Dell

時間又到了每年3月31日的世界備份日(World Backup Day),一個提醒大家重視備份、落實資料備份的日子。

面對勒索軟體持續肆虐全球的今日,備份的落實,已不僅止於傳統的「3-2-1」原則——資料至少備份3份、採用2種備份儲存型式,其中1份備份位於異地,同時還要確保備份不受勒索軟體侵害,才能確保備份是有效的。

備份是資料儲存的「保險」,是用戶遭遇資料毀損災難時,賴以還原的手段。然而在今日,備份已成為勒索軟體攻擊的目標,一旦備份系統遭到勒索軟體侵害,備份,企業也就失去這最後一道保險。所以沒有勒索軟體防護措施的備份環境,已經稱不上是有效的備份。

備份的勒索軟體防護手段

面對勒索軟體威脅,當前多數備份軟體與備份儲存系統,已陸續引進一系列防護措施來遏止勒索軟體的危害。

目前最普遍使用的備份保護措施,包含了3種技術型式:威脅偵測、Air-Gap,以及不可變儲存(Immutable storage)。

威脅偵測系統屬於主動防護措施,在備份資料存取的過程中,透過一系列偵測措施,例如檢測檔案簽名(File Signatures)是否錯誤,偵測檔案名稱、擴展名稱或存取權限是否出現異常更動,以及是否出現大規模檔案內容的更動或刪除行為等,來判斷是否有勒索軟體侵入,並向用戶管理者發出警示。

Air-Gap與不可變儲存則屬於被動防護手段。Air-Gap能將備份環境與外界隔離,藉此降低備份環境暴露在網路攻擊中的機會。而一寫多讀(Write Once Read Many,WORM)等不可變儲存技術,因為能夠鎖定備份複本的狀態,杜絕備份複本遭到刪除、覆蓋或修改。

整體而言,這些防護措施覆蓋了備份應用的所有環節,從備份資料的傳輸與寫入,到備份複本的儲存保管。但即便用戶的備份環境擁有了前述全部的防護措施,一系列操作設定上的細節,將會影響到這些防護措施能否有效運作,從而決定備份保護的成敗。

影響不可變儲存的因素

一般而言,WORM等不可變儲存技術可以鎖住備份複本的狀態,不允許更改予刪除,因而當用戶遭受勒索軟體攻擊時,仍有不受攻擊影響的安全複本,可用於還原資料。

但不可變儲存技術要能有效發揮作用,有賴於4個條件的配合:

1.備份複本在受到不可變儲存技術鎖住之前,必須是「乾淨無毒」的。

不可變儲存技術屬於「被動」型式的防護手段,不能判別其鎖住的資料是否含有勒索軟體,如果勒索軟體潛伏時間較長,很可能在用戶利用WORM功能鎖住備份複本之前,備份複本就已遭受感染,那麼這些受感染的複本,就算被WORM鎖住,也無法作為有效的複本來使用。

然而,這也意味著,WORM等不可變儲存技術,並不能單獨發揮防護勒索軟體的作用,必須結合威脅偵測技術,先行主動偵測與掃描備份複本,確保備份複本的完好,然後WORM的鎖定功能才有實質意義。

2.備份複本在被不可變儲存技術鎖住前,必須是「驗證有效」的。

不可變儲存技術只是被動地鎖住指定儲存媒體或儲存區的寫入行為,並無法判別其中的資料是否完好。但由於沒有足夠的時間,許多用戶都不能確實驗證備份複本是否確實能還原資料,以致難以發現備份複本的資料是不完整或受損的,而這些不完整的備份複本,即便使用WORM來鎖定狀態,也無法成功用於還原。所以定期執行完整的備份驗證程序——不只是檢驗備份作業成功與否,還包括模擬的還原程序,仍是備份應用中不可或缺的一環。

3.必須確實地設定備份複本的WORM鎖定保留期限(retention time),才能有效保護資料。

當備份複本被設定為WORM不可變之後,攻擊者便無法直接刪除這些WORM備份複本,但仍可透過其他方式來攻擊備份環境,達到刪除備份的效果。例如,故意向備份環境寫入大量資料,導致備份儲存區滿載,此時可能導致備份系統為了維持運作,強制刪除較舊的備份複本,以便釋放備份儲存空間。

但設定了保存期限的WORM備份複本,系統便無法強制刪除,即便儲存空間滿載會導致備份系統陷入停擺,無法寫入新的備份資料,但WORM備份複本仍能保存下來。

4.WORM技術必須結合系統時間保護技術才能有效運作。

軟體類型的不可變儲存技術,是基於系統時間來設定與判別鎖定資料的期限,若攻擊者能修改備份儲存系統的時間——也就是所謂的「時間切換」(time zapping)攻擊,便有可能藉由竄改系統時間,將系統時間提前,導致不可變儲存功能提前解除鎖定,從而讓資料暴露在攻擊中。因此提供不可變儲存技術的儲存設備,必須提供防竄改時鐘(Tamper-proof clock),才能確保不可變儲存的鎖定期限功能有效。

影響Air-Gap的因素

Air-Gap的目的,是讓備份環境與可能的威脅來源隔離,特別是斷開與網際網路的連接,減少備份複本暴露在攻擊下的機會。

但實際上只有磁帶、光碟這類可以實體移除、分離保存的抽取式儲存裝置,才能做到徹底的Air-Gap效果,也就是實體的離線(offline),透過網路將備份資料寫入磁帶或光碟後,就能將這些儲存媒體取出,完全與前端生產環境斷開,甚至斷電,徹底確保攻擊者無法接觸與存取這些備份儲存媒體。

至於基於磁碟儲存或雲端儲存的備份儲存環境,雖然許多聲稱能提供Air-Gap機制,但其實都只是邏輯架構與設定上的「虛擬」隔離,利用存取控制技術來隔離備份環境與生產環境,而非真正斷開實體的網路連結,因而仍然存在著因不當的系統配置、系統漏洞或人為操作錯誤,導致隔離失效,備份資料暴露在網路上的可能性。

除了徹底檢查Air-Gap涉及的網路配置、盡可能修補系統漏洞,另一種解決此問題的折衷辦法,是採用D-D-T之類的架構,將磁帶納入備份環境的末端,作為安全的離線資料保存手段。

備份保護機制的實施

隨著攻擊手法的日新月異,我們不能期望威脅偵測系統總是能夠及時發現所有攻擊行為,因此,必須同時搭配Air-Gap與WORM等被動防護措施,才能提供完整的保護。另一方面,僅僅依靠被動防護措施,也不能保證備份複本可用,必須結合威脅偵測來確認複本的可用。

所以,威脅偵測、Air-Gap與不可變儲存這3類技術,對於備份保護來說是缺一不可。

而在實際的建置方式上,這3類技術既能以備份軟體為核心來部署,也可透過獨立的備份保護環境來部署。

目前許多備份軟體都內含威脅偵測功能,並提供Air-Gap架構的建置設定指引,只要再結合提供WORM功能的備份儲存設備,就能構成完整的勒索軟體防護機制。

也有一些廠商提供All-in-one的備份保護系統產品,結合了威脅偵測、Air-Gap與不可變儲存功能,用於搭配用戶的備份環境,幫助備份環境確保安全的複本,最典型的便是Dell的Cyber Recovery。

但無論哪一種部署與實施方式,都須注意到前述細節設定,才能確保保護措施的有效。

 

熱門新聞

Advertisement