Catalogic已加入为备份管理员提供勒索软件检测和恢复工具的数据备份供应商行列。为了在勒索软件攻击发生时提醒公司注意,CatalogicSoftware本周在DPX4.8.1中发布了GuardMode,这是该公司企业数据保护产品的最新版本。
GuardMode可在客户升级到DPX4.8.1时免费提供,它使用阈值监控、模式检测和蜜罐来识别潜在的勒索软件攻击,查明受影响的文件并仅恢复受影响的文件以减少数据丢失。
Catalogic的新功能是数据备份供应商提供更早的勒索软件检测和数据备份准确性的趋势的一部分。EvaluatorGroup高级分析师KristaMacomber表示,GuardMode与Cohesity、Veeam和Rubrik等其他公司已经提供的功能一致。
“我们看到数据保护必须不断发展,以帮助检测网络攻击并帮助防止它们,”她说。“Catalogic正朝着能够满足这些要求的平台迈出一步。”
传统上,公司需要7到8天的时间才能捕获勒索软件攻击,并且由于他们没有工具来查明哪些文件或有多少文件受到影响,他们回滚所有系统,导致不必要的数据丢失,根据Catalogic首席运营官SathyaSankaran。
现在,Catalogic不仅可以监控块级别的日常数据更改,还可以在创建备份之前监控文件级别的更改,从而提供更具区分性的功能,例如,可能包括对指示勒索软件攻击的文件扩展名的更改。
“我们可以通过简单地进入监控管道来收集这些启发式模式[在文件上],”桑卡兰说。
当检测到异常行为时,GuardMode会针对使用Windows文件服务器资源管理器收集的4,000多种已知勒索软件菌株运行异常。如果GuardMode找到匹配项,它会将可疑行为通知备份管理员。
当新变种添加到集合中时,Catalogic会自动更新GuardMode的已知菌株列表。但在将更新推送给客户之前,Catalogic会手动对更改进行身份验证。
Macomber表示,GuardMode的这一方面尤其有助于将Catalogic的产品与其他产品区分开来。
“它主动将该列表推送给管理员,并且......他们不必担心它是否是最新的,”她说。“考虑到威胁形势的波动性以及这些攻击的演变程度,这一点尤其重要。”
对于未知的勒索软件变种,GuardMode使用蜜罐或充满诱饵数据的文件来诱捕恶意攻击者。
“你的计划A是检查一个已知的数据库,”桑卡兰说。“你的B计划是,即使他们掉入了那个数据库,我们也有办法捕捉到它。”
目前,GuardMode适用于Windows文件系统。Catalogic将把GuardMode扩展到Linux文件系统,Sankaran表示,该系统将在四到六个月的常规发布周期内推出。该公司还计划在产品中引入SIEM集成、一种更精细的双重检测功能,以及机器学习和引导式恢复功能。
数据保护和安全的交汇点
Macomber预计在数据备份和保护产品中提供勒索软件检测工具的趋势将继续下去。她说,勒索软件检测和恢复现在是董事会层面的问题,这给IT运营带来了更大的压力,以使其快速执行,并激励供应商构建工具来帮助他们做到这一点。
IDC研究经理JohnnyYu表示,将此类工具交到备份管理员手中还可以促使存储团队在公司的网络安全战略中更加积极主动。
“数据保护是它自己的事情,安全是它自己的事情,但为了解决勒索软件,你需要解决这两个过程,”Yu说。“因此,您需要将安全实践融入数据保护和数据恢复流程中。”
这就是Catalogic的Sankaran将GuardMode描述为具有安全元素的数据备份功能。由于已集成到数据恢复过程中,GuardMode不仅可以监控数据的变化并可以提醒备份管理员注意可疑行为,还可以采取后续步骤帮助公司以MicrosoftDefender等端点检测工具的方式进行恢复不能。
“这些[端点检测]解决方案......经过优化,可以向所有安全参与者发出红色警报,但实际上并没有告诉你如何取回重要数据集,”他说。
虽然一些数据备份供应商可能会在他们的产品中添加安全标签,但Catalogic仍然坚定地专注于备份管理员。
“我们真正想做的是帮助存储和备份团队为他们提供工具,让他们自己完成工作,”Catalogic首席战略官MikeMiracle说。
“DPXvPlus实际上是在保护传统VMwarehyper[visor]市场领导者之外的所有这些工作负载,”Sankaran说。
DPXvPlus许可证是额外的成本组件,因为它可以是一个独立的产品;据该公司称,vPlus的许可基于工作节点或用户数量。