有鑑於網路安全疑慮持續攀升,美國金融服務業資安情資中心FS-ISAC也提出避風港計畫,輔導金融機構設置資料儲存庫(Data Vault),並將加密資料放置其中以確保在遭受攻擊時,仍有一個隔離、安全且不受感染的資料副本能夠被存取,並且在災難後啟動復原程式,讓系統還原運行。
多年來,資料保護概念已從備份與復原(Backup & Recovery,BR)演進到災難備援(Disaster Recovery,DR),近幾年更是發展出Cyber Recovery(CR),亦即以實體隔離的方式,結合多層次的安全機制,將企業關鍵資料放置在隔離區中,以確保企業業務能夠持續營運。
Dell Technologies大中華區數據保護解決方案總經理張志成指出,實體隔離的概念早在2014年Sony影業遭遇駭客攻擊後,便已開始醞釀發展,如同家中的保險箱會放置重要的證件與財物,實體隔離也可以簡單視為資料的保險箱,企業內部的重要資料會存放於實體隔離區內的資料儲存庫(Data Vault)中被妥善地保護與儲存。
「全球資安威脅頻仍,防範駭客攻擊已成企業頭等大事,今年中,台灣商用車製造商便遭受駭客惡意攻擊,使得生產配銷作業受到影響。」他提到,駭客已經熟知企業會建立備份機制來加以防範,而突破這道防線的作法就是直接鎖定備份資料攻擊,藉此以迫使企業支付贖金。有鑑於網路安全疑慮持續攀升,美國金融服務業透過FS-ISAC成立的避風港計畫(Sheltered Harbor),推動金融機構設置資料儲存庫(Data Vault)並將加密資料放置其中,以確保在遭受攻擊時,仍有一個隔離、安全且不受感染的資料副本能夠被存取,並且在災難後啟動復原程式,讓系統還原運行。
兩大課題未來五年持續發酵
根據微軟2023年數位防禦報告,台灣已經躍居亞太地區被駭客攻擊熱區第二名,僅次於韓國,攻擊者的動機主要以竊取資訊、秘密監視通訊,或操縱人們閱讀的內容為主。事實上,資料安全已成全球關注的議題之一,各國政府也紛紛從政策面著手,例如去年金管會公布「金融資安行動方案」2.0版,持續地強化金融業資安防護能力,並且推動金融機構導入國際資安管理標準,以零信任方式建構網路架構;數位部也計劃推動政府重要關鍵民生系統於公有雲分持加密備份發展策略,以縮短系統災難還原與備份之時效,提升系統數位韌性;而香港金融管理局也已發布備忘錄,要求金融機構嚴格實施第三級數據備份(STDB)指引,應對網路攻擊。其涵蓋的九大原則中,也包含了分隔、不可更改、安全、可驗證等要求。
「但是,在勒索軟體攻擊之外,地緣政治變化也是影響資料保護策略的因素之一。」張志成認為,「平轉戰」思維也將促使企業加速資料上雲的步伐,而金管會也在八月滾動修正開放金融上雲,重點便包括備份檔案應存放至境外公有雲、須以冷備份加密儲存以及須具有分散風險的概念。
其中,「冷備份加密儲存」指的是無法在雲端中直接使用,須在特定系統環境中還原方可使用的備份形式,簡言之,只要不涉及資訊系統的運作或資料復原,就無須向金管會報備、報准。而「分散風險」概念指的是資料不應只存放在單一朵雲,而是應存放在混合雲或是多雲環境中,而且要有資料分持的作法,例如將個人身分資料拆成三等份,分散儲存在三朵雲上,如此一來,即便某雲端服務供應商遭遇駭客入侵,被竊取資料,也無法得知該使用者的身分,但是由於企業仍保有兩份資料,因此資料依舊能夠復原。
「不管是從國際趨勢、地緣政治、法規遵循或是資安風險管控來看,勒索軟體攻擊與地緣政治風險課題在未來五年內還是會持續發酵,企業傳統的資料保護機制也應盡早現代化,才能因應未來的挑戰與變化。」他說。
建構離線資料堡壘 延伸資料保護邊界
面對網路攻擊與地緣政治可能帶來的資安風險,包含強化網路安全基礎建設、定期進行安全漏洞掃描和測試、加強人員的資安教育和培訓、建立危機應變計劃等等,都是具體可施行的措施,但除此之外,藉由資料保護現代化來強化還原力也是相當重要的一環。舉例而言,Dell PowerProtect Cyber Recovery可協助企業建構離線資料堡壘,確保資料的安全性與可回復性,進而提升資安韌性;而延伸資料保護邊界,從地端延伸上雲,也是一種因應作法。
實體隔離打造避風港
張志成進一步說明,Dell PowerProtect Cyber Recover已獲避風港計劃認可,作法上,企業會將關鍵資料存放到資料儲存庫(Data Vault)之中,而除了Data Vault與企業內的生產環境採實體隔離外,中間連通的網路閘道也是由Data Vault的主控中心來驅動。另外,所有存放在Data Vault的資料都可加以上鎖,避免遭到任意地抺除。同時還整合了機器學習機制,不需經由還原程序即可掃描備份檔案。
「由Data Vault主控中心驅動的反向操作相當關鍵,」他解釋,以往災難備援的作法是把生產環境中的備份資料抄寫到遠端的資料中心,但抄寫的動作主要是由生產環境要求,遠端的資料中心並沒有拒絕的權利,一旦生產環境遭到駭客加密,遠端資料中心一定也會跟著被加密。反向操作的好處是,必須經由資料儲存庫的主控台允許才能傳送,即使生產環境遭到駭客加密,也不會被傳送到資料儲存庫中,如此就能避免被加密的可能性。
此外,Dell也提供了資料防寫的保護機制,保留鎖定(Retention Lock)的功能具有兩種模式,一是Governance模式,另一是Compliance模式。Governance模式可以允許管理人員靈活地控制保留政策,例如設定在保留期間內無法刪除或修改檔案、延長受保護備份檔案的保留期限或是將歸檔的檔案回復到鎖定的狀態等等,而Compliance模式則提供了最高的防護等級,只有在特殊情況下,需偕同儲存系統/備份管理員與資安長雙重授權,才允許延長上鎖時間,否則在一般情況下,任何人都無法刪除該備份映像檔。
為了防止惡意軟體潛藏在備份檔案中的可能性,CyberSense也會自動掃描備份資料,就像是核磁共振(MRI)一樣,單一檔案經掃描後會產生40種屬性,每天會產生200多種向量的資料,這些向量的資料會提供給AI學習,如果檔案的屬性以及向量值突然在某天有了大幅度的不同,AI就會知道前端可能有某些系統遭受潛在的惡意加密,準確率高達99.5%。當然就原理而言,AI只用來判斷檔案是否被加密,而不是判定有沒有惡意的勒索軟體。
張志成指出,許多掃描機制僅只是檢查副檔名、檔案大小或是檔案屬性有沒有被改變,但是駭客越來越聰明,直接繞過這些設定法則進行攻擊,CyberSense的作法並非如此,除了掃描關鍵資料來源外,機器學習的演算法還會分析統計,判斷資料是否遭受攻擊或感染,而且會不斷重複掃描與學習,瞭解資料變化的情況。
多雲資料保護 De-Dupe是關鍵
隨著混合雲、多雲架構日益普及,資料保護機制也能由地端往雲端延展,例如將備份上雲或是在雲端設立備援機制,而Extended to Cloud的關鍵即在於重複資料刪除率。以備份上雲為雲,中小型企業一天的資料量大約為10TB,若是要進行中長期保存,一般業界建議,最佳的作法是日備份保留14天,週備份保留一個月,月備份保留一季,年備份保留7年。如果這些備份檔案都要存放在雲端,以AWS每GB單月0.023美元來計算,粗估一年大概要花上台幣204萬元,三年就要上看600萬元。
反觀,如果在第一次備份資料後的每一份備份,都將重複資料加以刪除,假設刪除重複後資料量只剰原本的百分之一,一年就只需要2.3萬,三年只需要6萬。即使重複資料刪除率減半,三年也只需要15萬。這麼做的好處不只節省儲存空間成本,以往需要租用10Gbps頻寬,把重複資料刪除後,現在只需要10Mbps的頻寬即可滿足資料傳輸所需,可大幅節省網路頻寬成本。
如果企業每天都要上傳10TB的資料到雲端,為了在短時間內完成資料寫入,勢必得租用較為昂貴的儲存空間,成本可能又被拉升。而且備份資料也需要驗證,一旦資料要從雲端下載進行驗證,又是一筆不小的費用。如果能把空間透過重複資料刪除的技術變成五十分之一或百分之一,成本節省就很可觀。張志成認為,重複資料刪除技術絕對是資料上雲的核心關鍵。
此外,企業也可以把DR-Site轉移到雲端上,藉以節省成本支出,例如企業原本地端的VMware虛擬化平台的備份映像檔經重複資料刪除後,可以存放在雲端的物件儲存空間上,一旦需要DR演練時,就可把.vmdk格式的備份映像檔轉換成Amazon EC2格式,如此就能在雲上運行進行DR演練。演練期間可能是三天至一個禮拜的時間,完成後再把虛擬機器關掉即可。對於企業而言,只需要支付這段時間的費用,而且只需要幾個簡單的點擊就能完成。
從核心到雲端統一資料保護平台
張志成最後強調,不同產業擁有的系統並不一致,重視的層面也不同,例如金融業現今仍有大型主機運行重要系統。過去企業很難透過同一套資料保護機制來進行完整的資料保護,但Dell想打破這些桎梏,協助企業打造統一的資料保護平台,因為資料才是讓企業永續營運的關鍵。
而統一資料保護平台的要角就是Dell PowerProtect DD資料保護專用儲存設備,不管是BR、DR或是CR,甚至在雲端備援上,也能提供PowerProtect DD Virtual Edition來協助企業將雲平台上的各式應用資料加以備份,進行統一的整合管理與保護。另外,由於中小型企業IT資源有限,很難在本地建置一套Dell PowerProtect Cyber Recover,現在中小企業也能在AWS上直接訂閱使用,由於中小企業的資料量本來就不多,因此可以很容易地在短時間內完成資料傳輸,並關掉Air Gap。「不過,如果是金融、政府或是中大型企業,還是建議在地端建立避風港機制較為合適。」他說。