面对比洪水更凶猛的安全威胁，数据保护必须变一变了

众所周知，包括水灾、火灾、地震等在内的自然灾害，以及人为误操作等是影响数据中心业务连续性，以及数据安全的重要因素。以前，这些因素是企业设计、部署数据保护系统的主要依据和需要重点防范的风险。今天，虽然这些风险因素仍在，但是从数据安全和保障业务连续性的角度来看，来自企业内外部的威胁攻击才是最大的安全隐患和主要矛盾，尤其是无孔不入的勒索病毒，让很多企业在数据保护方面捉襟见肘，漏洞百出。

时代变了，从信息化到数字化再到智能化；用户需求变了，包括云计算、大数据、人工智能等在内的新型工作负载不断涌现。在这一背景下，原来清晰的企业安全边界变得模糊甚至消失了，不是在数据中心建一道“墙”就能抵御所有的安全攻击……因此，对于企业安全和数据保护来说，必须“以变制变”。

正是秉承这一思想，Commvault提出，要重新定义数据保护！

以变制变的前提，是必须清楚掌握发生了哪些变化。

首先，数据变得更加重要。在大数据的概念出现后，人们习惯将数据比作黄金、石油。随着人工智能的发展，特别是ChatGPT爆火后，数据已经与算力、算法共同构成IT未来发展的基石，是名副其实的企业战略资产。IDC预测，2027年中国的数据规模将达到76.6ZB。通过数据的挖掘和应用，能够为企业创造新的价值。做好数据保护无疑是重中之重。

其次，数据无处不在，因此数据保护的难度逐步增加。随着企业上云步伐的加快，更多数据和应用从本地数据中心迁移到云中。在混合多云成为新常态的背景下，企业对数据的备份、恢复提出了更高的要求。

最后，企业面临的安全风险和攻击越来越频繁，而且越来越具有针对性，传统的数据保护模式和方法已经不能完全满足数据安全的需要。“我在拜访客户时得知，在今年7月初，一些规模相当大的企业被勒索了近7000万美元。实际上，受勒索的不只是大型企业，有些只有100多人的小微企业也曾遭遇过同样的威胁和攻击。”Commvault大中国区及东南亚区域副总裁蔡志斌表示，“面对安全威胁，企业首先要做好备份，同时还要加强安全保护，以确保备份完整无缺，且无法被侵入。将安全融入数据保护，这是大势所趋，也是Commvault所做的一个非常重大的转变。”

Commvault大中国区及东南亚区域副总裁蔡志斌

以变制变，究竟该如何实现，又如何保证其实施效果呢？

“对于企业的数据安全来说，数据备份是‘最后一道防线’。27年来，Commvault始终专注于这一领域。”蔡志斌话锋一转，“但是，随着安全形势的变化，只有备份、容灾还不足够。因为黑客也察觉到，如果能够破坏这最后一道防线，数据将无法恢复，勒索的目的也会轻易达成。因此，企业不能被动防御，必须做出积极改变。”

在黑客的世界里，没有游戏规则。他们一直在寻找最弱的防线。那么，如何才能避免备份成为“软肋”呢？

作为数据保护服务商，Commvault凭借1000多项专利、覆盖全球的7000多家合作伙伴，以及服务全球超过10万家客户的经验，能够为各行各业的用户提供统一的、端到端的数据保护解决方案。在Gartner的备份和恢复领域魔力象限中，Commvault已连续11次处于领导者象限，并且在数据中心、云、边缘等数据保护细分市场上均名列前茅。

针对黑客不断变化和有针对性的攻击，比如黑客会利用AI探知数据中心的弱点，以增强其攻击性，Commvault正在重新定义数据保护。按Commvault大中国区及东南亚区域技术总监陈伟俊的话说，企业应该转变思路，把自己当成一个黑客，了解其攻击意图和入侵方式，做到知己知彼，才能百战不殆。

“加固备份与恢复，让黑客无机可乘。退一步说，即使黑客有机会侵入备份，一个好的备份软件也会确保所有保护机制发挥应有效果，将损失降到最低，甚至是毫发无损。这就是我们强调的重新定义数据保护的关键所在。”陈伟俊如是说。

Commvault大中国区及东南亚区域技术总监陈伟俊

接下来，就让我们看看Commvault是如何随需应变的吧！

早在2000年左右，很多用户对备份的概念还比较陌生，因此Commvault承担起了一个布道者的职责，为用户讲解备份的定义、功能、好处等。当时，用户的关注点主要集中在能不能备份、具体的备份策略等。到了2010年前后，用户的思维已经有了一些转变，不只关注备份是如何做的，更关注备份的数据在发生事故后能否恢复、恢复的时长等。备份容易，但恢复难或者恢复时间过长，这是当时让用户最头痛的事。从2017年、2018年开始，黑客攻击逐渐成了数据安全最大的威胁。很多黑客会先破坏备份数据，然后再发起攻击。因此，再谈及数据保护，用户的关注点不仅仅在于能否备份和恢复，而是要确保备份系统足够强壮，能够有效应对黑客的攻击，实现安全的恢复。

在过去二十多年中，面对不断变化的需求和安全挑战，数据保护的理念、技术和解决方案在与时俱进。“我们之所以提出重新定义数据保护，就是要为用户提供一个更加安全的数据保护方案，有效防范数据丢失，即使在数据遭到攻击后也能快速、安全地恢复。”Commvault中国区技术总监董剑波如是说。

Commvault中国区技术总监董剑波

在构建新的数据保护框架时，Commvault的基本策略是遵循业界标准。目前，全球超过61%的企业在加固其数据安全的时候，都会遵循NIST安全框架。Commvault也是参照NIST，构建了从数据的识别、数据的安全、数据的事先防御，到数据的快速恢复、安全恢复的整个体系。

