精選

[主筆漫談] 專屬型微處理器的復興

電腦的世界自始至終都是圍繞在軟體與硬體的協作之上,單純的硬體或是單純的軟體,是無法完成任何事情的。如果從這個角度看,所謂的軟體定義抑或是硬體定義,只不過也就是「為賦新詞強說愁」罷了! 回到本文主題的微處理器身上。早年,也就是從所謂的「電腦」(計算機)剛被發明出來,一直到筆者唸...

2021/11/23

[企業儲存觀察室|技術] 淺談對抗勒索軟體的資料保護策略

儘管勒索病毒(加密軟體)的新聞在國內不多見,但筆者認為見報的受害者其實只是冰山一角,有更多的企業組織即便遭到勒索駭客的攻擊,基於諸多原因會自行找方法解決,選擇低調應對,但勒索軟體已經成為駭客最流行使用的方法之一。
根據 IDC 一項最近的調查,每一椿勒索軟體的平均付款已經超過 24 萬美金。

更糟糕的是這種有利可圖的犯罪行為,更激勵不良駭客們擴大其攻擊範圍,二級儲存、備份資料都成為攻擊的目標,這也使得企業資安必須要面對更大的挑戰。


圖片來源:網路

首先我們必須認清,在網路發達的今日,要完全避免駭客攻擊的機率幾乎等於零!
對於企業組織來說,除了資安防護外,擁有正確的資料保護策略,在被攻擊後將衝擊降到最低,才是更完整的應對之道。
因此本文將從資料保護的角度,來剖析如何應對勒索病毒的挑戰。

面對病毒,不論是自然的或是數位病毒,並沒有 All-in-One、100% 有效的解決方案。主要的應對方式不外乎:
事前的防護(疫苗),避免被病毒感染,或在發作初期發現病毒,儘快將之移除或阻絕。以及,
事後的治療(藥物),在被攻擊後儘快的復原,讓系統回復正常狀態。
人工智慧與機器學習為病毒的防治展現出新的趨勢,透過 AI 儘可能地在加密病毒發病初期就可以偵測到,並且採取後續的保護行動以降低損失。

在事前資安防護的部份,最近有一些新興的資安防護技術,就是採用與傳統防毒軟體「特徵比對」不同的方式,以機器學習來分析攻擊行為的模式並進行預防,據說可以「即時阻止已知和未知的網路攻擊」。但是否真能做到「即時阻止」?筆者就不清楚了。
就字面上來看,這類新技術是就「行為」來分析,一旦發現異常的行為模式,例如對大量的檔案進行加密動作時,就要採取相應的防護作為。
但此時已經有部份的資料可能已經被加密了⋯⋯另外病毒也可能會演化,或許會採取更低調、更隱密、更不易被察覺的行為模式,例如將「一次」「大量」的大動作改成「小量」而「頻繁」的小動作,也有可能在被偵測到前已經潛藏在系統裡數個月之久了。但這並不意味著這類資安防護工具沒有用,就如同疫苗一樣,就算會有突破性感染,因此還是必須要打疫苗,也要發展感染後的治療藥物,也就是資料保護方案。

以資料保護為基礎的抗病毒解決方案,就是在被攻擊後,如何在最短時間內 (RTO≈0),儘可能的復原最大量的資料 (RPO≈0),回復系統的正常運作,這是這個階段最重要的任務。只要是被加密過、(不肯付贖金)沒有解密金鑰的資料,都可以視為已經損毀而無法復原的資料。
從這個角度來看就是要走資料復原的程序,因此也就無怪乎所有的資料備份產品,都會宣稱其具有抗病毒的療效。
但要從攻擊中復原最大的挑戰,在於需要一個時間點,一個最接近攻擊前的時間點,找出沒有被感染的最後一份資料拷貝,這對傳統的資料備份產品/策略來說是極其困難的。

完整的備份策略除了每天離峰時間的備份外,對於活躍性或是線上交易資料,通常還要搭配時點快照或是持續性資料保護 (CDP),來降低 RPO 與 RTO。現實上,大部份的日常資料復原作業,應該都是來自於最近的時點快照,而不是前一日的備份資料。但即使有了時點快照或 CDP,最困難的問題依舊,如何找到未感染前的最近一個時間點來進行資料復原?這個時候我們又需要機器學習上場了。
在儲存系統中加入資料寫入行為的監測,當發現「疑似」勒索病毒的資料寫入行為時,就啟動後續的資料保護程序,這可以提供一個儘可能接近攻擊發起的復原時間點。
然後再從最接近的時點快照資料中回復被加密前的資料,當然有可能在攻擊行為被偵測到前,已經有部份(應該是少量)的資料被加密了,但至少儲存管理者可以依此再往前找尋前一個版本的時點快照。

前面我們提到了駭客們已經擴大其攻擊範圍,二級儲存、備份資料等都成為攻擊的目標。面對非結構化資料的加密攻擊,物件儲存倒是可以提供一個很好的資料防護方式。大部份的物件儲存都具備物件不可修改的能力,對物件的改變事實上是修改物件的新版本拷貝,舊物件資料是不變的;這個功能類似物件/檔案層級的時點快照或 WORM。
因此在物件儲存中,目前版本的前一個版本,就是未被加密前的可用資料。被加密過後的資料,因為不可用也不會再產生新的資料拷貝。
但這種方式最大的缺點在於只是針對物件/檔案層級的保護,因此在復原上也要耗費不少的人力。

綜合來看,就現有的技術/產品來說,面對勒索/加密病毒的挑戰,還沒有任何一個簡易、全面而完整的解決方案,企業組織必須透過事前防範、事後補救,並且協以人工作業的方式來面對。但無論如何,如果你不想要付高額的贖金,還是有辦法的,只是先前的準備工作必須要充份!