【十佳案例】瑞数数据安全和反勒索在高精制造业的实践应用案例

优秀供应商：瑞数信息
公司官网：www.riversecurity.com

某企业的ERP系统为方便与合作伙伴协同工作，部署于两个想不同的数据中心，互为灾备，勒索软件通过SQL注入攻击某企业ERP系统，利用实时数据同步导致两数据中心同时失效。尽管有WAF防护，传统灾备系统仍无法抵御，企业仍花费3天时间才恢复数据。

传统的灾备系统已无法满足勒索软件攻击场景下的安全需求，对关键数据进行实时检测关键数据安全并进行应急响应，应对新型勒索软件的隐蔽性和传统灾备系统的不足，确保数据安全和业务连续性。

瑞数数据安全检测与应急响应系统（River DDR）以数据安全底座为支撑，提供创新的离线智能深度检测技术、智能快速恢复技术，通过动态隔离、安全存储、变动追溯、数据沙箱和快速恢复构筑的纵深防御体系，通过“事前数据风险管理+事中智能威胁感知+事后快速应急响应”三道防线，有效对抗勒索病毒攻击，协助企业在数分钟内恢复系统的正常运行。系统分三大功能层：数据安全管理底座、人工智能安全检测引擎、服务层。

1) 数据安全管理底座：主要实现对生产数据备份、备份数据的安全存放和管理、搭建安全检测环境的数据沙箱并为上层安全检查功能提供数据、快速恢复等能力。

• 永久增量数据获取功能：数据安全检测需要消耗大量的资源，因此不能直接在生产上进行检测，利用在离线数据检测的方式来检查生产是否被感染。同时为了减少对生产的影响，采用永久增量+增量合成的方式实现离线数据的获取。

• 安全存储功能：恢复数据应具备不可变特性，从而确保恢复数据不会被加密、修改。

• 变动追溯功能：在恢复数据内，识别出当日生产的增删改数据，减少安全检测的数据量，以减少检测的时间。

• 数据沙箱功能：为恢复数据提供沙箱功能，以确保已经被感染恢复数据不影响其他生产系统，并在得到清理后，才进行恢复。

• 快速恢复功能：无论数据量的大小，数据恢复时间都应该在分钟级，以确保被加密数据的恢复时间在业务可承受的范围之内。

2) 人工智能安全检测引擎：由于业务层面很多时候无法感知勒索已经发生，因此利用AI人工智能技术，能判断数据是否被勒索加密，并实现对每天恢复数据增量部分的深度检查。AI人工智能安全检测引擎将与数据安全管理底座进行联动，实现初次全量的健康检查、日常数据增量部分的深度检查、重点表的异动监控等等，并通过实时告警通知服务层。

3) 服务层：服务层面向实际场景的操作和使用，对应勒索攻击的事前、事中、事后提供具体使用功能：

• 事前服务：对全量离线数据进行安全扫描，以确保生产数据在当前状态的健康性。通过数据的分类分级，确定需要进行保护的数据，并通过策略设置安全检测的频率。

• 事中服务：根据策略，自动发起安全检测，日常检测基于每日获取的增量数据，缩短数据获取和安全检测的时间。

• 事后服务：检测出勒索行为时，自动告警，并建议可恢复的健康数据，在恢复时，提供快速恢复能力。

1）掌握数据资产分布：帮助用户摆脱无法掌握数据资产分布以及数据安全威胁不可见的窘境。

2）防勒索软件攻击：避免大量数据被加密后，才发现已经长时间被勒索软件攻击。数据安全预警：建立数据安全预警能力，避免被黑客威胁后，才发现大量数据被窃取。

3）保护备份数据：隔离备份数据，防止勒索软件、黑客或内部人员删除或破坏备份数据。持续验证备份数据：持续验证备份数据的可用性，避免在应急时，才发现备份数据不可用，无法进行恢复。

4）缩短业务中断时间：防止数据恢复进程过于漫长，缩短业务中断时间。

检测异常数据，发现并修复勒索软件留下的后门攻击。快速恢复业务，协助客户短时间内恢复ERP系统被加密数据，减少业务中断。避免财务损失，检测并修正ERP系统中部分供应商的银行账户信息，避免财务损失。