當我們“防患于未然”，到底能省多少事兒

我們所處的時代充斥著無情的網(wǎng)絡(luò)威脅。為了保護寶貴的數(shù)據(jù)資產(chǎn)，企業(yè)不斷探索強大、智能的解決方案，以應(yīng)對不斷演化的復(fù)雜形勢。專注數(shù)據(jù)領(lǐng)域近30年，Commvault為現(xiàn)代世界打造數(shù)據(jù)保護，以單個統(tǒng)一平臺確保數(shù)據(jù)的安全、防御和恢復(fù)。Commvault不斷對該平臺進行創(chuàng)新，提升自身保護能力以適應(yīng)外部環(huán)境。在最近的更新中，Commvault推出了Threat Scan功能，采用AI和機器學(xué)習(xí)方法幫助企業(yè)發(fā)現(xiàn)惡意軟件和被感染的數(shù)據(jù)，協(xié)助企業(yè)應(yīng)對勒索軟件事件。

早期可疑活動檢測：利用AI進行主動防御

高效網(wǎng)絡(luò)安全的實現(xiàn)需要企業(yè)及時發(fā)現(xiàn)潛在的勒索軟件漏洞。越早發(fā)現(xiàn)勒索軟件漏洞的跡象，就有越多時間做好應(yīng)對準備。

勒索軟件攻擊者通常以數(shù)據(jù)保護平臺為目標，試圖破壞訪問密鑰或刪除重要的備份副本，從而阻礙未來的恢復(fù)工作。Commvault采用先進的AI和機器學(xué)習(xí)技術(shù)來應(yīng)對這一挑戰(zhàn)，其系統(tǒng)一絲不茍地監(jiān)控備份環(huán)境中的事件，并利用AI算法分析事件時間線。

在發(fā)現(xiàn)諸如異常登錄活動、登錄嘗試失敗和非典型數(shù)據(jù)刪除請求等異常情況上，該系統(tǒng)的表現(xiàn)非常出色，其中，對數(shù)據(jù)的智能時間序列分析發(fā)揮著核心作用。企業(yè)可以使用Commvault平臺監(jiān)控一段時間內(nèi)的事件，并對該時間序列的數(shù)據(jù)應(yīng)用機器學(xué)習(xí)方法，識別趨勢和規(guī)律，從而標記出偏離既定模式的數(shù)據(jù)點，提示潛在的勒索軟件活動。這樣就形成了一個由機器學(xué)習(xí)驅(qū)動的警戒機制，它可以區(qū)分常規(guī)活動和非正?；顒?，為主動防御勒索軟件提供了預(yù)警系統(tǒng)。

發(fā)現(xiàn)惡意軟件：備份中AI驅(qū)動的惡意軟件檢測

當勒索軟件滲透到系統(tǒng)防御中時，惡意軟件也非常有可能滲透到備份中。如果不在啟動數(shù)據(jù)恢復(fù)之前識別并清除備份中的惡意軟件，就會面臨恢復(fù)后再次感染的風(fēng)險。傳統(tǒng)的惡意軟件檢測工具在生產(chǎn)工作負載上運行，無法接觸到備份副本。因此，數(shù)據(jù)保護軟件需要嵌入惡意軟件檢測功能，以便在數(shù)據(jù)恢復(fù)時帶回安全和經(jīng)過消毒的數(shù)據(jù)。

Commvault利用先進的威脅檢測引擎對數(shù)據(jù)進行更深入的檢查，以檢測惡意軟件。企業(yè)可以使用Commvault平臺對備份執(zhí)行定期掃描、抽查，以查找惡意軟件的蛛絲馬跡。這些掃描同時檢查文件數(shù)據(jù)和元數(shù)據(jù)，對數(shù)百個特征進行分析，并將其輸入智能引擎來搜索惡意軟件的蹤跡。該惡意軟件檢測引擎由AI支持，并且會不斷更新最新的威脅情報，確保使用最新的惡意軟件定義進行檢測。

值得一提的是，這種分析是在隔離的安全環(huán)境中進行的，不會影響生產(chǎn)工作負載。因此這種方法主動、安全，既能掃描惡意軟件，又不會帶來額外風(fēng)險。

數(shù)據(jù)恢復(fù)的藝術(shù)：AI加強的被感染數(shù)據(jù)檢測

在仔細地將惡意軟件從備份副本中刪除后，我們的關(guān)注重點就轉(zhuǎn)移到了錯綜復(fù)雜的數(shù)據(jù)恢復(fù)過程。該過程的核心是識別受到勒索軟件影響的數(shù)據(jù)。這是一項技術(shù)性很強的任務(wù)，需要一定的精確性，才能順利地在恢復(fù)過程中確保數(shù)據(jù)的完整性。

為了實現(xiàn)這一目標，Commvault采用的方法結(jié)合了AI和機器學(xué)習(xí)的先進技術(shù)。Commvault平臺以文件異常檢測作為主要過濾器來啟動該流程，力求識別文件數(shù)據(jù)何時發(fā)生重大和潛在的惡意更改。通過機器學(xué)習(xí)，平臺可以跟蹤宏觀指標，如文件更改、文件刪除和文件數(shù)據(jù)大小更改的數(shù)量。這種方法使Commvault的系統(tǒng)能夠區(qū)分常規(guī)數(shù)據(jù)行為和可疑活動，并大致確定此類活動的發(fā)生時間和持續(xù)時間。

為了對文件數(shù)據(jù)進行更深入的檢查，企業(yè)可以通過Commvault平臺轉(zhuǎn)向?qū)ξ募?shù)據(jù)進行微觀分析，檢查更細粒度的屬性，如文件MIME類型的不規(guī)則性、通過SimHash比較的文件簽名相似性，甚至文件中的內(nèi)容，以確定文件是否被勒索軟件修改過。無論是人工生成的還是機器生成的，大多數(shù)文件通常都會呈現(xiàn)出可預(yù)測的變化，但在被勒索軟件加密后，其內(nèi)容會發(fā)生不可預(yù)測的變化，從而導(dǎo)致熵（不相似性）增加。Commvault AI驅(qū)動的算法可以精準比較文件版本，衡量它們的相似性或“熵”。這讓Commvault可以精準定位被感染的文件。

綜合來看，Commvault平臺圍繞三個目標采取行動：識別威脅的早期跡象以在威脅爆發(fā)前采取行動、在備份中檢測惡意軟件以避免再次感染、區(qū)分備份中的被感染數(shù)據(jù)以推進大規(guī)模自動恢復(fù)干凈數(shù)據(jù)。隨著勒索軟件攻擊風(fēng)險的不斷升級，這種防患于未然的方法，可以幫助企業(yè)提高網(wǎng)絡(luò)彈性，有效應(yīng)對網(wǎng)絡(luò)威脅。此外，Commvault還在持續(xù)創(chuàng)新以滿足客戶需求。11月9日，Commvault將舉辦SHIFT全球網(wǎng)絡(luò)發(fā)布會，帶來Commvault首款真正的云數(shù)據(jù)安全平臺。