自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒成为对网络安全威胁最大的一类木马病毒，让数据安全进入了一个新的时代。

新的攻击方式。

勒索病毒不会马上发起攻击，而是利用各种伪装，如垃圾邮件、网页广告、系统漏洞、U盘等，诱使用户上钩。渗透并潜伏一段时间，了解企业内部的网络架构后，再对勒索病毒做一些适配性修改，在破坏企业的备份数据后，就大规模扩散病毒，对系统文件或硬盘进行加密，隐蔽性强，发现时往往已经积重难返。

新的受害者。

勒索病毒之后，针对非个人网络的大规模攻击变多。政府、医疗、金融、能源、交通甚至半导体制造行业，数据价值较高，售卖或泄露威胁更加容易变现，成为勒索病毒的重点关注对象。攻击完“样本企业”后，黑客们还会对业务和内部网络的架构类似的企业发起批量攻击，快速让同类型企业中招，攻击效率越来越高，受害者数量迅速攀升。

新的损失成本。

包括支付“赎金”的直接损失，以及数据丢失、业务终端、生产力下降、潜在收入损失甚至名誉损害等负面影响。2018年8月3日，台积电的12英寸晶圆厂和营运总部就突然传出计算机遭病毒入侵且生产线全部停摆的消息，几个小时之内，台积电的Fab 15厂和Fab 14厂也陆续传出同样的消息，三处重要生产基地的生产线同步停摆，影响当季营收约2%，损失高达10亿。

面对勒索病毒，网络安全产业正在迎来一场艰难而崭新的战斗。这场仗究竟该怎么打？ 在2023世界移动大会上（MWC2023），华为发布了业界首个基于“网络存储联动”的多层联动勒索攻击防护技术（MRP）。

作为目前业界唯一的“网络+存储”多层防护方案，用内外兼修的系统化能力，铸就了应对勒索威胁的安全之盾。我们就从这个全球瞩目的方案说起，聊聊后勒索病毒时代，数据安全的变局和新路。

从近几年发展趋势看，5G、人工智能、物联网、云计算等大规模的应用，已经成为各国数字经济发展的主基调，数字化浪潮就在眼前。

但就像茨威格那句名言说的，“所有命运赠送的礼物，早已在暗中标好了价格”。数字繁荣令人向往，但网络架构也会迭代更新，企业组织的信息设备种类越来越多，潜在的安全风险也是巨大的。

数字经济的快速发展，与勒索病毒的潜在威胁，形成了三个明显的矛盾：

第一，老旧基础设施与新增病毒数量的矛盾。

勒索病毒主要利用老旧操作系统的安全漏洞进行攻击，但很多传统实体企业和机构，现有基础设施中还存在大量老旧系统和硬件，安全漏洞不断增多，更容易被勒索病毒渗透。

第二，数据互联互通与病毒攻击范围的矛盾。

工业互联网、智能系统等都需要数据互联互通，松耦合的背景下，被攻击范围也在不断增加。一旦勒索病毒进入攻击阶段，管理员处理攻击的窗口非常短，勒索病毒很快会蔓延开来。比如2020年2月18日，黑客加密了美国某天然气管道运营商IT和OT系统中的数据，导致整个管道关闭了两天，由于管道传输的相互依赖性，与其相关联的其他压缩设施也连带受到影响。

第三，安全投入不足与攻击损失成本的矛盾。

很多传统企业和机构的安全防护能力本就不足，安全建设多以安全事件和合规性检查驱动为主，加上近年来外部经济环境的不确定性增大，投入安全防护的资金也进一步减少，安全防护能力愈加缺乏，而勒索病毒的“胃口”却越来越大。2021年因勒索软件损失200亿美金，是2015年的57倍，最高的勒索金额达700万美金，一旦中招的损失增大。

数字化势在必行，勒索病毒又防不胜防，那企业能不能直接“躺平”，万一中招就交赎金保平安呢？相关数据显示，48％的受勒索软件威胁的企业表示，会同意支付。

可遗憾的是，“钱货两清”的信誉，黑客们并不十分在乎。有超过46% 支付了赎金的组织，仍然无法恢复数据。

数据资源成为企业的关键生产要素，面对数字时代的企业防勒索需求，安全产品也该拿出一些“未来感”了。

此次MWC 2023上，华为带来多层联动勒索攻击防护（MRP）技术，就如同一个企业数据安全的防护盾牌，从攻击入侵的全链路进行考量。

传统安全防护模式的先建设再定界、先定界再加固，面对无处不在、隐蔽性强的勒索病毒，难以形成高效快捷的安全防线。

MRP技术则改变了跟随式被动应对，将网络安全工作前置，新增了基于IO、熵值等存储检测机制，通过网存联动，覆盖事前、事中、事后，让勒索病毒攻不进、走不动、锁不住。

事前，网络边界防入侵。

华为MRP的首要能力，就是让病毒攻不进。

首先根据历史数据建立基线模型，判断副本元数据变化特征值是否有异常。然后，针对异常副本，对比前后两次快照副本数据，计算文件的大小变化、熵值、相似度等，再结合AI算法，判断文件变化是否属于勒索加密导致，并进行勒索加密标记。

