书就可以操作,这就叫简单的。
第二点看起来简单的东西,它的背后是有非常深厚的技术和验证去支撑的。
我们刚才这套解决方案在全球市场占有率从软件到硬件都是第一的尤其核心备份软硬件一体机占有率高达84.4%。
戴尔公司在全国有三大研发中心,上千人的研究人员,刚才我说的解决方案,这三大研发中心都做出了自己的贡献。
结尾我依然引用灰犀牛的作者米歇尔女士的应对灰犀牛的六个方法作为结尾:
我们不能忽视它要承认它的存在,要给它定性,我们要采取行动,不要浪费危机不要看到别人怎么样以后,我们熟视无睹。我们要站在顺风处。最后我们要成为发现灰犀牛,控制灰犀牛的人。
以上就是我今天给大家带来的分享,谢谢大家!
京公网安备 11010502049343号