為了因應勒索軟體對於資料儲存系統造成的傷害,這幾年來,我們持續追蹤市場上陸續崛起的各種威脅預防作法,例如:資料快速還原是最初且最廣為人知的對策,實體隔離(Air-Gap)不可變儲存(Immutable Storage)近期重新受到重視,至於資安威脅偵測與識別的整合應用,也浮上檯面。

像是公有雲龍頭業者AWS在今年6月舉行的re:Inforece年度資安大會,就針對旗下物件儲存服務S3正式推出這類功能,事實上,單就大型公有雲廠商而言,IBMOracleGoogle、微軟都已推出這類解決方案,我們現在來看微軟去年9月正式上線的Malware Scanning in Defender for Storage。

這項功能的供應,透過軟體即服務(SaaS)型態的微軟雲端原生資安防護服務Defender for Cloud進行,可處理包含ZIP壓縮格式檔案在內的所有檔案類型、單檔最大為2 GB,協助Azure用戶保護Blob儲存排除惡意內容,預防惡意檔案趁機散播、敏感資料外洩,以及資料破壞的事故,並且在企業與組織處理各種未獲得信任的內容時,能用來滿足NIST、SWIFT、GDPR等安全性與法規遵循的需求。

基本上,微軟會針對上傳至Azure儲存帳戶的檔案,以近乎即時的方式運用企業級端點防護技術Microsoft Defender Antivirus,讀取Blob儲存,執行內建、不需安裝代理程式(agentless)的惡意軟體掃描機制,透過記憶體內(in-memory)、頻外(out of band)的方式進行內容掃描,能夠攔截採用多形(polymorphic)與變形(metamorphic)這類企圖混淆特徵碼偵測的資安威脅。微軟表示,掃描作業大部分在儲存帳戶所在的相同區域進行,但在某些狀況之下,若遇到檔案可疑、需要更多資料確認是否安全時,惡意軟體掃描功能會與企業端點防護軟體Microsoft Defender for Endpoint合作,將包含分類至用戶資料在內的檔案中繼資料,例如SHA-256雜湊值,共享到掃描區域之外進行研判。

  

對於Azure用戶而言,經由簡單的步驟設定,即可大規模執行這項功能,以及處理這類資安威脅——可依據Blob儲存的索引標籤或Event Grid出現的事件,自動刪除或隔離可疑的檔案,而且不需要耗費人力與時間維護。

 

值得注意的是,關於大規模執行的能力,並非所有同類型解決方案都具備,微軟表示,多數會將檔案送至執行開放原始碼防毒軟體ClamAV的虛擬機器,或是交由端點偵測與應變解決方案(EDR)供應商,或是並非為PaaS與IaaS雲端服務量身打造的SaaS型態解決方案,而這些系統無法妥善地擴展執行規模,往往需耗費太多資源、大量依賴多個複製的工作,以及複雜的網路傳輸方式,導致用戶在開始進行掃描作業之前,就必須經歷過度漫長的等待,並且在應用程式與工作流程產生阻礙。

在大部分情況下,用戶會因此受困於錯縱複雜的網路,以及各種資料管理工作同時進行的挑戰,增加IT團隊的工作負擔。光是啟用程序的破碎與資源擴展規模的維護,就相當累贅,形成經常必須處理的負擔,產生許多出錯的機會,影響防護成效,並且因為資料流與資源分配不良,增加可被駭客與惡意軟體侵犯的空隙。

產品資訊

Malware Scanning in Defender for Storage
●原廠:微軟
●建議售價:亞太地區Defender for Storage每個儲存體帳戶每小時0.4361元,選購惡意軟體掃描功能每GB資料4.882元
●啟用與設定功能的權限條件:用戶角色須為Azure服務的擁有者(訂閱服務擁有者或儲存體帳戶用有者)
●惡意軟體防護功能:Microsoft Defender Antivirus
●單一檔案容量掃描上限:2 GB

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement