圖片來源: 

NetApp

在已邁入第10年的臺灣資安大會歷史中,儲存與備份、資料保護廠商,參與臺灣資安大會是晚近幾年的事。

過去,資安防護主要是在網路端或應用程式端進行,但面對勒索軟體威脅的持續肆虐,儲存設備與備份保護平臺現在也無法置身事外。顯然的,只要被攻擊的用戶手上還有可用的資料複本,那麼只要進行資料復原即可,而不會輕易向攻擊者屈服。於是備份與儲存環境,也已成為勒索軟體攻擊的目標。

為了避免自身成為防護的缺口,備份與儲存平臺除了強化權限管理、加密等一般通用性的資安防護措施外,也陸續導入一些針對勒索軟體特化的防護手段。

在這幾年的臺灣資安大會中,我們便見到在儲存設備領域,勒索軟體防護功能的持續擴展。最初的出發點,是導入不可變儲存技術(immutable storage),防止資料複本遭到惡意刪改。下一步是引進主動偵測能力,確保資料乾淨、不受感染。而到了今年的資安大會,我們進一步見到,儲存端已開始形成一套涵蓋資料治理、識別、偵測、資料保護、威脅回應與回復等多個面向的完整防護架構。

儲存端勒索軟體防護的3階段進化

從過去3年參與資安大會的儲存廠商,可以清楚見到儲存產品在勒索軟體防護能力的3階段進化:

●第1階段:從不可變儲存技術應用起步。

利用不可變儲存技術鎖住資料、防止刪改的特性,可以遏阻勒索軟體的發作,阻擋其加密或刪除資料,藉此提供不受竄改的複本。

例如Dell連續數年在臺灣資安大會中介紹的CyberRecovery解決方案,便是是以PowerProtect DD儲存伺服器的Retention Lock一寫多讀技術(WORM)為核心,結合Air-Gap隔離功能,打造出一個隔離的安全儲存區域,用於保存關鍵資料的備份複本。

除了鎖住整個儲存區的WORM類型不可變儲存技術外,鎖住快照複本的不可變快照(Immutable Snapshot),也迅速獲得應用,例如Pure Storage與NetApp在大會中介紹的SafeMode與Tamperproof Snapshot功能,都是搭配儲存陣列平臺的不可變快照。

●第2階段:結合主動偵測機制。

主動偵測功能可以結合備份儲存環境,定期掃描與偵測備份複本,排除受到感染的備份複本,幫助確認備份複本的可用性,確保能提供「乾淨」的複本以供復原;主動偵測功能也能也能應用於線上生產儲存環境,監控存取I/O是否存在異常,並在發現異常時即時應對。

在過去幾年資安大會中,我們見到整合於儲存系統中的主動偵測功能,便有Dell整合於CyberRecovery中的CyberSense自動偵測與分析功能,

Arrosoft(傲索科技)的AirGap離線備份系統與BaaS備份代管服務中,所提供的資料健檢、即時偵測與異常警報功能。還有NetApp於ONTAP儲存平臺中提供的異常行為偵測、反勒索軟體偵測功能功能,還有NetApp整合於Cloud InSights雲端監控服務的Storage Workload Security(SWS)使用者存取行為監控服務。

●第3階段:形成涵蓋多個面向的完整防護架構

當儲存設備有了保護資料不受刪改的不可變儲存功能,以及主動偵測功能,還有與快照連動的異常偵測能力,若能再進一步整合備份/還原服務,並加上一個監控與回應勒索軟體威脅的控制臺介面,就能構成一套涵蓋資料保護、威脅偵測、回應、資料復原等不同面向,完整的安全防護架構。

我們在今年的臺灣資安大會中,便見到NetApp與Veritas,提出了這種擁有涵蓋多個面向的完整儲存端防護架構,也是儲存端勒索軟體防護應用的最新進化型態。

符合NIST框架的多面向儲存端防護架構

今年資安大會中,在儲存端資安防護方面,我們印象最深刻的便是NetApp提出一套符合NIST資安框架6大面向——識別、保護、偵測、回應、復原,以及新增加的治理(Govern),完整的安全防護架構。

