有互联网的地方，就有勒索病毒。

据统计，在网络安全问题中，勒索病毒排名第三。企业每11秒就要遭受一次勒索软件攻击，全球大约37%组织受到过勒索病毒攻击。Gartner预测，到2025年，75%的企业将面临一次或多次的勒索攻击。

为什么勒索攻击如此猖獗？此情此景下，无论是个人用户，还是企业组织都需要更加有效的防御手段。那如何构建防御系统，有没有可能实现100%安全防护？

勒索攻击无孔不入，数据安全亮红灯

勒索病毒是人为制造的数据“灾难”。

一旦被攻击，平均业务恢复时间为16天。互联网的普遍应用，让勒索攻击可以在任何时间、任何地点发生，很容易传播。

常见的勒索病毒能够潜伏在垃圾邮件、网页广告、系统漏洞、远程桌面、U盘等，近几年借助捆绑、软件供应链传播也时有发生。

比如，2021年，美国燃油管道运营商Colonial Pipeline遭遇勒索软件攻击，管道业务全部瘫痪，被迫支付440万美元赎金；2022年，丰田多家供应链受到攻击，1.4TB数据泄露，产能削减50万辆。

如今，勒索攻击成本和门槛的下降，改变了单纯索要赎金的模式。

危害等级更高，先窃密、后勒索、再曝光，直接导致经济、数据泄漏双重损失；盈利性更强，通过订阅、定制等方式售卖，能够让任何人成为“攻击者”；目标更明确，瞄准政企组织的关键基础设施与高价值信息资产。

但因为病毒的高隐蔽性、高潜伏性、变种多，防御系统很难做到100%拦截。且聪明的病毒往往会“放长线，钓大鱼”，潜伏数月甚至更长时间，造成的数据损失和恶劣影响无法预计。

企业组织迫切需要更强大的安全屏障，抵御各种入侵、勒索威胁。

加固防御大坝，重点在最后一道防线

抵御勒索攻击的第一步，是摸清楚它的作案手法。

随着勒索产业化形成，广撒网、误打误撞的手法已经比较少见，针对掌握大量数据的大型企业、组织机构，“量身定制”攻击策略、精准狙击的趋势愈发明显。受攻击企业被入侵后，核心数据将会直面风险，具体变现为：

一是勒索攻击后，普遍会加密文件数据，且基本不可能破解；二是无论是否支付赎金，数据都有可能被读取、泄露；三是勒索病毒入侵后，极容易传播，造成更大规模数据感染；四是源文件感染后，备份数据同样会感染。

面对勒索攻击，普通的防御到底有没有作用？该如何进一步升级防御力？

提到防御系统，首先会想到防火墙、杀毒软件，以及各种系统安全补丁。根据诺斯罗普·格鲁曼纵深防御的5层防线模型，这些日常的防护手段足够覆盖前4层防线，也就是网络边界安全防护、网络安全防护代表的网络层，主机安全防护、应用安全防护代表的主机层。

这两大层面是传统安全防御的重心，一般能够防止勒索软件入侵、阻断勒索软件扩散，但仅限于已知攻击或普通攻击。如果遇到隐蔽性、伪装性更高明的勒索攻击，病毒一旦进入网络或主机层潜伏，锁定关键数据并发起勒索，后果不堪设想。

这时候，作为核心数据的最后一道防线，数据安全防护至关重要。

数据的最终载体是存储，也就是说，安全存储技术体系变强，能从根本上保障数据安全。

四大关键防护，守好数据主阵地

依靠存储防勒索，目前业内已经达成共识，先决条件是保障数据的不可篡改性、可恢复性。

这就涉及到对生产区和隔离区的双重改造。比如，对于生产区来说，主动防御勒索要具备怎样的关键能力？对隔离区来讲，假设数据被污染，怎么保证数据的最后“一块净土”？

现阶段，市面上阻止勒索攻击的手段有很多，比如，黑名单拦截、基于勒索软件的异常IO进行检测，通过防篡改技术保护数据以及利用加密技术防止数据泄漏等等。

整体防御路径集中表现为事前防御、事中阻挡、事后恢复，落到技术层面可以分为：

早期的检测和分析，根据容量变化、重复数据删除趋势等，再加入机器学习技术，侦查数据损坏情况，减少损失。这中间，服务商要从实际考量，如何部署能够更早发现病毒并效率最大化等。

安全快照，在传统快照的基础上预设一个保护期，这段时间内，安全快照不能被修改和删除，支持LUN级快照。方便数据的回滚，能够让企业快捷恢复数据，减少损失。

备份存储，建立可靠的安全副本数据，对备份存储进行检测、分析、安全快照等，实现快速备份、恢复。相当于在一个备份存储内保留多个安全副本，考验的是备份数据的存储效率。最典型的比如华为，研发了多个去重、压缩的算法专利，提高数据缩减率，降低用户TCO成本。

Air Gap气隙复制，保护备份数据始终离线，对勒索病毒不可见。业内主要有两种隔离实现模式，一是通过断开物理链路禁用数据复制链路的“物理隔离”；二是通过协议阻断的数据复制链路的“逻辑隔离”。

总体来说，存储层防勒索的整体防御方向一致，不同服务商对于技术细节的探索、落地实施各有侧重。

多维防御，高效响应数据安全需求

业内存储防勒索实践诸多，服务商的技术能力各有千秋，也存在明显不足。

比如，注重预测和分析，是强化监测病毒的速度、准确率等，依旧不可能做到100%拦截。再比如，重视攻击后的防篡改、恢复，虽然最大程度保留了数据，但攻击造成的停机损失、数据泄漏等，对用户业务仍是严重打击。

对企业组织而言，全周期的防御安全是持续性刚需。在整个赛道，用户要看的不是单项能力，而是服务商整体实践的“短板”。

那什么样的防护体系能让企业“高枕无忧”？笔者认为有两个关键点，一是构建多层防护体系。在攻击手段越来越“高明”的今天，一两道防护层根本抵挡不住。二是拥有最新防护技术与手段。勒索手段不断“升级”，防护手段必须要比勒索手段“先进”好几步。

综合考虑上述两个关键点，华为存储防勒索解决方案无论从已有的防护体系，还是安全理念来看，都是一个优选项。

防护层级上，华为发布业界首个基于“网络存储联动”的多层勒索攻击防护技术（MRP）构建从主存到备份的高安全防护体系，在主存防勒索能力外，加一层保险。并通过存储加密、Air Gap、安全快照/WORM等关键技术，实现数据安全检测、数据防篡改、数据安全恢复等。

像是华为OceanProtect专用备份存储，全方位的防勒索能力一应俱全，确保始终有一份“干净”数据用于恢复。且恢复速度高达172TB/小时，是业界标准的5倍，帮企业降低损失。

在技术层面，也有各项“硬功夫”。比如，基于机器学习的勒索识别率达到99.9%的专利算法、秒级恢复的安全快照等。

最重要的是，华为存储已经具备了全球化视野。华为存储防勒索解决方案已经在中国、南非、亚太、东北欧、西欧、中东等地区实践，覆盖能源、金融、交通、制造、政府等行业。既有方法和技术实力，又有实践成功案例，让华为成为存储防勒索的一杆大旗。

站在数字经济新时代，有数据就有存储，存储防勒索已经成为企业安全的重要课题。当然，面对各种棘手的防勒索难题，也不必太焦灼，只要方法得当、选择正确，可以构建出全面的防护体系。而且以华为为代表的头部服务商，也在通过技术投入、“网络+存储”多层防护等提升防勒索能力，为企业安全保驾护航。