隨著勒索軟體的肆虐,儲存設備已成為勒索軟體攻擊的主要目標之一,促使各大儲存平臺紛紛引進對應的防護功能,以便在此提供抵禦勒索軟體威脅的手段。
隨著時間推移,儲存平臺整合的勒索軟體防護功能更為多樣化。最初,儲存廠商的焦點放在被動式的防護手段,例如WORM或不可變快照等不可變(Immutability)儲存技術,以提供不受惡意刪改的資料保存或複本,或是讓資料保存區域與外界隔離的Air-Gap技術等。但這些都是在勒索軟體發作後,幫助用於恢復資料的被動手段。
近1年多來,越來越多廠商在儲存平臺整合主動式的防護手段,包括威脅的偵測與識別,以便在勒索軟體發作之前或當下,發現與排除威脅,再結合原有的被動防護功能,構成更完整的儲存端勒索軟體防護方案。
典型的儲存端勒索軟體防護架構
當前應用在儲存平臺的勒索軟體防護功能,主要有不可變儲存、Air-Gap、資料快速還原,以及威脅偵測與識別等幾種:
不可變儲存技術
用於將資料鎖定在唯讀狀態,防止非授權的刪改,又分為用於資料本體與用於資料複本等2大類型,前者如WORM,後者則如不可變快照。
目前大多數企業級儲存平臺都能提供不可變儲存技術,但針對勒索軟體防護應用的不可變儲存,需要具備足夠的強固性,能抵禦攻擊者透過時間飄移攻擊來欺騙系統時間,進而影響不可變儲存的資料保存時間判定;同時,儲存系統的管理也需要較嚴格的操作驗證,以防止攻擊者修改不可變儲存的資料保存政策。
Air-Gap
將資料從主儲存系統複製到隔離的環境保存,為關鍵資料提供進一步的保護。
由於Air-Gap的目的是安全地保存關鍵資料複本,所以,原則上是與備份、歸檔系統結合使用,而非用於須承載線上即時存取服務的主儲存系統。
資料快速還原
透過快照等快速還原技術,利用預先建立的複本,迅速將受感染的資料或整個儲存區,還原到完好狀態。
目前絕大多數企業級儲存設備都內含快照功能,可供快速還原資料使用,但面對勒索軟體攻擊時,快照還原作業成功發揮功效的前提,是快照複本自身的完好、未受感染與刪改,所以快照必須配合不可變儲存技術與威脅偵測一併使用,排除受感染的複本,並避免複本本身遭到刪改。
資安威脅偵測與識別
基本的資安威脅偵測,是透過持續監控儲存設備的存取行為,當預設的特定異常行為出現時,向管理者發出警示。更深度的監控與分析作業,是結合機器學習或AI技術,學習用戶的存取行為模式,進而可以即時分析與發現資料與存取行為的異常,更精確地識別出威脅。
一般的存取行為監控與分析功能,可以整合在儲存設備自身的管理控制臺,至於結合機器學習與AI的深度威脅偵測與識別,通常是搭配儲存廠商的雲端管理平臺,或是獨立的威脅分析平臺來執行,以免機器學習與分析作業的負載影響用戶端設備的效能。
典型的儲存端勒索軟體防護方案組成
前述不同面向的儲存設備防護技術,分別在勒索軟體攻擊的事前、事中、事後階段,提供抵禦攻擊的手段。
整合在雲端或獨立管理平臺中的威脅偵測與識別功能,可在攻擊發生前與發生當下,即時向用戶發出警示,從而啟動對應的措施。
至於儲存設備內含的不可變儲存與快照還原技術,則能提供安全的資料複本,以便在攻擊發生的事後,將資料回復到正常狀態。
而基於Air-Gap的隔離環境,則為關鍵資料提供多一層的保護。用戶需要定期將關鍵資料複製,並放到Air-Gap隔離環境保存。
更進一步,有些廠商還提供防護措施的自動化聯動觸發功能,例如在偵測到資安威脅時,自動建立不可變快照,或是鎖住使用者的存取等,藉此更即時地阻擋威脅。
一線大廠的勒索軟體防護方案
在兩三年前,只有少數儲存廠商提供個別的勒索軟體防護功能,這些安全機制既不普遍,多種防護功能之間也沒有組成完整的體系。而經過這段時間的發展,目前多數一線儲存廠商,都能提供涵蓋前述面向的完整勒索軟體防護技術。
首先,是儲存設備內含的不可變儲存功能(WORM或不可變快照),以及用於快速還原的快照功能;其次,是提供異常狀態監控與威脅偵測的雲端管理平臺或獨立平臺;最後,再搭配提供進階保護的Air-Gap隔離保存環境。
接下來我們先從幾家代表性的儲存大廠,檢視目前主流儲存設備的勒索軟體防護功能導入概況:
Dell
針對旗艦產品PowerMax儲存陣列,Dell提供基於CloudIQ雲端AI管理平臺的主動式勒索軟體威脅偵測服務。針對PowerScale與ECS儲存平臺,他們提供基於Superna Ransomware Defender的獨立保護套件,此套件擁有自動化的勒索軟體保護服務,包括自動偵測與識別威脅,並觸發一系列因應措施,如鎖定使用者、建立快照或暫停複製作業等。
在不可變儲存技術方面,PowerMax系列提供不可變的安全快照(secure snapshots),PowerScale則擁有SmartLock WORM功能。
