扒勒索病毒史，聊真CDP與準CDP

扒勒索病毒史，聊真CDP與準CDP

聊CDP之前，先聊勒索病毒

據公開資料顯示，全球最早的勒索病毒雛形誕生于1989年，由Joseph Popp編寫，該木馬程序以“艾滋病信息引導盤”的形式進入系統。

中國大陸第一個勒索軟件——Redplus勒索木馬(Trojan/Win32.Pluder)出現在2006年，該木馬會隱藏用戶文檔和包裹文件，然后彈出窗口要求用戶將贖金匯入指定銀行賬號。

根據勒索病毒攻擊計算機的方式和部件，勒索病毒大概的類型主要包括如下種類。

除此之外，攻擊移動設備的勒索軟件需要引起大家的關注。2018年3月，國家互聯網應急中心通過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程序變種。該類病毒通過對用戶手機鎖屏，勒索用戶付費解鎖，對用戶財產和手機安全均造成嚴重威脅。在移動用戶感染的方式上，瀏覽非法淫穢網站和點擊下載不信任程序（如二維碼生產鏈接）成為兩種最大被感染的渠道。

在支付方式上，最早是通過彈出窗口提示系統中毒者向指定郵件或銀行賬號支付等形式。2013年隨著比特幣市場的瘋狂炒作，勒索贖金的支付方式開始轉向更加難以追蹤的虛擬貨幣為主。

事實表明，采用更加復雜的RSA加密方案，以及虛擬貨幣（如比特幣）的出現，加速了勒索軟件的泛濫。所以，WannaCry永恒之藍的全球肆虐不是偶爾，區塊鏈作為當前信息化領域炙手可熱的技術，藏著魔鬼的一面。

CDP能夠恢復勒索病毒加密的數據

防范勒索病毒，應該從兩個維度分析：

一是防范抵抗病毒攻擊，需要殺毒軟件、網絡和數據庫防火墻，以及對系統和應用補丁及時更新和修正。

二是系統和文件等被病毒感染后，如何快速恢復數據和業務，以前是需要事先對系統和文件進行備份，現在更流行的方案是采用CDP技術進行數據保護。

備份是一種傳統的備份方式，可以分為定期備份和實時數據同步。定期備份與CDP相比存在兩大劣勢：一是備份需要時間窗口，對于很多24小時業務運行的機構，線上業務不允許有過多系統停機進行數據備份；二是定期備份無法保證數據丟失最少，即RPO值趨近于零的要求。

例如，醫院定期備份策略是每周一晚12點備份一次，但是在下一個備份時間到來之前，如本周五醫院發生勒索病毒攻擊事件，那么周二至周五的數據將會被加密，進而會丟失。

實時數據同步可以解決備份窗口和備份周期存在的問題，但是存在一個缺點——勒索病毒對生產端的破壞會同步到備份端，嚴重時會造成整個災備策略的失效。

持續數據保護(CDP)技術能夠很好地解決這個問題，它極大地減少了RPO值。CDP底層的技術原理比較抽象，從實現手段分析，CDP是對數據進行自動監控，連續捕獲和備份數據變化，只要數據發生變化，便實時、準確的備份下來。我們可以理解為基本上是在備份端以最接近實時的節點生成一份獨立數據，以確保有最新的數據進行恢復，而這份數據是沒有被勒索病毒感染的。

目前，主流的CDP有很多維度，包括基于存儲數據塊的，存儲快照的，操作系統IO層的，采取不同的技術維度，所獲得的數據還原細粒度也有所差別，根據恢復的細粒度的大小，業界將CDP分為真CDP(True CDP)和準CDP(Near CDP)。

真CDP技術是持續不間斷的監控并備份數據變化，可以恢復到過去任意時間點，是真正的實時備份，不會造成數據的丟失。準CDP是指接近持續數據保護，數據備份存在延時，也就是意味著存在部分數據丟失的風險。根據用戶對RPO的要求以及災備策略的不一樣，CDP技術方案選擇有很大自主性，但是隨著數據量的增長和業務信息化的加快，未來的趨勢將是以真CDP為主。

在市場方面，真CDP技術方案的廠家鳳毛麟角，上海英方是其中的代表。英方CDP技術是一種在不影響主要數據運行的前提下，將變化的數據實時復制到災備中心的同時也將數據的任何變化以日志方式記錄下來，實現對數據變化的可回溯性；也可在任何情況下依據數據變化日志，快速定位需要恢復的時間點，并將數據一鍵式恢復到異常點之前。

在專業的災備領域，CDP技術的應用不僅僅是為了防止勒索病毒對數據的加密，還要防止人為誤操作、系統崩潰、系統升級失敗等潛在威脅事件的發生。在此基礎上，很多行業會因為等保要求對重要數據進行本地或異地容災，對災備項目的RTO與RPO進行嚴格的劃分。

對于CDP在RTO與RPO兩個重要災備考核指標的表現，業界一直都有爭論，主流的觀點認為在普遍成本接受的范圍內，RTO與RPO是魚和熊掌不可兼得，只能在兩者中找到最佳平衡時間點。

當前CDP也存在很多技術難點，例如雖然在高成本投入下，直接將異或運算固化在芯片中，但是對于要解決高頻寫操作數據的CDP壓縮RTO的難題，業界仍在探索中。

你是否也是CDP技術的探究者，是否也對CDP能夠恢復勒索病毒的測試感興趣，歡迎關注明天英方真CDP測試WannaCry勒索病毒的文章。