在網路安全的世界中,機密性、完整性和可用性可謂是被業界廣泛採用的鐵三角(CIA Triad),也是資料保護與安全的三個基本要素。機密性指的是安全地保護資料,以免遭到未經授權的使用者窺看存取;完整性指的是保持資料的整體存在,不會因意外而被變更或竄改。而可用性則是確保資料在業務持續營運的過程中,易於存取且不會中斷服務。
長期以來,企業以備份來確保資料的可用性,然而,隨著數位潮流不斷演變、IT架構越來越複雜,攻擊面也不斷擴大,傳統的資料保護技術已難抵禦現今的攻擊,Acronis大中華區首席技術顧問王榮信認為,以目前的技術來看,傳統的資料保護只能協助企業做到六十分,隨著駭客攻擊手法的推陳出新,尤其是勒索軟體頻頻對企業發動攻擊,甚至利用雙重勒索來威脅企業付款,如何強化相關的防護以確保資料的可用性已成為企業亟需重視的課題。「僅僅依賴備份並不足夠,更好的做法是將資訊安全(Cyber Security)與資料保護(Data Protection)整合,從而提供一個更完整的資料保護方案,以有效保護端點、系統與資料。」
雲端運用一體兩面 更適備份保存
除了勒索軟體攻擊之外,大量資料分散儲存在雲與地正在加劇資料保護的難度,一方面橫跨雲、地的資料管理可能會較為複雜,而且當資料分散時,安全性問題也需要有所考量。而且隨著企業開始將資料上雲,資料的移轉也會成為新的課題,如果涉及到服務的移轉,難度又會大幅攀升。
他提到,以備份321最佳保護守則來看,資料要留存三份,一份留在生產系統(Production System),一份留在本地的儲存設備,而另一份可能備份到異地端,不過礙於成本考量,異地端通常只針對重要的關鍵資料,其他的周邊系統只能備上磁帶。不過,磁帶不容易維護,而且機動性不高,因此,企業在近幾年也慢慢地將資料上雲,於是多雲管理與資料移轉也成為討論的議題。企業的另一項挑戰在於,隨著資料量不斷激增,源自於雲端的成本也成為CIO的財務壓力之一,而且若是備份資料須從雲上還原,還原成本也是另一項壓力。
「不過,混合雲的架構也有其好處,」他提到,備份資料保存一向是企業的挑戰之一,萬一被有意或無意地不小心刪除備份資料,或是遭遇駭客順藤摸瓜到異地把備份資料刪除,甚至直接鎖定備份主機進行攻擊,無論哪一種情境,都可能因此而造成服務中斷,「雲端環境提供了許多解決方案可以協助克服安全問題,」王榮信認為,雲端的運用是一體兩面,壞處是資料並沒有掌握在企業手上,但好處是,就算管理者的帳密被盜,雲上有許多方案可以協助企業解決,等於多了一道防護機制。
多層次強化入侵難度
在台設有資料中心的Acronis,也運用雲原生技術打造Acronis Cyber Protect Cloud,而其Advanced Backup套件則可以透過連續資料保護等雲端備份增強功能,有效讓資料及所有備份檔案遠離勒索軟體攻擊,提供近乎為零的RPO和停機時間,防範重要資料遺失時也節省時間,高效保護企業寶貴資料。
他提到,為了應對瞬息萬變的威脅,目前普遍的作法是運用多層次防護來強化攻擊者入侵的難度,從網路層開始就提供多層次的管控,惡意軟體必須通過層層的關卡,最後才有機會接觸到資料。一般而言,防禦的機制可分為事前、事中以及事後,事前預防包含了系統上面的漏洞掃描與修補,事中的防護則包含了惡意程式防護、零時差勒索軟體防堵,還有端點偵測及回應以及資料外洩管控。「備份與還原其實是事後回復的一環,包含如何快速的還原、不可刪除竄改的備份,以及提供備份檔掃毒的功能來確保還原的備份資料是乾淨的。」
其中,零時差勒索軟體防堵也與資料保護相關,這項功能主要是運用AI技術來加以識別,由於勒索軟體變種太快,今日採集的攻擊樣本,也許以後都用不到,造成防毒軟體的防護率變低,因此Acronis從行為著手,「不管勒索軟體怎麼變,一定會加密檔案才能進行勒索,因此,一旦AI識別是勒索軟體在加密檔案時,就會加以阻擋,作法上是先踩住勒索軟體並保護還沒有被勒索或加密的資料,然後刪除這個位置的勒索軟體,最後還原先前快取下來的備份檔案。」王榮信說明,由於一開始無法判定資料加密是否為勒索軟體所為,所以一般都會先放行,但是在放行前,會先把資料複製到另外一個快取資料夾中,一旦發現已經有連續兩個檔案都被加密,就會觸發AI引擎,凍結、刪除並且從快取中自動把先前複製的檔案還原回來。
結合防毒功能安心復原
第二種情況在企業端也相當常見。駭客以客製化木馬程式繞過企業防毒軟體,然後依著企業的備份週期,潛藏在備份資料中,等到駭客投毒那天或不小心曝光時,企業動手還原備份檔案,殊不知備份資料早就被污染。
「一般而言,這種針對性的組織攻擊,極有可能近三個月的資料都已經被污染,而這也是企業常常二次感染的原因。」他提到,安心復原功能把防毒功能也融合在一起,每次還原,會先確保備份檔案的資料是否乾淨,如果不乾淨,會告知哪個路徑的檔案有問題,企業可以還原其他乾淨路徑下所需要的檔案,或者選擇更早之前乾淨的備份版本即可。
另外,誤刪對資料保護來說一樣是個缺失,資料的可用性一樣會被破壞,這時就可以透過WORM的機制來避免誤刪,企業可以自行設定14天、30天或60天的期限,只要在這些天數之內,即便是管理者,都無法刪除這個資料。
除此之外,備份技術在近幾年也有新的作法,他舉例,過往企業要還原1TB的資料量,大概要花上數小時以上的時間,有些情況甚至會超過十小時,換言之,還原的時間多長,企業服務中斷的時間就有多長。但是新的作法可以將備份資料直接掛載(Mount)在VM環境,不論是VMware、Hyper-V環境,只要把數據掛載上來,就可以直接讀取資料,如此企業服務就可以先恢復運作。由於資料並沒有真的還原,效能上還是會有延遲,但服務卻只要幾分鐘就可以先恢復,之後企業可以再慢慢把這些資料抄寫回來即可。
王榮信提到,這種作法也可以應用在災難復原(DR)上,以往企業演練的過程因為要把資料還原,因此時間會拉得很長,現在只需要直接把備份資料掛載上來,然後啟動一個新的DR服務,接著讀取這份備份數據、確認服務有啟動,如果都確認沒問題,就表示備份能夠真的還原,而這些過程只需要一個按鍵,演練動作就會自動完成。