华为星河AI融合SASE解决方案如何防御勒索攻击

当前，AI技术蓬勃发展，智能化转型已成为企业发展的必由之路。各企业纷纷投身其中，在企业运营中不断创造出更多的数字资产。这些数字资产如同企业的“黄金宝藏”，已成为企业至关重要的生产要素。然而，一旦重要数据遭勒索加密，不仅会造成财产损失，更可能导致业务系统严重瘫痪，给企业带来难以估量的损失。

为提升企业对勒索攻击防护韧性，华为推出星河AI融合SASE解决方案。该方案集成自研勒索回滚技术，通过建立动态备份机制，即便遭遇勒索病毒加密，也能快速调取历史备份数据完成无损恢复，就像为企业的重要数据文件再上一份“保险”， 为企业数字资产筑牢安全防线。

勒索攻击成为头号网络威胁

近年来，随着AI技术与网络攻击的深度耦合，勒索攻击事件呈爆发式增长态势，勒索攻击事件频繁曝出，勒索赎金屡创新高。勒索攻击凭借高收益、易发发起的特点，已成为企业面临的头号网络威胁。

勒索加密速度快：

勒索病毒加密文件速度加快。LockBit可以在4分钟内加密10万个文件，平均每分钟2.5万文件。当检测出勒索事件的时候, 用户文件可能已遭受重大损失。

勒索攻击损失大：

黑客利用AI大模型，催生出了WormGPT、FraudGPT等一大批恶意AI工具（BadGPT），这使得勒索攻击的成本大幅降低，数量呈几何级数增长。2024年，全球因勒索软件攻击所遭受的损失高达420亿美元。平均每次勒索攻击会导致企业业务中断长达21天，直接经济损失达273万美元，给企业的正常运营带来沉重打击。

加密数据恢复难：

数据显示，只有4%的企业在缴纳赎金后，数据能够得到完整恢复。这意味着大多企业在遭遇勒索攻击后，只能眼睁睁地看着自己的数据被“绑架”，却无能为力。

如何防御勒索攻击已成为企业网络安全建设的核心关切问题。

华为独家勒索回滚技术，给文件上“保险”

为应对勒索攻击的挑战，华为从全新的视角出发，创新性地推出了“勒索回滚技术”，为企业的文件安全再上一份“保险”。这项技术的核心在于，即使数据被勒索病毒加密，也能通过提前备份的文件，帮助客户恢复数据，为客户对勒索防护提供“兜底”预案，提升企业面对勒索攻击对抗韧性。

我们来看下勒索回滚文件恢复流程。勒索病毒入侵系统后，会执行一系列“特殊操作”，如遍历系统文件、篡改系统配置文件、执行危险命令如vssadmin.exe等。华为HiSec Endpoint智能终端防护系统通过内核级监控，精准捕捉勒索病毒对文件实施的各类细粒度动作。一旦察觉异常进程对文件执行删除、加密等异常操作，便会即刻触发文件备份机制，在病毒实施加密前完成文件备份。与此同时，HiSec Endpoint会对勒索病毒展开查杀，待恶意病毒被清除后，通过提前备份的文件对机密文件进行恢复，实现无损回滚。

图1：勒索文件恢复流程图

华为事件触发式勒索回滚技术优势

华为克服高难度的内核态开发挑战，在内核层监控勒索病毒对文件的所有细粒度动作，并抽象到备份逻辑，融入驱动程序，实现勒索病毒监测和备份，相比业界有如下优势：

基于事件触发式备份，保障备份有效数据

华为勒索回滚技术采用事件触发备份进行备份。只有当重要文件被异常修改时，才会将该文件备份到保护区内。与业界普遍采用的全量备份方式相比，华为的事件触发备份方式占用的存储资源小；同时，全量备份可能会把已经被入侵、污染的数据备份进去，而华为的事件触发备份方式是在病毒文件加密前，进行备份，有效避免备份“问题”数据。

图2：备份方式对比

全面检测勒索病毒进程行为，保障恢复文件版本无差异

除全量备份外，业界不少厂商采用定时备份，除了容易备份已经被加密的文件，还容易导致周期间文件未备份而丢失。华为勒索回滚技术全面检测勒索病毒多进程加密行为，内置复杂精细化文件回滚顺序机制。当可疑进程修改文件时，HiSec Endpoint会暂停修改文件操作并实时备份，因此可将文件精准恢复至勒索加密前版本，实现无差异恢复。

图3：恢复文件版本对比

如上图，业界采用5分钟周期备份，若文件12:05被加密且备份后，仅能用12:00的文件恢复，导致恢复文件版本有差异；华为事件触发式备份可实时备份，将加密文件恢复至最新版本。

备份区文件被攻破，造成丢失

业界很多厂商采用Windows原生的VSS（Volume Shadow Copy Service，卷影复制服务）快照功能做数据备份恢复。但勒索软件常删除系统卷影副本，导致恢复失效。华为备份方案不依赖系统VSS，采用独立本地备份管理技术，备份文件位置可由用户指定，默认受内核态驱动保护，除HiSec Endpoint自身程序外，其他程序均无法读取修改，即便勒索软件破坏VSS卷影，用户仍能通过华为备份恢复文件。

图4：备份方式对比

在数字化转型的汹涌浪潮中，企业的数据安全是重中之重。华为勒索回滚技术的出现，无疑为企业的文件安全上了一份“保险”，让企业的数据资产得到了更加可靠、全面的保障。相信随着华为勒索回滚技术的不断推广和应用，将有越来越多的企业从中受益，在数字化转型的道路上走得更加稳健、更加安全。