这样一套智能检测的组合拳下来，对暴力破解攻击的检测准确率可以达到99%，覆盖50多种文件类型，全面识别未知恶意软件。

事中，网络内部防扩散。

勒索病毒一旦入侵系统，会快速横向移动，扩散到生产环境。此前“Petya”勒索病毒暴发，当天就实施了约2000次攻击，在一些欧洲国家重灾区，每10分钟就感染5000余台电脑，让多家运营商、石油公司、机场、ATM机等企业和公共设施沦陷。

要让病毒在网络内部“走不动”分为两步：

一是阻止非法外联。比如“Petya”勒索病毒就伪装成求职简历电子邮件，用户点击该邮件后释放可执行文件，自动下载到系统。华为MRP的AI检测引擎，搭载了独家聚类+分类算法，对恶意域名检测率达到99%以上，及时阻断恶意程序，从而避免敏感数据泄露。

二是防止横向扩散。勒索病毒传播速度快，要求分钟级响应，华为MRP的独家网存联动技术，通过智能技术进行态势感知检测，针对威胁事件还原勒索攻击路径，下发联动策略，自动隔离失陷主机，避免病毒文件被备份，分钟级完成威胁处置。

事后：生产环境防加密

既然勒索病毒的最终目标是对数据进行加密，要求受害者支付赎金以获取解密文件所需的密钥，而且付了赎金也可能被“撕票”。所以一旦出现异常情况，让数据锁不住、毁不掉，是最后一道关卡。

华为MRP网络与存储的多层联动，就起到关键作用。

首先，在企业数据存储时，就进行端到端加密，通过Air-gap离线存储隔离技术，自动化、周期性从生产/备份存储将副本复制到隔离环境保存，确保数据安全。同时，通过安全快照技术，确保生产中心、安全隔离区的存储数据只读，且在设定保护周期内，快照无法被修改和删除。

另外，网存联动机制会实时根据捕获的威胁文件特征，刷新网络安全、存储截拦黑名单，将勒索攻击告警实时同步存储管理器DME， DME联动执行快照恢复，避免数据被损毁，恢复效率提升5倍。

接下来，在数据恢复过程中，MRP会通过防火墙进行单向访问，避免污染备份域和隔离域数据，应对数据被加密后长时间业务锁定的问题。

《易传》中有一句话：“无危则安，无缺则全。”企业核心资产的无危、无缺，是安全行业的根本目标。

通过独家网存联动机制，华为MRP技术在勒索病毒和数据资产之间，筑起了一道强大的安全盾牌，形成协同检测、协同响应、协同恢复的三大核心能力，为企业带来更好的数据安全。

今天，数字经济蕴藏着充沛的机遇、需求和可能性，正在全球掀起浪潮，第四次工业革命从未如此贴近和真实。在数字化之路上探索的企业和组织，需要更多安全感，将数据资产牢牢掌握在自己手中，激活更大的能量。

防勒索解决方案在巴塞罗那展现出的安全能力，恰好体现了华为对于安全的理解和差异化优势。

1.系统性认知。

安全问题是攻防双方展开的一场永恒博弈，只有相对安全，没有绝对安全。在思考数据安全时，我们不妨模拟一下黑客是怎么样想问题的。勒索病毒的大行其道，说明黑客发动攻击时采取的是系统思维，先通过伪装进入系统，然后快速大规模复制，对内部核心系统和数据进行封锁加密，实施勒索。所以，安全防护也必须要实行系统化防范，针对所有恶意攻击信号，展开围追堵截。

华为MRP网存联动的初衷与差异化，正体现在此，事前强化边界防护能力、事中全网异常监控与威胁隔离、事后数据加密存储与多重备份，提供系统性、一体化联动的安全保护。

2.全栈式积累。

如前所说，数字化、智能化的产业变革趋势下，网络安全威胁风险从数字世界向实体经济的逐渐渗透，新基建融合了5G、人工智能、物联网、云计算、边缘计算等多种技术，“你中有我，我中有你”的环境，让安全边界进一步模糊泛化。所以，安全产品和服务也需要从单一产品，转变为协同式防护。

华为MRP的问世，源自于华为在多个技术领域的深耕和洞察，将网络和存储协同起来，进行针对性的技术突破和方案开发。

3.全球化洞察。

重塑网络安全生态，构建协同安全，有很多切入点，华为为什么如此看重防勒索安全能力呢？这就要提到华为的全球化视野和洞察。

勒索病毒的每一次爆发，都会造成重灾区的大规模沦陷，有的内网即使没有被勒索病毒感染，也无法避免成为下一个感染对象。华为作为一个全球布局的企业，和其他行业伙伴一样，生存在勒索病毒的阴影下，有充足的意愿和能力，去打造一个国际化、高水准的数据安全解决方案，打消全球各行各业加速拥抱数字化的隐忧。

丘吉尔说过，永远不要浪费一场危机。从WMC2023上展示的华为安全MRP技术，我们不仅可以看到安全行业本身的进化方向，更可以发现数字经济蓬勃发展的大势所趋。

让更多企业和组织无惧勒索病毒的挑战，拥抱数字经济浪潮，从装备一个硬核的安全盾牌开始。

前往华为官网，了解更多方案详情。