許多儲存廠商在介紹產品安全功能時,往往也會以NIST資安框架作為的切入點,但其產品功能組合,多半只能涵蓋NIST框架中的保護、復原、偵測等幾個面向。

而NetApp則透過整合旗下ONTAP儲存平臺與BlueXP雲端管理平臺,所內含的一系列資料保護功能與服務,構成一套完整NIST資安框架6大面向的儲存端防護架構。

在識別方面,NetApp提供了BlueXP Ransomware Protection勒索軟體防護控制臺,與BlueXP Classification資料掃瞄、分析與分類服務,可以幫助用戶理解應用環境與資料含有的風險。

在保護方面,則有BlueXP Ransomware Protection控制臺、BlueXP Disaster Recovery雲端災難復原服務、BlueXP Backup and Recovery雲端備份還原服務,FPolicy資料篩檢服務,VScan防毒伺服器、SnapLock一寫多讀功能、防竄改快照,還有加密,以及多因素認證等,利用這些功能與服務,可以提供多種不同面向與層級的保護措施。

在偵測方面,則有自主式勒索軟體防護(Autonomous Ransomware Protection,ARP)偵測功能,搭配第3方防毒軟體的VScan防毒伺服器,以及基於雲端的Storage Workload Security(SWS)使用者存取行為監控服務等,可以幫助用戶識別與發現資安威脅。

在回應方面,則透過ARP偵測功能與SWS監控服務在發現威脅時發出警示,並觸發快照與存取封鎖,還能透過FPolicy來封鎖已知的惡意檔案副檔名。

在復原方面,則有BlueXP Ransomware Protection控制臺、BlueXP Disaster Recovery與BlueXP Backup and Recovery服務,還有搭配快照的SnapRestore儲存區還原功能,幫助用戶在遭受攻擊後,將資料復原到完好狀態。

而在治理方面,則透過BlueXP Ransomware Protection控制臺、BlueXP Classification資料識別服務,以及ActiveIQ雲端監控平臺,幫助用戶管理整個應用環境的資安風險。

在NetApp前述眾多功能與服務中,其實只有BlueXP Ransomware Protection控制臺,以及新的ARP偵測功能,是近期推出的新服務,其餘都是已有的功能與服務。但先前都是各自發展與應用,而現在NetApp則將這些功能與服務統合為基於NIST框架的完整防護架構,可算是儲存端防護應用的創舉。

類似的,Veritas介紹的Veritas 360 Defense架構,也是一套涵蓋廣泛的儲存端防護架構,以NetBackup備份平臺與Veritas Alta資料管理平臺為核心,結合第3方合作廠商產品而成,可提供威脅偵測、不可變儲存、隔離保護、資料復原等方面的應用。

在這次臺灣資安大會中,NetApp以NIST框架的6大功能面向,統整了該公司旗下15項安全防護功能與服務,展現了迄今最全面的儲存設備端安全防護架構。
圖片來源:NetApp

 

 

勒索軟體防護將成為儲存產品必備功能

從這幾年的臺灣資安大會中,我們可以清楚見到勒索軟體防護功能在儲存產品上的擴散,雖然就目前來說,提供這類防護功能的儲存平臺,依然是以備份應用類型平臺為主,但已開始朝向通用儲存平臺擴展。

更進一步,我們可以預見,勒索軟體防護將逐漸成為儲存平臺必備的內建功能之一。早先有一些儲存廠商也能為通用儲存設備提供勒索軟體偵測與回應功能,但需要搭配第3方產品才能實現,而NetApp則直接將這項功能內建在ONTAP平臺內,大幅提高了部署與操作的簡便性。而在NetApp等先驅廠商的推動下,現在有越來越多通用儲存平臺開始內建勒索軟體偵測功能,例如CETRA、Panzura等,日後必然會有更多廠商跟進。

 

 相關報導 

熱門新聞

Advertisement