另外,Dell還提供獨立的PowerProtect Cyber Recovery(PPCR)解決方案,可將前端主儲存設備的複本,透過擁有AirGap保護的複製管道傳送到PPCR,然後利用PPCR的WORM技術保存這些複本,PPCR還整合Cyber Sense掃描功能,可偵測與確保這些複本的完好。
Hitachi Vantara
透過Ops Center Analyzer、Ops Center Protector、Hitachi Data Retention Utility等工具,Hitachi Vantara提供涵蓋整個VSP儲存陣列家族的勒索軟體防護功能。
Ops Center Analyzer是Hitachi Vantara雲端AI管理平臺的一環,提供威脅偵測與警示功能。Hitachi Data Retention Utility與Ops Center Protector則是搭配VSP儲存陣列的軟體套件,前者提供WORM鎖定儲存區(Volume)選項,後者則能建立不可變快照。
Hitachi Vantara還提供與VM2020 CyberVR平臺搭配的隔離式資料保全解決方案,可透過Ops Center Protector將VSP的資料複本,複製到CyberVR平臺的隔離環境保存,並利用後者的掃描、測試功能,提供隔離於生產環境的勒索軟體安全應用。
HPE
HPE可透過InfoSight雲端AI管理平臺,為旗下Alletra與Primera系列儲存陣列提供主動式威脅偵測服務。
針對不可變儲存技術,Alletra 9000與Primera系列儲存陣列擁有源自3PAR的Virtual Lock功能,兼具WORM與不可變快照雙重用途,既可鎖住整個儲存區,也能鎖住快照複本。至於Alletra 5000/6000,則有不可變快照功能。
另外,HPE也結合Zerto軟體平臺與Alletra儲存陣列,提供Zerto Cyber Resilience Vault解決方案,透過內含的主動偵測與不可變儲存等功能,提供與生產環境隔離的資料複本安全保存環境。
IBM
基本上,目前IBM的區塊與檔案儲存產品,都提供勒索軟體保護功能。
在威脅偵測方面,IBM FlashSystem儲存陣列擁有特殊的硬體式勒索軟體偵測功能,可分析儲存陣列寫入模式,藉此判別威脅,還能將相關資料上傳IBM Storage Insights雲端平臺,做進一步分析。
而Storage Scale檔案與物件儲存平臺,則是透過IBM Storage Insights雲端平臺與Spectrum Control管理平臺,提供威脅偵測與警示能力。
在不可變儲存方面,FlashSystem儲存陣列提供Safeguarded Copy不可變快照,Storage Scale則有檔案層級的鎖定功能,以及Safeguarded Copy不可變快照。
另外,IBM也以FlashSystem與Safeguarded Copy為基礎,打造稱作FlashSystem Cyber Vault的隔離式資料保全方案。
NetApp
為了本身長期發展的ONTAP儲存平臺,NetApp提供了自動化的勒索軟體偵測與防護功能。
利用ONTAP內含的ONTAP Security軟體功能,可學習與分析用戶存取模式,從而發現異常,還能透過Cloud Insights雲端平臺提供額外的監控服務,而在BlueXP雲端管理控制臺當中,也有專門的Ransomware Protection Dashboard介面,可幫助用戶評估威脅風險。
在不可變儲存技術方面,ONTAP平臺很早就擁有稱作SnapLock的WORM功能,近來又新增不可變快照功能。特別的是,ONTAP平臺還擁有威脅偵測與不可變儲存的自動聯動功能,當ONTAP Security的ONTAP Onbox功能偵測到系統異常,便會自動立即觸發、建立不可變快照,保存當下資料的複本。
Pure Storage
相較於其他一線大廠,Pure Storage也有勒索軟體防護功能。
例如,Pure Storage的Pure1雲端管理平臺,可為FlashArray與FlashBlade兩大產品線,提供操作異常偵測的服務。
在不可變儲存技術方面,FlashArray與FlashBlade都擁有稱作SafeMode的不可變快照功能。
未來儲存應用的必備功能
除了前述一線大廠外,其餘眾多中生代與新創儲存廠商,如DDN、Infinidat、Nutanix、StorONE、Nasuni、Panzura、Weka等,也都陸續在儲存平臺中引進了同類的勒索軟體防護功能,也讓這類功能成為未來儲存應用不可或缺的環節。
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-14