資料保護 勒索軟體 備份 備援 CR Cyber Recovery

細說BR、DR與CR差異 連續資料保護還原任意時間點

CDP結合即時加密偵測 實體隔離資料救生艇

2023-11-03
HPE的Zerto採用的是連續資料保護(CDP)技術,每當資料有任何異動都會進行備份,其運作方式可以簡單地想像成一台行車紀錄器,Zerto會在企業系統運行的過程中不斷地進行備份紀錄,因為是秒級的備份方案,所以企業可以很輕鬆地把系統還原到災難前的任何一個時間點。

面對數位經濟時代,資料資產已成企業核心競爭力,如何確保在發生災難、故障或是遭遇資安攻擊時,仍能夠保有資料的可用性、完整性以及安全性,更是企業建構營運韌性的關鍵。根據HPE Zerto去年委由IDC進行勒索軟體與災難準備狀況調查(The State of Ransomware and Disaster Preparedness: 2022)發現,有六成的企業已採取措施實現「資料驅動」,藉由工具和方法的運用以更有效地利用資料,從而更快、更準確地做出決策。

然而,這份調查報告同時也發現,隨著攻擊頻率增高,攻擊的成功率也跟著攀升,高達93%的組織在調查的過去一年內曾遭受到與資料相關的業務中斷;在受到攻擊的企業中,有83%的企業指出至少受到一次攻擊而導致資料毀損,有60%的企業在過去一年都曾經歷資料無法復原的情況。根據IDC研究,企業每小時的停機成本就要25萬美元,隨著後果變得愈加昂貴與嚴重,企業也越來越不能接受,正在積極地尋找RPO及RTO都接近於零的解決方案。

HPE Zerto全球技術總監Michael Martino指出,勒索軟體威脅和網路攻擊的頻率、嚴重性和複雜性都在不斷地上升,企業需要強大、主動的策略,不僅要預防和阻止攻擊,還要在攻擊發生後能夠復原資料。

HPE Zerto全球技術總監Michael Martino指出,勒索軟體威脅和網路攻擊的頻率、嚴重性和複雜性都在不斷地上升,企業需要強大、主動的策略,不僅要預防和阻止攻擊,還要在攻擊發生後能夠復原資料。「HPE Zerto希望幫助企業解決許多IT的挑戰,特別是遭到勒索軟體攻擊後的資料復原,以及不在規劃中的停機與災難復原,無論是人為或自然災害都包含在內。」

有鑑於越來越多公司採用雲端服務,混合多雲的架構可能會讓IT環境變得更複雜,而地端或雲端之間或是多個雲端之間能否順暢地遷移,也至為重要。他提到,勒索軟體也算一種災難類型,若採行傳統備份還原,不僅復原時間較久,而且資料時間落差也較大,但是HPE Zerto採用的是連續資料保護(CDP)技術,每當資料有任何異動都會進行備份,「其運作方式可以簡單地想像成一台行車紀錄器,Zerto會在企業系統運行的過程中不斷地進行備份紀錄,因為是秒級的備份方案,所以企業可以很輕鬆地把系統還原到災難前的任何一個時間點。」

加入實體隔離概念 多一層保護

根據Stratistics MRC資料顯示,2023年全球勒索軟體防護市場規模為245.6億美元,預計到2030年將達到835.1億美元,預測期內複合年增長率為19.1%。

Michael Martino認為,網際復原(Cyber Recovery,CR)具備了災難備援(DR)與備份(BR)的優勢。DR的意義是要在很快速的時間內把服務重啟,但是資料可能不會非常完整。而BR雖然比較完整,卻需要花費比較久的時間復原。但CR重視的是速度,同時要減少衝擊。「備份可以有很多復原的時間點,費用可能比較低,但是資料落差可以長達一整天,而災難復原通常是保留了幾分鐘前的最後一次備份,但是可能無法提供很多的時間點選項。CR的優勢即在於既有很多時間點的備份,同時也能很快速地復原。」

他進一步補充,就功能面來看,還有一個非常大的差別是CR加入了實體隔離(Air Gap)的概念,亦即把資料以離線的方式存放,但還是可以做到快速地復原。這聽起來看是一個比較不熟悉的概念,但隨著駭客開始鎖定備份資料進行攻擊,以高頻率的方式把備份或是關鍵資料存放在實體隔離區,就等同是多一層保護。

一般DR的架構是企業在生產環境之外,會另外設置緩衝區(Landing Zone)作為備援站點,而實體隔離的作法是在Landing Zone內,額外再建立一個資料安全庫(Vault),中間的連線則是採用公司內網,而且只有一定的時間才能打開。由於Landing Zone與Vault位處於同一個位置,因此也可以把實體隔離區想像成救生艇的概念,萬一連Landing Zone都遭受污染,Vault就是最後一道防線。

即時加密偵測掃描偵測惡意行為

Cyber Resilience Vault是HPE Zerto提供的一項功能,可協助企業打造一個獨立、零信任的乾淨空間,落實實體隔離(Air Gap)的概念。透過自動化與排程的方式,Cyber Resilience Vault提供近乎同步的複寫以及即時加密偵測掃描,以加速資料的復原。此外,還會利用HPE Alletra快閃儲存設備來暫時執行資料安全庫中的任何工作負載,而且不會影響效能。由於Alletra可以預測並防止儲存、服務和虛擬機器(VM)中斷,因而可以減少停機造成的損失。

此外,也能利用去中心化、零信任的方法,滿足不同的業務和技術要求,例如將實體隔離區建置在生產環境或是第二個站點。它同時也支援雲端複寫(例如Microsoft Azure或Amazon Web Services)並且可以結合備份以發揮最大的成效,例如一對多的公有雲備份。

目前大多數的實體隔離方案都提供勒索軟體掃描或偵測,以確保寫進Vault的資料處於安全、可用的狀態。而Zerto Cyber Resilience Vault也提供即時加密偵測掃描,能針對惡意行為或異常行為進行偵測,例如有些資料不該加密而被加密,或是在勒索軟體入侵時就可以偵測到。

由於Landing Zone與Vault位處於同一個位置,也可以把實體隔離區想像成救生艇的概念,萬一連Landing Zone都遭受污染,Vault就是最後一道防線。(資料來源:HPE Zerto)

Michael Martino強調,Zerto的優勢是運用複寫以及CDP技術來進行即時的資料保護,當資料寫入資料區塊時,一旦偵測到疑似勒索軟體的攻擊行為,便會即時發出告警。過程中,主要是利用機器學習來學習勒索軟體的加密行為,因為加密行為的改變也會影響到I/O的變化,因此可藉以判斷是否被勒索軟體加密,並且發出告警。

「Zerto專注在災難備援領域已經非常多年,透過CDP技術,每一份資料複寫都只有差距幾秒鐘,所以一天之中,可能有超過千份以上不同時間點的資料複寫,萬一企業不幸遭遇到勒索軟體攻擊,可選擇的復原時間點其實非常多,而且Zerto一旦發現有些可疑的加密行為,就會把它標記起來,企業可以簡單地看標記就能輕鬆找到被加密前的版本進行復原。」他說。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!