董剑波举例说，所谓数据的识别，就是要先知道企业中重要的数据在哪里，以确保数据保护的完整性；在掌握了数据的基本情况后，才能制定一个完善的保护方案，对其进行有效的加固，从而确保备份数据不被篡改。上述能力在NIST框架中对应的是零信任架构和安全控制两个标准。

2023年6月，Commvault宣布在其整体产品组合中增加全新的安全功能。作为新功能的一部分，Commvault还扩展了其安全生态系统，包括与Microsoft和CyberArk的产品集成。以此次产品功能更新为开端，Commvault重新定义了数据保护，引入早期预警技术，帮助客户在威胁发生之前做好防护，在环境遭到破坏时能够有效保护数据，并确保数据的可恢复性，让客户在面对网络威胁时保持弹性。据董剑波介绍，作为唯一一家为生产和备份环境提供早期预警、深度威胁监测和网络欺骗功能的数据保护厂商，Commvault只需要5分钟就能检测出威胁，而行业平均水平长达24小时。通过零日威胁和内部威胁的早期检测，Commvault的技术能够帮助企业使得数据免遭泄露和网络攻击。

“我们在事先防御、数据安全，以及快速恢复这三个领域上做出了新的改变。在黑客攻击之前，我们就能知道事先要做好什么样的准备；为客户提供好的加固方案，识别并保护所有重要的数据；采取多种技术手段，包括WORM（只写一次）、Air gap等，确保备份的数据不被篡改。”董剑波强调，“数据安全是数据保护不可分割的一部分。”

将安全与数据保护深度融合已是大势所趋，越来越多的数据保护厂商正在这样做，但是因为技术手段、综合能力、应用深度等方面的差异，导致最终的效果不尽相同。Commvault能做到什么程度呢？为了确保数据保护防线不被攻破，当发现勒索病毒时，系统要第一时间预警。Commvault通过预先的检测手段，能准确及时地检测到勒索病毒的攻击行为，并第一时间告警；在必要时还能实现系统隔离，避免攻击行为扩散。在数据保护的预先检测、诱导攻击等方面，Commvault处于业界领先地位。

另外，在每次妥善处理完攻击事件后，Commvault还会把相关数据传送到某些专有的安全平台进行分析，进一步了解攻击者、攻击类型等信息，为未来处理类似情况提供参考和借鉴。在这方面，Commvault与Palo Alto Networks、微软等在产品上进行了很好的集成，将安全作为一个统一的事件进行处理并作威胁分析。

董剑波介绍说：“万一客户不幸遭到了攻击，我们也能够帮助客户快速地恢复数据。Commvault具备自动化恢复能力，比如一键恢复或通过即刻挂载，数分钟内就能恢复几个TB的数据，而通过对威胁的全面扫描，还能确保恢复的数据中不包含恶意代码，实现一次性安全恢复，将宕机风险降到最低。”

Commvault重新定义数据保护的关键，是将数据安全引入到数据保护产品线中，协同数据管理，打造一个统一的平台；在贯穿数据保护事前、事中、事后的所有环节，无论客户遇到什么样的安全威胁，都能快速发现、妥善处理。特别值得一提的是，Commvault的预警能力与很多安全厂商的不同，它是基于AI和机器学习技术，自动学习最新的病毒攻击方式，从而更快更准确地发现病毒，而不是采用传统的病毒库预警方式。

对于企业来说，单纯的数据量大并不可怕，随着不同种类工作负载的增加，不同结构类型、处于不同生命周期、价值不同的海量数据如何进行分类处理并妥善保护才是最大的挑战。

董剑波表示：“在面对一些中大型客户时，在实施具体的数据保护解决方案之前，我们都会做详细的调研，了解客户的数据存在哪里、重要性如何等，据此帮客户进行数据分类，然后按照不同的保护等级实施分级保护策略。比如，最基本的对所有数据进行备份；对一些关键业务数据要实施容灾；对安全性要求极高的数据，还要提供Air gap等。”

Commvault提供安全评估服务。一些曾经被勒索过的客户主动找到Commvault，希望借助Commvault的专业性和全面评估，发现自身在数据安全和保护方面的漏洞。Commvault的工程师会亲自到客户现场进行调研，收集数据，进行风险分析，并与客户进行充分交流，最终提交一份报告，阐述如何按照NIST的框架构建一个更安全的保护体系。

在面对“你的数据重要吗？”这一问题时，很多用户的回答都是“当然！”“这个答案本身就预示着一定的危险性。因为当你认为所有的数据都同样重要，而采取相同的保护措施，当真正遇到灾难或事故时，数据恢复的速度可能会比预想的慢很多。”陈伟俊依据自身多年的经验提醒说，“Commvault建议，先将数据按重要性或价值进行分类，比如分成ABC或者金银铜等不同的等级。在需要恢复数据时，Commvault有一个强大的功能Auto Recovery，能够将‘金牌’数据从最近的那个点拉起，保证最重要的工作负载不中断运行。而那些‘银牌’数据或‘铜牌’数据，可以依据其重要性，在几小时或几天内恢复，这样一来既不会影响系统的运行，又能实现成本最优化。”

综上所述，重新定义数据保护就是要按照包括NIST、STIG、CIS等在内的国际安全标准和框架，从事前、事中到事后，实现安全预警、安全加固和安全恢复，以确保整个流程的高安全性。今天，在人工智能的加持下，我们能够更及时有效地识别安全威胁，更加自动化地响应和处理安全攻击事件，更快更智能更安全地进行恢复。从这个角度说，Commvault正在为业界树立一个新的标杆。