備份軟體自身也有資料庫、執行檔,萬一備份軟體被勒索軟體加密,服務便不能執行,即使備份資料被保護得很好,也無用武之地。所以當災難發生時,備份軟體若須重新安裝與啟用,也就意謂著企業無法在第一時間復原資料。
勒索軟體已經成為新常態。根據Enterprise Strategy Group近期發布《2023 Ransomware preparedness:Lighting the Way to Readiness and Mitigation》調查指出,高達65%的受訪企業認為勒索軟體已成為企業生存的三大威脅之一,甚至有13%的受訪者認為它是企業的頭號威脅。更值得關心的是,在受訪的600家企業中,只有16%的企業在受到勒索軟體攻擊後能夠全身而退,完全復原所有資料,其餘84%的企業資料則因為無法復原而導致遺失。
Veritas資深技術顧問陳力維指出,勒索軟體攻擊越來越猖獗,實務上也聽聞許多企業受害,如何協助企業快速復原資料將是應對惡意攻擊的一大關鍵。過去,備份資料被視為資訊安全的最後一道防線,但駭客也已認知到這點,為了迫使企業支付贖金,駭客也會鎖定備份資料攻擊,這也是為何市場會力推資料防寫保護機制以及實體隔離(Air Gap)環境,原因就在於備份資料早已成為駭客目標。
「資料防寫並不等於唯讀,一般熟知的一寫多讀(WORM)技術其實是第二道防線,常見的第一道防線是備份軟體服務供應商會只限定自身軟體能夠存取備份資料。然而,即便有了多道防線,對很多企業而言仍不足夠,因為這些措施是基於保護備份資料而設計,並沒有對備份軟體進行保護。」他解釋,備份軟體也有資料庫、也有執行檔,一旦備份軟體被勒索軟體加密,服務便不能執行,所以即使備份資料被保護得很好,也無用武之地。當災難發生時,備份軟體若須重新安裝與啟用,也就意謂著企業無法在第一時間就復原資料。而這也是為何資料保護方案供應商通常會提供零信任以及權限控制機制,或是強調要符合美國國家標準暨技術研究院(NIST)標準的原因,目的即是希望降低備份軟體本身被攻擊、被打垮的機率。
專屬硬體採零信任架構設計
舉例而言,NetBackup Flex Appliances就是採用零信任架構設計,並提供多重安全防護機制,從硬體安全性、Veritas VxOS作業系統層、容器服務隔離、權限控制,到FIPS 140-2認證加密技術,甚至還內建了主機防護,如Symantec Data Center Security: Server Advanced(SDCS),目的都是為了避免資料因勒索軟體入侵而遭到刪除或毀損,同時能夠協助企業快速地還原資料。
「NetBackup Flex Appliances從硬體到作業系統、檔案系統,都是客製化設計,這樣的好處是,即使駭客發現NetBackup軟體本身有漏洞而發動零時差攻擊,也須花費不少時間穿越重重的關卡,而這段時間就足以讓Veritas團隊補上修補程式(Patch)。」他提到,再加上NetBackup Flex Appliances上所有的服務與功能都已經容器化,而容器與容器之間都各自獨立,網路與權限也是完全隔開,駭客攻擊更難以成功,從而提升資料保護力。除此之外,倘若企業還是希望建立實體的隔離環境(Air Gap),也只需要部署另一台Appliances即可實現。資料的定期抄寫是由隔離區主動發起連線,以避免隔離區因為生產環境連接到隔離網路,而讓駭客取得可趁之機。
D2D2Cloud是常見架構
根據Oracle Cloud Infrastructure委由451 Research進行的研究指出,高達98%的企業正在使用或計劃使用兩個以上的雲端基礎架構供應商,而使用四個以上雲端基礎架構供應商的企業也有31%。另外,96%的受訪者指出他們正在使用或計劃使用至少兩個雲端應用程式供應商(軟體即服務)。顯見混合多雲已經成為多數企業的主流策略。
陳力維觀察,目前備份擴展到雲端的作法,多半是聚焦在DR到雲,而少見備份上雲。原因是,如果僅將備份上雲,一方面將備份資料從雲端下載需要支付一筆不小的網路頻寬成本,另一方面速度也較為緩慢。一般企業比較傾向採取的作法是D2D2Cloud,企業內部環境會保留14至30天的備份資料,而雲端上則保留一年、三年或是七年的備份資料,萬一不小心誤刪檔案或是出現突發的意外或問題,企業可以很快地從地端的備份資料還原,好處是還原時無須支付網路頻寬費用,而且內網還原的速度最快。「雖然少見誤刪檔案兩週甚或一個月後才發現的情況,但因為雲端上有備份資料,所以還是能夠從雲端還原。」
另一個面向是,隨著企業將應用服務上雲,企業的備份策略同樣也得跟進,假設企業系統依重要性區分為一級系統、二級系統、三級系統,不同等級的系統有不同的備份策略,例如每天備份、兩小時備份,或是RTO與RPO的要求如何?同樣地,當企業把應用服務搬遷上雲時,理論上,雲端資料保護的標準應該與地端一致。
「但企業面臨的挑戰即在於,如果要採用雲端服務供應商提供的解決方案,並且做到與企業內部環境資料保護一樣的標準,成本相對會高昂許多,」他提到,地端的資料保護方案已經非常成熟,功能完整也很豐富,但是雲廠商現今還沒辦法提供這麼完整的功能,不然就是得花費高昂代價才能取得,「國外有些企業至今仍遲遲不上雲的原因之一,就是因為雲端服務供應商沒有辦法滿足他的要求,做到與地端資料保護一樣的水準。」
此外,隨著混合多雲應用日益普及,企業也可能會有地、雲以及多雲之間切換的需求,能不能支援各式虛擬平台也是一項關鍵能力,舉例而言,當企業生產環境採用的是VMware vSphere虛擬化平台,備份上雲後,如果有一天需要在AWS上還原時,能不能轉換成Amazon EC2格式也至為重要。「而針對較重要的系統,當企業希望可以雲地隨時切換時,一定是資料同步的架構設計,Veritas能夠協助企業將地端資料隨時同步到雲端上,在需要時切換到雲端運行,同樣的在雲端出現問題時,也能隨時切換到地端,或是遇到AWS服務中斷時切換到Azure上,實現秒級切換。」
適用容器環境支援惡意軟體掃描
面對網路威脅步步進逼、IT架構環境日益複雜、分散儲存在各地的大量資料以及法規遵循壓力,企業面臨的資料保護挑戰也日益艱鉅。對此,NetBackup也不斷強化功能,例如支援DNAS工作負載的惡意軟體掃描,可協助企業快速輕鬆地恢復到上一個乾淨備份,在持續保護的同時縮短停機時間;而且快照還原時也能只針對單一檔案還原,而無須還原整個快照。
另外,針對Kubernetes資料移動,NetBackup也在容器化環境中引入Kubernetes叢集應用程式一致性備份、重複資料刪除、支援備份分層儲存的映像複製以及自動映像複製技術;此外也能整合安全系統和預警系統,例如SOAR/XDR平台可基於安全或維護活動,暫停或開啟資料保護,而SIEM平台等預警系統可輕鬆取得儲存在系統日誌中的異常掃描和惡意軟體掃描警報。
他最後強調,Veritas已經加入了金融業非盈利組織「避風港」(Sheltered Harbor)聯盟合作夥伴計畫,以NetBackup Flex Appliances建構實體隔離環境(Air Gap)是最容易實現的方法,而且也最安全。如果不要用專屬設備,NetBackup其實也能協助企業手動建立。